GDPRコンプライアンスの概要

Zenovayがウェブサイト分析においてGDPR（一般データ保護規則）を遵守するためにどのように役立つかを学びましょう。

GDPRとは？

一般データ保護規則はEUの法律で：

EU居住者の個人データを保護する
データ収集に同意を要求する
データへのアクセス権と削除権を付与する
データ侵害の通知を義務付ける
違反に対して多大な罰金を科す

GDPRが適用される対象

以下に該当する場合にGDPRが適用されます：

EU/EEAに拠点がある
EU/EEAからの訪問者がいる
EU居住者に商品/サービスを提供している
EU居住者の行動を監視している

ZenovayのGDPRコンプライアンス

プライバシーファーストな設計

Zenovayはプライバシーを念頭に置いて設計されています：

機能	説明
クッキーなしのオプション	トラッカーはクッキーまたはローカルストレージなしで実行可能
IP処理	IPはビジター識別のためにハッシュされ、プレーンテキストで保存されない
データ最小化	必要なデータのみ収集
EUデータ居住	プライマリデータはすべてのプランのEU（フランクフルト）に保存される
データポータビリティ	個人アカウントデータをエクスポート（無料、すべてのプラン）
削除権	アカウントとビジタートラッキングデータをリクエストで削除

収集するデータ

標準収集（クッキーなしモード）：
├── ページURL
├── リファラー（ドメイン）
├── ブラウザの種類
├── デバイスの種類
├── 国（ハッシュされたIPから導出、プレーンテキストIPは保存されない）
└── セッション識別子（メモリ内、非永続的）

拡張収集（クッキー/同意あり）：
├── パラメータ付きフルページURL
├── フルリファラーURL
├── リターンビジター識別子
├── カスタムイベントプロパティ
└── 収益データ

設定オプション

クッキーなしモード

クッキーなしモードではトラッカーがクッキーやローカルストレージなしで実行可能です — 代わりにメモリ内のウィンドウスコープセッション識別子を使用します。これは同意前のトラッキングの法的デフォルトオプションです。

ウェブサイトで有効にするには：

ウェブサイトの設定を開き、詳細タブを選択します。
プライバシー & クッキーの下で、クッキーなしモードをオンにします。
変更を保存します。

同じ詳細タブで、クッキーライフタイム（クッキーが使用される場合）、トラッキングからルートを除外、および敏感な値が決してキャプチャされないようにフォーム入力をマスクすることも設定できます。

IP処理

ZenovayはプレーンテキストのIPアドレスを保存しません。IPは訪問者の国を導出し、ハッシュされた塩漬けされたビジター識別子を構築するために一時的に使用されます — プレーンテキストIPはアナリティクスに書き込まれることはありません。詳細とサイトごとのオプションについては、IP処理を参照してください。

同意統合

// 同意後のみトラッキング
if (hasGDPRConsent('analytics')) {
  const script = document.createElement('script');
  script.src = 'https://api.zenovay.com/z.js';
  script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
  document.head.appendChild(script);
}

処理の法的根拠

同意（第6条1項a）

クッキーベースのトラッキングを使用する場合：

クッキー同意バナーを実装する
明示的なオプトインを待つ
同意後にトラッキングスクリプトを読み込む
簡単なオプトアウトを提供する

正当な利益（第6条1項f）

クッキーなしモードを使用する場合：

正当な利益を文書化する
バランステストを実施する
オプトアウトメカニズムを提供する
データ収集を最小化する

クッキーなしモード + 正当な利益

正当な利益評価

目的：ユーザー体験を向上させるためのウェブサイト使用状況の把握

必要性：以下のために分析が不可欠：
  - 壊れたページの特定
  - トラフィックソースの理解
  - コンテンツの改善

バランステスト：
  - 最小限のデータ収集
  - 永続的な識別子なし（クッキーなしモード）
  - クロスサイトトラッキングなし
  - 明確なプライバシーポリシー
  - 簡単なオプトアウトあり

結論：クッキーなしモードでは正当な利益が適用される

GDPRの権利の実装

情報提供義務（第13条/14条）

明確なプライバシーポリシーを提供してください：

## アナリティクスデータの収集

当サイトでは訪問者がどのようにサイトを使用しているかを
理解するためにZenovay Analyticsを使用しています。収集するデータ：

- 訪問したページ
- ページの滞在時間
- ブラウザとデバイスの種類
- 国（IPから導出、プレーンテキストで保存されない）

当サイトは以下を行いません：
- プレーンテキストでIPアドレスを保存する
- ウェブサイト間のトラッキング
- 第三者へのデータ販売

データはEUに保存され、[X]ヶ月間保持されます。

アクセス権（第15条）

ビジターは自分について保有しているデータをリクエストできます：

ビジターがリクエストを提出
Zenovay内のデータを特定
（下記のAPIを通じて）エクスポート
30日以内に提供

API経由（Proプラン以上）：

# ウェブサイトのアナリティクスデータを取得（必要に応じて訪問者でフィルタリング）
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
  -H "X-API-Key: zv_YOUR_API_KEY"

別途、自分の個人アカウントデータはいつでもアプリのプロフィールページからダウンロード可能です — 「マイデータをダウンロード」はプロフィール、ウェブサイト、チームメンバーシップ、アカウント履歴をJSONとしてエクスポートします。これはすべてのプランで無料です（GDPR第20条）。マイデータをダウンロードを参照してください。

削除権（第17条）

リクエストに応じてビジタートラッキングデータを削除します：

ビジターが削除をリクエスト
Zenovay内のレコードを特定
データを削除
削除を確認

特定のビジターのデータを削除するには、まずレコードを特定してください — ビジターが識別されている場合（トラッカーにメールまたはユーザーIDを渡した場合）、識別ユーザー（/analytics/profiles）で探してください。一括削除またはプログラマティック削除の場合は、REST API（Proプラン以上）を使用してください。

Zenovayアカウント全体と関連するすべてのデータを削除するには、プロフィールページでアカウント削除を使用してください。詳細については、削除権およびアカウント削除を参照してください。

処理制限権（第18条）

紛争解決中はビジターの処理を一時停止するには、[email protected]でZenovayサポートに連絡してください。ダッシュボードには「処理を制限」の自動サービスボタンはありません — 制限はサポートで処理されます。

データポータビリティ権（第20条）

機械可読形式でデータをエクスポートしてください：

個人アカウントデータ：アプリのプロフィールページからダウンロード（「マイデータをダウンロード」はJSONを返します）。すべてのプランで無料。

**ビジタートラッキングデータ：**REST API経由で取得（Proプラン以上）：

# JSON形式でアナリティクスデータを取得
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
  -H "X-API-Key: zv_YOUR_API_KEY"

データ処理契約

必要な場合

GDPR第28条では、Zenovayがお客様の代わりに個人データを処理する場合、DPAが必要です。

DPAの取得

Zenovayは署名済みの標準DPAを公開しています — 交渉または署名の追跡は不要です。

zenovay.com/legal/dpaで現在のDPAを読みます（すべての6言語で利用可能、ログイン不要）。
サインアップ時にサービス利用規約を受け入れると、自動的に契約の拘束部分になります — 別のステップはありません。
法務チームが両署名コピーまたはカスタム追加条項が必要な場合は、[email protected]にメールしてください。費用はありません。

完全なプロセスについては、DPAを見つけるを参照してください。

DPAの内容

当社のDPAには以下が含まれます：

対象事項と期間
処理の性質と目的
個人データの種類
データ主体のカテゴリ
権利と義務
副処理者リスト
セキュリティ措置
監査権

EUデータ居住

データの場所

Zenovayのプライマリデータベースはプランに関係なく、すべてのお客様について**EU（フランクフルト、eu-central-1）**で実行されます。アナリティクスイベント、ビジタートラッキングレコード、ウェブサイト、チームデータ、監査ログはそこに保存されます。バックアップは同じリージョンで暗号化されています。

エッジリクエストはCloudflare Workersによって最も近いポイントオブプレゼンスで処理され、低レイテンシーを実現します。Workersはデータを永続化しません — EUプライマリストアに対して検証およびフォワードイベント。少数のUS拠点の副処理者（例：Stripe、Resend）はEU-US Data Privacy FrameworkまたはStandard Contractual Clausesでカバーされています。

完全な概要については、データはどこに保存されていますか？を参照してください。

クッキーバナー統合

主要な同意管理ツール

Zenovayは次を含む同意管理ツールで動作します：

Cookiebot
OneTrust
Osano
Termly
カスタムソリューション

Cookiebotの例

window.addEventListener('CookiebotOnAccept', function() {
  if (Cookiebot.consent.statistics) {
    loadZenovay();
  }
});

function loadZenovay() {
  const script = document.createElement('script');
  script.src = 'https://api.zenovay.com/z.js';
  script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
  document.head.appendChild(script);
}

OneTrustの例

OneTrust.OnConsentChanged(function() {
  if (OnetrustActiveGroups.includes('C0002')) { // Performance
    loadZenovay();
  }
});

文書化要件

プライバシーポリシー

以下を含める：

収集するデータ
収集する理由
保持期間
アクセス権限者
ユーザーの権利
オプトアウト方法

処理記録

以下の文書を維持する：

データのカテゴリ
処理の目的
データ保持期間
セキュリティ措置
使用する副処理者

クッキーポリシー

クッキーを使用する場合：

すべてのクッキーをリスト
目的を説明
期間を明記
オプトアウトへのリンク

コンプライアンスチェックリスト

技術的措置

クッキーなしモードを有効にするか同意を取得する
IP処理設定を確認する
適切なデータ保持を設定する
同意統合を実装する

法的措置

Zenovay DPAを参照（zenovay.com/legal/dpa）
プライバシーポリシーを更新する
法的根拠を文書化する
データ主体リクエストプロセスを作成する
処理記録を維持する

組織的措置

チームにGDPRを教育する
DPOを任命する（必要な場合）
侵害対応手順を確立する
定期的なコンプライアンス監査を実施する

執行と罰金

潜在的な制裁

レベル	最大罰金	例
下位	1,000万ユーロまたは売上の2%	DPAなし、記録不備
上位	2,000万ユーロまたは売上の4%	同意なし、権利の無視

ベストプラクティス

クッキーなしモードから始める

ウェブサイトのクッキーなしモードを有効にします（ウェブサイト設定 → 詳細 → プライバシー & クッキー）。これにより同意なしで最小限のトラッキングが可能になります。スクリプトタグはシンプルに保てます：

<!-- 最小限のトラッキング、同意不要 -->
<script
  defer
  data-tracking-code="YOUR_TRACKING_CODE"
  src="https://api.zenovay.com/z.js"
></script>

適切な同意を実装する

同意チェックボックスを事前にチェックしない
拒否を承諾と同じくらい簡単にする
細かい選択肢を許可する
設定を記憶する
撤回を許可する

定期的なレビュー

データ収集を四半期ごとに監査する
副処理者を年次レビューする
変更があった際にポリシーを更新する
データ主体リクエストの処理をテストする