プライバシーポリシー

1. データ管理者

Marotino CY LTD
Evripidou 9A, 3031 Limassol, Cyprus
EU VAT: CY60017620T
連絡先: support@tuceto.com

2. 収集するデータおよびその目的

2.1 お客様が提供するデータ

お客様が予約確認メールを go@tuceto.com に転送された場合、当社のパーサーは以下の情報のみを抽出します。

• 便名
• 路線（出発空港および到着空港）
• 日付および出発時刻
• 搭乗者の名前

当社は以下の情報を抽出または保存しません：パスポート番号、身分証明書番号、クレジットカード情報、マイレージ番号、座席指定、手荷物情報、航空券代金、予約確認番号全体、およびお客様のメールに含まれるその他のデータ。

元のメールは解析完了後、当社のサーバーから直ちに自動削除されます。当社はお客様の予約確認書のコピー、バックアップ、またはアーカイブを保持しません。

2.2 アカウントおよび連絡先データ

アラートを配信するため、当社は以下の情報を保存します。

• お客様のメールアドレス（アカウントの識別のため）
• お客様の電話番号（SMS/WhatsAppアラートの送信のため）
• お客様のサブスクリプションプランおよび支払い状況

3. 処理の法的根拠（GDPR Art. 6）

当社は以下の法的根拠に基づきお客様のデータを処理します。

• 同意（Art. 6(1)(a)）— お客様は自らの意思により予約確認メールを当社に転送されます。これは明示的かつ任意の行為です。
• 契約の履行（Art. 6(1)(b)）— お客様がお申し込みになったフライトアラートサービスを提供するために処理が必要です。
• 正当な利益（Art. 6(1)(f)）— サービス品質の維持および不正利用防止のための基本的な分析。

4. データの最小化および削除

これが当社の運営の根幹です。必要な情報のみを読み取り、それ以外はすべて削除します。

• フライトデータ（便名、路線、時刻）は、お客様のフライト出発から48時間後に自動的に消去されます。例外はありません。
• アカウントデータ（メールアドレス、電話番号）は、お客様が本サービスをご利用いただいている間保持されます。削除のご依頼はいつでも可能です — 第7条をご参照ください。
• 当社はフライトデータの長期バックアップを保持しません。削除されたデータは復元できません。

5. データの共有先

当社はお客様のデータを販売しません。一切いたしません。

当社は必要最小限のデータを以下の事業者と共有します。

• SMS/WhatsApp配信プロバイダー — メッセージ配信に必要なお客様の電話番号およびアラート内容のみ。データ処理契約（GDPR Art. 28）に基づき拘束されます。
• クラウドホスティングプロバイダー — EU域内のサーバーのみ。保存データはAES-256暗号化、通信データはTLS 1.3暗号化により保護されています。
• 決済処理事業者 — 有料プランのみ。当社はお客様のカード番号全体を閲覧または保存することはありません。

すべての委託先は書面によるデータ処理契約に拘束され、GDPR基準を遵守しなければなりません。委託先の最新リストは support@tuceto.com にてご請求いただけます。

6. 国際データ移転

お客様のデータは欧州連合域内のサーバーにて処理・保管されます。委託先がEU/EEA域外で運営される場合、当社は欧州委員会が承認した標準契約条項（SCC）により適切な保護措置を講じ、Schrems II判決に基づき必要な場合は追加の技術的措置を補完します。

7. お客様の権利

7.1 GDPR（EU/EEA域内のお客様）に基づく権利

お客様は以下の権利を有します。

• ご自身の個人データにアクセスし、その写しを受け取る権利
• 不正確または不完全なデータの訂正を求める権利
• データの消去を求める権利（「忘れられる権利」）— 当社は30日以内にすべてのデータを削除します
• 処理の制限または処理への異議を申し立てる権利
• データポータビリティ — 構造化された機械可読形式でデータを受け取る権利
• 過去の処理の適法性に影響を与えることなく、いつでも同意を撤回する権利
• キプロスデータ保護委員（dataprotection.gov.cy）またはお客様の所在地の監督当局に苦情を申し立てる権利

7.2 CCPA/CPRA（カリフォルニア州在住者）に基づく権利

お客様がカリフォルニア州在住者である場合、以下の権利を有します。

• 当社が収集、利用、開示する個人情報を知る権利
• 個人情報の削除を求める権利
• 個人情報の販売または共有のオプトアウト — 当社はお客様のデータを販売または共有しないため、この権利は自動的に充足されます
• 差別の禁止 — お客様が権利を行使されたことを理由として、異なる取り扱いをすることはありません

これらの権利を行使される場合は、件名に「CCPA Request」と記載のうえ support@tuceto.com までご連絡ください。当社は45日以内に回答いたします。

7.3 VCDPA（バージニア州在住者）に基づく権利

バージニア州在住者は、個人データへのアクセス、訂正、削除、およびその写しの取得について同等の権利を有し、ターゲティング広告、データの販売、またはプロファイリングのオプトアウトが可能です。当社はこれらの活動を一切行っていません。権利の行使については support@tuceto.com までご連絡ください。

8. セキュリティ対策

当社は以下を含む業界標準のセキュリティ対策を実施しています。

• 保存データに対するAES-256暗号化
• 通信データに対するTLS 1.3暗号化
• tuceto.comドメインにおけるメール認証（SPF、DKIM、DMARC）
• 厳格なアクセス制御 — 認可されたシステムのみがお客様のデータを処理し、人間がお客様のメールを閲覧することはありません
• 自動データ消去 — フライトデータは出発から48時間後に削除されます

9. Cookieおよびトラッキング

TUCETOのウェブサイト（tuceto.com）は、サイトの機能に必要不可欠なCookieのみを使用します。当社は広告Cookie、トラッキングピクセル、または個人を特定するサードパーティ分析ツールを使用しません。

10. 児童のプライバシー

TUCETOは16歳未満の児童を対象としていません。当社は16歳未満の方から故意にデータを収集することはありません。児童が当社に個人データを提供したと思われる場合は、直ちにご連絡ください。速やかに削除いたします。

11. データ侵害の通知

お客様の権利および自由にリスクをもたらす個人データの侵害が発生した場合、当社は以下の対応を行います。

• 72時間以内にキプロスデータ保護委員に通知（GDPR Art. 33）
• 侵害が高いリスクをもたらす場合、影響を受けるお客様に遅滞なく通知（GDPR Art. 34）
• 500人以上のカリフォルニア州在住者が影響を受ける場合、カリフォルニア州司法長官に通知（CCPA）

12. 本ポリシーの変更

当社は随時本プライバシーポリシーを更新する場合があります。重要な変更は、効力発生日の少なくとも14日前までに、メールまたは tuceto.com 上の通知によりお知らせいたします。

13. お問い合わせ

プライバシーに関するご質問、データに関するご要望、またはご懸念がございましたら、以下までご連絡ください。

Marotino CY LTD
Evripidou 9A, 3031 Limassol, Cyprus
メール: support@tuceto.com
EU VAT: CY60017620T