PDF Proはクライアントサイド・プライバシー優先の設計で構築されています
当社の核心的な約束: PDF Proはクライアントサイドアーキテクチャで動作しており、サーバーが平文を参照することはありません。当社はお客様のPDFファイルを閲覧・アクセス・読み取ることができません。すべてのドキュメント処理はお客様のブラウザ内でローカルに実行されます。お客様の秘密暗号鍵がデバイスを離れることはありません。仮に当社サーバーが侵害されたとしても、お客様のドキュメント内容はプライベートなまま保たれます。
PDF Pro(pdfpro.tools)は、PDFドキュメントの閲覧・注釈・署名・検証・圧縮・変換・結合・作成・セキュア転送ツールを提供するプライバシー優先のPDFプラットフォームです。ドキュメントチャット、OCRスキャン、翻訳を含むAI機能、およびChrome拡張機能も提供しています。
本プライバシーポリシーは、PDF Pro(以下「当社」)がpdfpro.toolsのウェブサイト、ウェブアプリケーション、Chrome拡張機能、および関連サービス(総称して「サービス」)をご利用いただく際に、情報をどのように収集・使用・保存・保護するかについて説明しています。
当社は透明性を重視しています。本ポリシーはお客様のデータに何が起きているかを正確にご理解いただけるよう、平易な言葉で記載されています。専門用語を使用する場合は説明を加えています。
サービスをご利用いただくことで、本プライバシーポリシーに従った情報の収集および使用に同意したものとみなされます。本ポリシーに同意されない場合は、サービスのご利用をお控えください。
当社はサービスの運営に必要最低限のデータのみを収集します。以下に収集するデータの完全かつ網羅的なリストを示します。
| データ種別 | 目的 | 保持期間 |
|---|---|---|
| メールアドレス | 認証、アカウント回復 | アカウント削除まで |
| パスワードハッシュ | 認証 | アカウント削除まで |
| Stripe顧客ID | 決済処理 | アカウント削除まで |
| 利用カウンター | プラン制限の適用 | 毎月リセット;過去の集計は保持 |
| 公開鍵 | 署名検証 | ユーザーによる失効またはアカウント削除まで |
| 切り離し署名 | ドキュメント整合性の監査証跡 | 無期限(検証のため) |
| 暗号化転送ブロブ | セキュアなファイル配信 | 自動期限切れ(最大7日)またはダウンロード後削除 |
本条はプライバシーポリシーの中で最も重要な部分です。 当社がアクセスできないものを理解することが、クライアントサイドアーキテクチャを理解する上で不可欠です。
当社は以下のデータを収集・保存・アクセス、またはアクセスする能力を持ちません:
PDF Proのコアアーキテクチャは、ほとんどのオンラインPDFツールとは根本的に異なります。その仕組みは以下のとおりです:
PDF ProでPDFを開くと、ファイルはお客様のブラウザのメモリに完全に読み込まれます。すべての処理は、ブラウザで動作するJavaScriptとWebAssemblyを使用してローカルで実行されます。これには以下が含まれます:
実際の動作: PDF Proの処理ツールを使用しながらブラウザのネットワークタブ(開発者ツール)を開くと、PDFデータがどのサーバーにも送信されていないことが確認できます。ファイルは常にお客様のデバイスに保持されます。お客様自身でこれを検証することができます。
データが送信されないため、当社サーバーはお客様のドキュメント内容にアクセスすることができません。これはポリシーによる選択ではなく、クライアントサイド処理モデルのアーキテクチャ上の必然的な結果です。正確に申し上げると、本製品はゼロ知識証明(ZKP)を使用していません。「サーバーは平文についてゼロ知識である」という表現は、暗号的なZKP構成ではなく、ここで説明するクライアントサイド暗号化モデルを指しています。
唯一の例外は以下のとおりです:
いずれの場合も、当社はサーバー上で平文を参照することはありません。暗号化ブロブは鍵なしでは読み取れず(当社は鍵を保有しません)、AIで処理されたテキストは一時的なものであり保存されません。
PDF Proはユーザードキュメントのファイルストレージシステムを保有していません。お客様のPDFの「クラウドストレージ」は存在しません。ブラウザタブを閉じると、当社の観点からドキュメントは消えます(もともと当社には存在しませんでした)。お客様のオリジナルファイルは、元の場所にあるお客様のデバイスに残ります。
セキュア転送により、エンドツーエンド暗号化でファイルを他者に送信できます。その正確な仕組みと関連するデータは以下のとおりです:
crypto.getRandomValues)を使用して、ランダムな256ビットのAES-GCM暗号鍵がお客様のブラウザ内で生成されます。#以降の部分)に配置され、HTTP/HTTPS仕様に基づきサーバーに送信されることはありません。例:https://pdfpro.tools/transfer/abc123#encryptionKeyHere技術的な保証: 暗号鍵がURLフラグメントにあるため、当社(または任意のネットワーク仲介者)が転送ファイルを復号することは暗号学的に不可能です。これはポリシーではなく数学的な事実です。ランダム鍵によるAES-256-GCMは256ビットのセキュリティを提供し、計算上解読不可能とされています。
転送されたすべてのファイルは、設定可能な有効期限後に当社サーバーから自動的に削除されます。最大保持期間は7日間です。有効期限後、暗号化ブロブは当社のストレージインフラから完全に削除されます。この削除は不可逆的です。
送信者は「ダウンロード後削除」モードを有効にすることができ、最初のダウンロードが成功した直後に暗号化ファイルが当社サーバーから自動的かつ永久に削除されます。一度削除されると、当社を含め誰もファイルを回復することはできません。
| 保存するデータ | 保存しないデータ |
|---|---|
| 暗号化ファイルブロブ(AES-256-GCMシファーテキスト) | 暗号鍵(URLフラグメントにのみ存在) |
| 転送ID(ランダムUUID) | 元のファイル名(ブロブ内に暗号化) |
| 有効期限タイムスタンプ | 読み取り可能な形式のファイル内容 |
| ダウンロード後削除フラグ | 送信者または受信者のID(転送は匿名で可能) |
| ファイルサイズ(暗号化ブロブサイズ) | ファイル内容に関するメタデータ |
PDF ProのPrivacy Signature機能は、ECDSA P-256(楕円曲線デジタル署名アルゴリズム)を使用した暗号ドキュメント署名を提供します。このシステムは、PDFをアップロードすることを一切不要とするよう初めから設計されています。
window.crypto.subtle.generateKey()を使用してブラウザ内で生成されます。切り離し署名について: 「切り離し」署名とは、署名がドキュメントとは別に保存されることを意味します。当社は、ドキュメント自体を保有することなく、特定のドキュメントが特定の鍵によって特定の時刻に署名されたという証明を保存します。誰でもドキュメントのコピーをハッシュ化し、保存された署名レコードと照合することで署名を検証できます。
当社が保存しないもの:PDFファイル、ページコンテンツ、抽出テキスト、ドキュメントの画像、署名者の秘密鍵、署名者のパスフレーズ。
PDF ProのChrome拡張機能は、ブラウザに内蔵されたPDF閲覧機能を強化します。ウェブアプリケーションと同じプライバシー優先の原則で設計されています。
| 権限 | 必要な理由 | アクセス対象 |
|---|---|---|
activeTab | 現在開いているPDFタブとのやり取りのため | 拡張機能をクリックした場合のみ、アクティブなタブのみ |
storage | 拡張機能の設定とキャッシュされた鍵データの保存のため | 拡張機能専用のストレージのみ(ファイルは対象外) |
webRequest(該当する場合) | PDFが読み込まれていることを検出して拡張機能がインターセプトできるようにするため | PDFを検出するためのレスポンスのMIMEタイプのみ(コンテンツは読み取らない) |
拡張機能でPDFを開いた場合:
PDF Proはドキュメントチャット、OCRテキスト認識、PDF翻訳を含むAI機能を提供しています。これらの機能では一部のデータをAI処理サービスに送信する必要があります。以下にその正確な仕組みを説明します:
重要な開示: AI機能(チャット、OCR、翻訳)を使用する場合、ドキュメントから抽出されたテキストが処理のためにOpenAIのAPIに送信されます。当社はこのデータを保存しませんが、OpenAIは独自のプライバシーポリシーに従って処理します。当社はお客様のデータをモデルトレーニングに使用しないオプトアウト設定でOpenAIのAPIを使用しています。ドキュメントに機密情報が含まれている場合、ご自身のユースケースにAI機能が適切かどうかをご検討ください。
当社は当社サーバーにAI会話のコンテンツを保持しません。抽出テキストとAIレスポンスはお客様のブラウザセッション内にのみ存在し、タブを閉じるか他のページに移動すると破棄されます。OpenAIはそのデータ処理ポリシーに従ってデータを保持する場合があります。当社はデータ保持を最小限に抑え、トレーニングデータ使用をオプトアウトした設定でAPIを使用しています。
当社は最小限のCookieセットを使用します:
当社は使用しないもの:サードパーティの広告Cookie、クロスサイト追跡Cookie、ソーシャルメディアのトラッキングピクセル。
当社はお客様のブラウザのローカルStorageメカニズムを以下の目的で使用します:
ブラウザデータのクリアについて: ブラウザのIndexedDBをクリアすると、そこに保存された暗号化済み秘密鍵が永久に削除されます。ブラウザデータをクリアする前に、必ず署名鍵のバックアップをエクスポートしてください。当社は秘密鍵を保有していないため、秘密鍵を回復することはできません。
当社はPDF Proの運営に限られた数のサードパーティサービスを使用しています。各サービスがアクセスできるデータを以下に正確に示します:
| サービス | 目的 | 受信するデータ | 受信しないデータ |
|---|---|---|---|
| Supabase | 認証、データベース、ファイルストレージ(暗号化ブロブのみ) | メール、パスワードハッシュ、アカウントデータ、利用カウンター、公開鍵、署名レコード、暗号化された転送ブロブ | 秘密鍵、パスフレーズ、暗号化されていないファイル内容、PDFデータ |
| Vercel | Webホスティング、サーバーレス関数、CDN | HTTPリクエストメタデータ(IPアドレス、ユーザーエージェント、URLパス)、サーバーサイド関数の実行 | PDFの内容、秘密鍵、ドキュメントデータ(これらは当社サーバーに届くことがないため、Vercelにも届きません) |
| Stripe | 決済処理 | 支払いカードの詳細情報(Stripeのインターフェイスに直接入力)、請求先住所、メール | PDFの内容、利用データ、ドキュメントデータ、秘密鍵 |
| OpenAI | AI機能(チャット、OCR、翻訳) | AI機能使用時のPDFから抽出されたテキスト、OCR用のページ画像 | PDFファイル自体、アカウント情報、秘密鍵、AI以外の機能のデータ |
当社はお客様のファイルまたはドキュメントの内容をいかなるサードパーティとも共有・販売・貸与・提供しません。唯一の例外は第8条で説明するAI機能であり、お客様が明示的に選択して使用する必要があり、PDFファイル自体ではなく抽出テキストのみが関係します。
当社はデータブローカー、広告ネットワーク、またはマーケティング会社に個人情報を販売または共有しません。サードパーティの広告を表示しません。データ交換またはデータマーケットプレイスには参加しません。
法執行機関から法的に有効な要求を受け取った場合、当社が実際に保有するデータのみを提供できます:アカウント情報(メール、表示名)、利用カウンター、公開鍵、署名レコード(ハッシュ、ドキュメントは対象外)、暗号化された転送ブロブ(復号不可)。当社はPDFファイルの内容、秘密鍵、パスフレーズを保有していないため、提供することができません。
アカウントデータ(メール、表示名、設定)はアカウントがアクティブな間保持されます。アカウントを削除すると、関連するすべてのデータは30日以内に完全に削除されます。
暗号化ファイルブロブは送信者が選択した有効期限設定に基づいて自動削除されます:
切り離し署名レコード(ドキュメントハッシュ、署名、公開鍵、タイムスタンプ)は、長期的なドキュメント整合性検証を提供するために無期限に保持されます。これらのレコードには暗号データのみが含まれており、ドキュメントの内容を再構築するために使用することはできないため、これは機能であってプライバシー上の懸念ではありません。
機能利用カウンターは請求サイクルにリセットされます。集計・匿名化された分析データはサービス改善のために保持される場合がありますが、個々のユーザーやドキュメントに紐付けることはできません。
当社はAI処理データを保持しません。抽出テキストとAIレスポンスは一時的なものであり、当社サーバーにログに記録または保存されることはありません。OpenAIによる処理についてはOpenAIの保持ポリシーをご参照ください。
欧州経済領域(EEA)にお住まいの方は、一般データ保護規則(GDPR)に基づき以下の権利を有します:
GDPRに基づく個人データ処理の法的根拠は:(a)契約の履行(お客様が登録したサービスの提供)、(b)正当な利益(サービス改善、セキュリティ)、(c)同意(AI処理などのオプション機能の場合)です。
カリフォルニア州の居住者の方は、カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー権法(CPRA)により以下の権利が付与されます:
当社はお客様の法域に関わらずプライバシー権を尊重します。地域の法律がお客様に追加のプライバシー権を付与している場合は、ご連絡ください。できる限りこれらの権利を尊重します。これには以下の法律に基づく権利が含まれますが、これらに限られません:
これらの権利を行使するには、info@webdesign9.comまでご連絡ください。適用法で定められた期限よりも早い場合を除き、30日以内にご要望にお応えします。ご要望を処理する前に、お客様の身元確認が必要な場合があります。
PDF Proは16歳未満の児童(またはお客様の法域における適用される同意年齢)を対象としていません。当社は16歳未満の児童から個人情報を意図的に収集しません。
保護者の同意なく16歳未満の児童から個人情報を収集したことが判明した場合、当社はできる限り速やかにその情報を削除するための措置を講じます。16歳未満の児童から情報が誤って収集されたと思われる場合は、info@webdesign9.comまで直ちにご連絡ください。
当社は、業務、技術、法的要件、またはその他の要因の変更を反映するために、本プライバシーポリシーを随時更新する場合があります。変更を行う場合:
本プライバシーポリシーを定期的にご確認されることをお勧めします。本ポリシーの完全な改訂履歴はご要望に応じてご提供します。
本プライバシーポリシーまたは当社のデータ取り扱いに関するご質問・ご懸念・ご要望がある場合は、以下にご連絡ください:
プライバシーに関するすべてのお問い合わせには48時間以内にお応えするよう努めています。
当社の回答にご満足いただけない場合は、お住まいの地域のデータ保護機関に苦情を申し立てる権利があります。
プライバシーへの取り組みの概要: PDF Proは、お客様のプライバシーがポリシーだけでなくアーキテクチャによって保護されるよう構築されています。ファイルはローカルで処理されます。秘密鍵はブラウザを離れることはありません。転送ファイルは当社に届く前に暗号化されます。当社はサービスの運営に必要なものだけを収集します。データを販売しません。広告を表示しません。当社自身もお客様のドキュメントにアクセスできないよう、システムを設計しました。