周りの人がProtonはいいというが何が具体的に良いのかは調べないとわからないので，プライバシーポリシー, それに関連する文書を読んだ際の備忘録的なメモ.

あくまで著者自身用のメモであり, 内容の正確性は一切保証できない. 現在の内容は 2022/03/06 時点での情報に基づく.

興味深かったことは ProtonMail がドイツにもサーバを配置しているということ . Wikipedia には以下のようにあるが

ProtonMailはサードパーティーのサーバーを使わず、すべてのサーバーはスイス国内のローザンヌとアティングハウゼン（ドイツ語版、英語版）に設置されている。

プライバシーポリシーにはこのように記載されている.

All servers used in connection with the provisioning of the Services are located in Switzerland and Germany and wholly owned and operated by the Company.

深く調べられていないが, Reddit への投稿で将来的な DC のロケーションについて意見を求めており, アムステルダムとフランクフルトの2候補が挙がっていたようなので, フランクフルトに設置されたのだろうか?

求人情報にもフランクフルトでの求人が紹介されている.

• 準拠法
• アカウント開設に関連するデータ
  • Waiting list, Email verification, notification/recovery email
  • Human Verification においてユーザが入力するデータ
• データの収集
  • Web サイトへの訪問
  • IP ロギング
  • 決済手段情報
  • ネイティブアプリケーション
  • Import Assistant
    • Sign in with Google
    • Username and Password
• データの保持
• データの使用
• データストレージ
• サードパーティネットワーク
• データサブプロセッサ
• データの開示
• アクセス権, 訂正権, 消去権, データポータビリティ権, 監査機関に対する不服申し立て権
• プライバシーポリシーの改訂
• 参考:

準拠法

• スイス

アカウント開設に関連するデータ

Waiting list, Email verification, notification/recovery email

• DPA の定義する個人情報として解釈し, 同法に基づいて保護される
• この情報は以下の目的にのみ使用される
  • サービスに関する重要な情報の通知
  • セキュリティに関する情報の通知
  • アカウント作成用リンクの送信
  • アカウントの承認
  • パスワードリカバリー
  • その他の Proton 製品の情報
• これらの機能はいつでも opt-out 可能である

Human Verification においてユーザが入力するデータ

ProtonMail が提供する Human Verification の手段は以下の3つ.

• CAPTCHA
• Email
• SMS

これらはアカウント作成時のみでなく, 重要な操作を行う場合にも要求される場合がある.

しかし, Human Verification のフェーズにおいて必ずこの3つの選択肢が提示されるわけではない. 複数のアカウントを作成しようとした場合, Spammer, Attacker である可能性が高いと判断された場合には Email, SMS を用いて Human Verification を行うことが要求される模様.

• CAPTCHA の結果は保存されない
• IPアドレス, メールアドレス, 電話番号が一時的に保存される
  • 保存される期間はスパム対策のために適切と判断される期間, または適用法に準拠した期間である
  • データが永久に保存される場合は必ずハッシュ化される
  • メールアドレス, 電話番号はハッシュ化された上でアカウントに紐付けられる
    • これらのハッシュは永久に紐付けられることはない
    • ハッシュが紐付けられる期間は明示されていない

データの収集

大部分を省略, クリティカルな部分を抜粋.

Web サイトへの訪問

• オープンソースの分析ツールをローカルにインストール
• 分析結果は可能な限り匿名化され, ローカルにのみ保存される
• (ここでのローカルは NOT cloud を意味している)
• ProtonMail は Matomo を用いてアクセス解析を行っている

IP ロギング

• デフォルトではユーザのサービス利用に関する永久的な IP ロギングは行わない
• 悪用, 不正防止のために一時的に IP ログを保持することがある
• 利用規約に違反するアクティビティに従事した場合 (スパム, ProtonMail のインフラに対する DDoS, ブルートフォース, etc.) IP ログが永久に保持されることがある
• ユーザがスイスの法律に違反する場合, ProtonMailは 法的に IP アドレスの記録を強制される場合がある (これは ProtonVPN には適用されない)
• ユーザが認証ログを有効にしている場合, 自身で削除しない限り, ログインに使用された IP アドレスは永久に保存される

決済手段情報

• クレジットカード, PayPal, Bitcoin の取引の処理を第三者に依存している
• そのため, 支払い情報は第三者と共有される
• 匿名の現金, Bitcoinによる支払いは可能

ネイティブアプリケーション

• ネイティブアプリを使用する場合, Proton Technologies AG と モバイルアプリのプラットフォームプロバイダはプライバシーポリシーの他の箇所で言及されている情報に加えて, 特定の情報を収集できる
• Proton Technologies AG はモバイル分析ソフトウェア (fabric.io app, statistics and crash reporting, Play Store app statistics, App Store app statistics, or self-hosted Sentry crash reporting) を利用し, クラッシュレポートなどを送信することができる
• Google Play Store, Apple App Store などでは, 最も使用されているデバイス, インストール数, アンインストール数, アクティブユーザ数などの情報を収集し, それぞれの利用規約によって管理することができる
• ProtonMail はユーザのデバイスにプッシュ通知を送信するためにデバイス ID にアクセスできる
• Proton Technologies AG のアプリが位置情報にアクセス, 追跡することはない
• 収集された個人データは全て匿名化される

Import Assistant

データを移行するため Import assistant を使用する際には2つのオプションがある

• Sign in with Google
• Username and password

Sign in with Google

• Sign in with Google を使用した場合, Google APIから受信した情報の仕様については Google API Services User Data Policy に従う

Username and Password

• その他のサービスプロバイダのメールアカウントのクレデンシャルを用いる
• 移行の終了時にこれらのクレデンシャルは完全に削除される

データの保持

アカウントが削除された際, データは:

• プロダクションサーバから直ちに削除される
• 削除から30日以内の間はバックアップされている可能性がある

データの使用

• データの開示に記載された条件下以外でデータが共有されることはない
• 以下の例外を除き、データの解析を行うことはない. どちらもスパムメールを検知するため.
  • 暗号化されていないメッセージを受信した場合
    • 解析後, メッセージは暗号化され保存される
    • 解析後, Proton Technologies AG がメッセージにアクセスする手段はない
  • 暗号化を無効化して外部のメールサービスに送信されたメッセージ

データストレージ

• サービスの提供に関わり使用される全サーバはスイス, ドイツに所在し, Proton Technologies AG が100%所有するものである
• Proton Technologies AG の従業員のみが物理的, その他の手段によりアクセス可能である
• データは常に暗号化され保存される
• 定期的にオフラインのバックアップが作成されるが, これも暗号化される

サードパーティネットワーク

• Proton アプリ (Webクライアントは含まれない) にはalternative routingが実装されており, Proton サービスがブロックされていると判断した場合に Proton Technologies AG が管理しないNWを通じて Proton サービスへのアクセスを実現する
• これにより, 第三者がユーザの IP アドレス, ユーザが Proton サービスを利用していることを把握できる
• Alternative routing はオプションであり, 無効にすることができる

データサブプロセッサ

Zendesk

• カスタマーサポートに関するデータの処理を提供
• Zendesk に提供されるデータはユーザがサポートチケットに含めたもののみ

データの開示

• スイス当局からの法的義務を伴う要求があった場合のみ開示を行う
• 電子的な要求に応じることがあるが, そのデータは裁判所命令の原本を受領し, 正式な回答を提供した後にのみ法定で有効
• 暗号化されたデータの提供を要求され, 解読する能力を持たない場合, 暗号化されたデータを提供することができる
• 法律で認められている場合, データの開示の前にユーザに連絡する
  • スイスの法律ではデータ要求の対象者に通知をすることが定められている
  • この通知は当局から行われる場合がある
• 公共の利益がある場合, データ要求に異議を唱える場合がある
  • この場合, 全ての法的, 救済措置が完了するまでデータ要求に応じない
• ただし, GDPR, スイスの法律により, 攻撃に対する防御を目的としたデータの開示は認められる

アクセス権, 訂正権, 消去権, データポータビリティ権, 監査機関に対する不服申し立て権

プライバシーポリシー内にあるデータ主体権のうち4つ (NOT 5) と1を題にした項目.

内容は

• Proton Technologies AG が処理したデータを, ユーザはサービス経由でアクセス, 編集, 削除, エクスポートすることができる
• アカウントが凍結されている場合はサポートにリクエストを送ることでこれらの操作を実行できる
• これらの権利が侵害された場合, 監査機関に不服を申し立てることができる

プライバシーポリシーの改訂

• 改訂はブログ上で通知される
• サービスを継続的に使用することで改訂に同意したと見做される

参考:

• Privacy policy
• Human verification — checking you’re a human when you sign up for Proton Mail | Proton
• Introducing alternative routing to prevent censorship of Proton apps | Proton
• Terms of service
• Help us pick future datacenter locations : ProtonMail
• Proton Mail and Google Analytics | Proton