透明性センター

60 秒で検証できる 5 つのこと

• 私のサーバーにはデータがゼロ。以上。（「サブプロセッサー」を参照。暗号文に触れるのは Apple のみで、それもあなたが iCloud 同期を選択した場合に限ります。）
• 解析ゼロ、広告 SDK ゼロ、エラー報告サービスゼロ。（下のサブプロセッサー一覧を参照。）
• セキュリティインシデントの公開ログ。現在は空です。（下の「インシデント」を参照。）
• 日付付きロードマップ。暗号コアのオープンソース化＋独立監査は 2026 年に実施することをコミットしています。（下の「ロードマップ」を参照。）
• 独立検証経路。ホワイトペーパー＋ GitHub ＋監査者メール。あらゆる主張をソースに照らして確認できます。（下の「検証」を参照。）

データ処理者（完全リスト）

以下は、私の代わりにあなたのデータを処理するすべての事業者の完全なリストです。このリストは意図的に短く保たれています。

• Apple Inc.: Cupertino, California, USA. Role: data processor for iCloud Keychain sync, CloudKit Private Database sync, StoreKit subscription handling. Data handled: AES-256-GCM ciphertext only (Apple cannot decrypt). Privacy contact: [email protected] / apple.com/privacy. Legal mechanism for EU/UK transfers: EU-US DPF + SCCs Module 2.
• Have I Been Pwned (haveibeenpwned.com): Troy Hunt が運営。役割：オプションの漏洩検出（ユーザーが有効化した場合のみ）。送信データ：パスワードの SHA-1 ハッシュの先頭 5 文字（k-匿名）。実際のパスワードは端末から出ません。個人識別子は一切送信しません。
• （以上です。）: アナリティクス事業者、広告ネットワーク、エラー報告サービス、マーケティングオートメーション、メールサービス、チャットウィジェット、サードパーティ SDK — いずれもありません。新しい処理者が追加される場合、本ページが更新され、重大な変更にはアプリ内通知が出ます。

セキュリティインシデント記録

アーキテクチャ上、私はあなたのヴォールトデータに平文でアクセスする手段を持ちません — そのため、想定しうる漏洩の影響範囲は私自身のインフラ（例：マーケティング用データベースの侵害）に実質的に限定されます。万一個人データの漏洩が発生した場合、(1) 認知から 72 時間以内に関係監督機関へ通知（GDPR 第 33 条 / PIPL 第 57 条）、(2) 影響を受けるユーザーへ不当な遅延なく通知（GDPR 第 34 条 / CCPA § 1798.82）、(3) このページに公開告知、を約束します。

現在のステータス：インシデント 0 件: 現時点で報告すべきセキュリティインシデントはありません。本ページはステータスが変わるたびに更新され、過去のインシデント（あれば）は透明性のため引き続き表示されます。

公開ロードマップ

信頼には曖昧な約束ではなく、具体的な日付が必要です。以下は私が届けると約束したことです。

• 暗号コアのオープンソース化（2026 Q3）: The Argon2id key derivation, HKDF key hierarchy, and AES-256-GCM field encryption code will be published to GitHub under MIT license. The non-crypto UI / business logic remains closed source for now. Follow @ByteGuardApp on GitHub to be notified.
• 第三者独立セキュリティ監査（2026 Q4）: 候補：Trail of Bits、Cure53、Doyensec のいずれか。範囲：暗号コア + Keychain 連携 + iCloud 同期 + AutoFill 拡張。最終レポートは /security/audit-2026 で全文公開します。
• Bug Bounty プログラム（監査後に開始）: 監査完了後、HackerOne または Intigriti で Bug Bounty プログラムを開始します。初期スコープ：暗号化／認証フロー。最低報酬：100 USD。
• SOC 2 Type II セルフアテステーションページ: 正式な SOC 2 監査は受けていません（小規模の処理者のため）が、SOC 2 の 5 つの信頼原則（セキュリティ、可用性、処理の完全性、機密性、プライバシー）を実装にマッピングしたセルフアテステーションページを公開します。

あらゆる主張を独立して検証する方法

信用は控えめに、検証は積極的に。本サイトのアーキテクチャに関するあらゆる主張は、以下と照合できます：

• /whitepaper のセキュリティホワイトペーパー — すべての暗号設計を、パラメータ・脅威モデル・参考文献付きで正式な仕様として記載しています。
• GitHub リポジトリ（2026 Q3 以降）— Argon2id のパラメータ、AES-256-GCM の IV ハンドリング、BIP39 のエントロピー源を読み、仕様とソースが一致するかを検証してください。
• /security の鍵導出ダイアグラム — マーケティング図ではなく、アプリ内の実際のフロー。ホワイトペーパーと比較してください。
• Email me a specific question with the line of source you can't make sense of: [email protected]. I respond within 7 days. (If I don't, that itself is a signal.)
• 2026 Q4 以降：/security/audit-2026 で第三者監査レポートを参照してください。

連絡窓口

用件ごとに別々のアドレスにお寄せください。記載の SLA 内で返信できるよう努めます。

• 一般的なプライバシー / データ主体からの請求: [email protected] · 30 days SLA (GDPR Art. 12(3)) · 15 working days (PIPL Art. 50) · 45 days (CCPA / CPRA, extendable).
• セキュリティ脆弱性の報告: [email protected] (subject: [SECURITY]) · acknowledged within 48 hours · responsible disclosure preferred. After Q4 2026 a HackerOne / Intigriti channel will replace this.
• B2B / DPA リクエスト（データ処理契約）: [email protected] (subject: [DPA REQUEST]) · I do not have a pre-signed DPA template (small-scale, no enterprise customers yet); for now, the GDPR Art. 28(3) requirements are met via the published Privacy Policy + this Transparency page. Custom DPA negotiation possible for committed enterprise pilots.
• 報道・メディアからの問い合わせ: [email protected] (subject: [PRESS]) · public information only — no comment on individual users or accounts under any circumstances.
• 監督機関への苦情: EU/UK：各国のデータ保護機関（ICO、CNIL、BfDI、IDPC など）。中国本土：国家インターネット情報弁公室（CAC）または地方のサイバースペース当局。カリフォルニア：カリフォルニア州司法長官。あらゆる合法的な照会に協力します。