Pendoは、お客様のデータの管理者です。お客様は弊社のツール、およびPendoと統合するソフトウェアを使用して、データを閲覧および処理できます。Pendoは、お客様のデータの完全性、セキュリティ、プライバシーの保護に関して、業界のベストプラクティスを遵守するとともに、SOC2、GDPR、CCPA、HIPAAなど、複数のグローバルなプライバシー規制を遵守しています。
Pendoにおける個人を特定できる情報(PII)
個人を特定できる情報(PII)、または機密性の高い個人データとは、単独で使用されるか、他の関連データとともに使用されるかにかかわらず、特定の個人を識別するために使用できるデータです。PIIには、メールアドレスや住所、氏名、国民ID番号、クレジットカード情報、財務情報、医療記録などが含まれます。
弊社はPIIや顧客データを販売したり配布したりせず、お客様のエンドユーザーデータのプライバシーを完全に管理します。お客様はご自身のデータを管理し、誰がそれを見ることができるかを制御できます。機密性の高い個人データは、Pendoの機能には不要です。
IDとメタデータ
多くのPendoサブスクリプションは、Pendoインスタンス内のメールやアカウント名などの追加メタデータや、セグメントを構築するためのその他の属性情報を提供していますが、これは必須ではありません。PIIを共有することに抵抗がある場合、Pendoが効果的に機能するために必要とするのはアプリケーションの各ユーザーに固有の識別子(ID)のみです。この場合、訪問者やアカウントのPIIは必要ありません。Pendoにとっては匿名の、ランダムに生成された値でも構いません。
ページ要素
デフォルトでは、お客様のアプリケーションのページ内のフィールド、ボタン、その他の要素の名前がアプリケーションデータと一緒に取得され、トラッキングが容易になりますが、ユーザーが入力した情報は含まれません。これらのページ要素には、お客様のアプリケーションUIに表示されるPIIが含まれる場合があります。API内ですべてのテキストキャプチャをオフにすることは可能ですが、アプリケーションデータで実行できる分析が制限される場合があります。
Pendoは、イベントプロパティを使用してデータ収集するように設定しない限り、アプリケーションのフォームフィールド内でユーザーが入力したテキストや情報を収集しません。
ジオロケーション情報
Pendoはデフォルトで、ページとイベントデータをPendoに送信するブラウザからIPアドレスとジオロケーション(位置情報)を取得します。これはオフにすることもできますが、この情報は、訪問者の所在地に基づいて異なる方法でPendoを実装したい場合に役立ちます。たとえば、EUデータセンター内でGDPRに準拠してデータを管理したい場合は、PendoサブスクリプションをEUインスタンス内に設定できます。
Pendoが収集したデータ
Pendoは、アプリケーションとのユーザーインタラクションを「イベント」の生データとして収集します。イベントには、個々のエンドユーザー(訪問者)の一意の識別子である訪問者IDなど、いくつかのデフォルトのプロパティがあります。Pendoでイベントデータを収集するために必要なのは訪問者IDのみですが、追加のユーザーデータをメタデータとしてPendoと共有し、分析やアプリ内ガイドのターゲティングに使用することもできます。
これに個人を特定できる情報(PII)を含めるかどうかを選択できます。詳細については、データ収集の防止戦略を参照してください。また、Pendoでは、管理データと処理データの両方について、削除要求に基づきデータを削除することができます。詳細については、データ削除およびデータ修正サービスを参照してください。
イベントデータ
イベントデータはPendoのバックエンドに送信され、Google Cloud Platform(GCP)で保存および処理されます。Pendoは、以下のユーザーインタラクションをイベントとして追跡します。
- ページ閲覧イベント:ページの読み込みとURLの変更。ページの読み込み時に、PendoはページのURL、一部のブラウザ情報(言語やブラウザのバージョンなど)、ページのタイトルを収集します(有効な場合)。
- クリックイベント:ボタン、リンク、その他のクリック可能な要素との直接のユーザーインタラクション。フィーチャーの使用状況やエンドユーザーのジャーニーを把握できます。
- フォーカスイベント:タブ入力による要素の強調表示など、クリック以外のユーザーインタラクション。ユーザーのフィーチャーの利用方法やアプリケーション内の移動方法を把握できます。
Pendoがクリックイベントやフォーカスイベントで追跡するHTML属性の詳細については、データ収集におけるHTML属性を参照してください。
メタデータ
お客様は、各訪問者とアカウントのメタデータをPendoに提供することができます。これらのメタデータフィールドを使用して、ガイドターゲティング用および一般的な分析用のセグメントを作成できます。
必須ではありませんが、メタデータを追加すると、有意義なインサイトが得られ、ガイドを効果的にターゲティングできるようになります。組織にとって適切なメタデータのセットは、ビジネス、IT、セキュリティの各関係者との協議の上で決定してください。お客様が弊社に渡すメタデータの一般的な例には、ユーザーの役割、料金プラン、メールアドレス、アカウント作成日、およびその他の人口統計学的情報が含まれます。
メタデータフィールドには、Pendoに渡された最新の値が反映されます。たとえば、ユーザーの役割が変更された場合、値にはPendoに渡された最新の役割が反映されます。詳細については、訪問者とアカウントのメタデータ設定を参照してください。
リプレイデータ
Pendoサブスクリプションでセッションリプレイが有効になっている場合、Pendoはアプリケーションのドキュメントオブジェクトモデル(DOM)の要素と、マウスの動き、クリック、フォーム送信などのアプリケーションとのユーザーインタラクションを取得します。訪問者のインタラクション全体を、定義済みのセッションとしてアプリケーション内で視覚的に表示できます。
テキストをアスタリスクに置き換えてマスクしたり、DOMの要素全体が取得されないようにしたりできます。これらの設定は、リプレイイベントが取得されたときにクライアント側で適用され、イベントが圧縮されてPendoに送信される前に適用されます。
セッションリプレイの詳細については、セッションリプレイの概要を参照してください。
データのリスク管理
このセクションでは、お客様のデータを安全な環境で管理するために、Pendoがデータを送信および保存する方法について説明します。
プライバシーと機密保持
プライバシーを確保するために、Pendoでは、お客様が特定の役割と権限に基づいてきめ細かいアクセス制御を設定して機密情報を不正アクセスから防いだり、データを暗号化して保護したりできます。Pendoが収集したアプリケーションデータはトランスポートレイヤーセキュリティ(TLS)を介して送信され、保存時にはAES-256で暗号化されます。
安全なストレージ
データの信頼性と正確性を維持するため、Pendoでは、お客様のアプリケーションデータを安全なマルチテナント環境でホストし、顧客データを論理的に分離することで、機密情報へのアクセスを制限しています。
Pendoは顧客データを分離するために以下を使用しています。
- サブスクリプションを名前空間ごとに分離するNoSQLデータベースであるGoogle Cloud Datastore。
- サブスクリプションをバケットごとに分離するオブジェクトストアであるGoogle Cloud Storage。
これにより、Pendoは、Google独自のサービスと同じ信頼性、パフォーマンス、セキュリティ特性を備えた、堅牢なマルチテナントインフラで運用することができます。
可用性とパフォーマンス
許可されたユーザーが情報に確実にアクセスできるように、PendoのJavaScriptエージェントは、Amazon Web Services(AWS)とCloudfrontコンテンツ配信ネットワーク(CDN)でホストおよび提供され、広範なサーバーネットワークとエッジキャッシングにより、迅速な読み込み時間を実現しています。AWSのサービスレベルアグリーメントにより、エージェント配信の99.9%のアップタイムが保証されています。
JavaScriptエージェントは約150KBに縮小および圧縮され、非同期でロードされます。これは、Pendoがダウンしてもアプリケーションが正常に動作し続けることを意味します。
データは、各訪問者のブラウザから弊社のサーバーにTLSで安全に送信されます。送信の頻度は、訪問者がどれだけアクティブかどうかによって異なります。データは、ネットワークパケットを満たすのに十分なデータがキャッシュされたとき、または訪問者がページから移動した場合、または2分以上非アクティブになった場合に、直ちに送信されます。データは送信前に圧縮され、1回の送信は2KB以下になります。Pendoセッションリプレイが有効になっている場合、この容量が大きくなり、5秒ごとに送信される可能性があります。
ページ要素とセグメントによっては、関連ページが読み込まれるときにガイドが読み込まれます。ガイドは、アクティベーションタイプとページ上でのユーザーの行動に応じて表示されます。ガイドの一般的な応答時間は1秒未満で、ガイドの99%が0.5秒未満で配信されます。