プライバシーポリシー

本サービスでは、以下の個人情報を取得します:

• メールアドレス(アカウント登録時)
• ユーザー名(任意、アカウント登録時)
• 認証情報:パスワード(Supabase Auth を経由し、ハッシュ化した状態でのみ保存します。運営者が平文パスワードを保持・閲覧することはありません)
• 決済情報:クレジットカード番号、有効期限、セキュリティコード等は、決済代行事業者である Stripe, Inc. にて処理されます。運営者はこれらの情報を一切保持しません。運営者が保持するのは、決済ステータス・プラン種別・課金期間・Stripe が発行する顧客 ID 等の契約管理情報のみです
• 投稿内容:論作文の本文、テーマ、提出日時
• 採点結果:スコア、評価コメント、AI が生成したフィードバック
• アクセスログ:IP アドレス、User-Agent、アクセス日時、リクエストパス、リファラ
• Cookie 情報:第9条に定める用途に関するもの(※ 分析用 Cookie はユーザーの同意取得後のみ有効化されます)
• プッシュ通知エンドポイント(デバイストークン):プッシュ通知の購読を選択したユーザーの端末識別情報。Web Push API を通じて取得し、ユーザーが購読を解除した時点で削除します

取得した個人情報は以下の目的で利用します:

• 本サービスの提供・運営のため
• ユーザー認証およびアカウント管理のため
• ユーザーからのお問い合わせに回答するため
• サービスの改善・新機能の開発のため(個人を特定しない形での統計分析を含む)
• 利用規約違反行為への対応のため
• 有料プランの課金・請求処理のため
• メンテナンス情報等の重要なお知らせを配信するため
• 学習リマインド等のプッシュ通知を配信するため(購読を選択したユーザーのみ)
• 法令に基づく対応のため

運営者は、次の各号に定める場合を除き、あらかじめユーザーの同意を得ることなく、第三者に個人情報を提供しません:

• 法令に基づく場合
• 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
• 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
• 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合

なお、本サービスの運営に必要な業務を次条に定める委託先に委託するにあたり当該委託先へ個人情報を提供する場合は、本条にいう第三者提供には該当しません。

【委託先一覧】

• Stripe, Inc. — 所在国:アメリカ合衆国(処理により EU アイルランドの関連会社を経由する場合あり)/委託業務:クレジットカード決済処理/認証・準拠基準:PCI DSS Level 1
• Supabase Inc. — 所在国:アメリカ合衆国(データホスティングリージョンは Supabase Inc. が指定する地域)/委託業務:データベースおよび認証基盤の提供/認証・準拠基準:SOC 2 Type II
• Vercel Inc. — 所在国:アメリカ合衆国/委託業務:Web アプリケーションおよび API のホスティング/認証・準拠基準:SOC 2 Type II
• Anthropic, PBC — 所在国:アメリカ合衆国/委託業務:AI による論作文の採点・添削処理(Claude API 経由)/認証・準拠基準:SOC 2 Type II
• Google LLC — 所在国:アメリカ合衆国/委託業務:アクセス解析(Google Analytics 4)/認証・準拠基準:Google Ads Data Processing Terms、EU-US Data Privacy Framework
• Microsoft Corporation — 所在国:アメリカ合衆国/委託業務:ユーザー行動分析・セッション録画(Microsoft Clarity)/認証・準拠基準:ISO/IEC 27001、ISO/IEC 27701、EU-US Data Privacy Framework

【講じている安全管理措置】

• 各委託先との間で適切な契約を締結し、目的外利用・再提供を禁止しています
• すべての通信は TLS により暗号化されています
• 各委託先の情報セキュリティ体制については、上記の第三者認証(SOC 2 等)により確認しています

【各委託先のプライバシーポリシー】

• Stripe:https://stripe.com/privacy
• Supabase:https://supabase.com/privacy
• Vercel:https://vercel.com/legal/privacy-policy
• Anthropic:https://www.anthropic.com/legal/privacy
• Google:https://policies.google.com/privacy
• Microsoft:https://privacy.microsoft.com/privacystatement

【組織的安全管理措置】

• 個人情報の取扱いに関する責任者(個人情報保護管理者)を設置しています
• 個人情報の取扱状況について、定期的に自己点検を実施します

【人的安全管理措置】

• 個人情報の取扱いに従事する者に対し、必要な管理監督を行います

【物理的安全管理措置】

• 本サービスのデータは、Supabase および Vercel の各委託先事業者が運用するクラウドインフラ上に保管されます。各インフラは、物理的アクセス制限、24時間監視、耐火・耐震設備等を備えたデータセンターで運用されています

【技術的安全管理措置】

• 個人情報を取り扱うシステムへのアクセス制御、認証、および通信の暗号化(TLS)を実施しています
• 認証用パスワードはハッシュ化した上で保存し、平文では保持しません
• 外部からの不正アクセス、マルウェア等に対する防御措置を講じています
• データベースへのアクセスは、Supabase の Row Level Security によりユーザー単位で制限しています

1. ユーザーは、自己の保有個人データについて、次に掲げる請求を行うことができます:

• 利用目的の通知の請求
• 開示の請求(電磁的記録による提供を含む)
• 内容が事実でないときの訂正、追加または削除の請求
• 利用目的による制限を超えた利用がなされているとき等の利用の停止または消去の請求
• 第三者提供の停止の請求

【必須 Cookie】

• ログインセッションの維持(Supabase Auth が発行するセッション Cookie)

これらは本サービスの提供に必要不可欠であり、無効化した場合はログイン状態を維持できず、本サービスの主要機能をご利用いただけなくなります。

• Google Analytics 4(提供:Google LLC)/利用目的:ページ閲覧数、滞在時間、参照元等の利用状況分析/opt-out 方法:Google アナリティクス オプトアウト アドオン(https://tools.google.com/dlpage/gaoptout)の導入、または後述の Cookie 同意バナーから「同意しない」を選択
• Microsoft Clarity(提供:Microsoft Corporation)/利用目的:ヒートマップ・セッション録画によるユーザー行動分析およびサービス改善/データは匿名化され、個人を特定する情報は収集しません/opt-out 方法:後述の Cookie 同意バナーから「同意しない」を選択

これらの分析用 Cookie は、ユーザーの明示的な同意が得られた場合にのみ有効化されます。

運営者が取得した個人情報の保持期間は、以下のとおりとします:

• アカウント情報(メールアドレス、ユーザー名、パスワードハッシュ):ユーザーが退会するまで。退会後 30 日以内に削除します。
• 投稿内容(論作文本文・テーマ):ユーザーが退会するまで。退会後 30 日以内に削除します。ただし、ユーザーがマイページから個別に削除した場合は、その時点で速やかに削除します。
• 採点結果(スコア・フィードバック):投稿内容と同様に取り扱います。
• 決済関連情報(プラン契約状況、課金履歴):退会後も、税法その他の法令上の保存義務がある期間については保持します(通常、関連する帳簿書類として最大 7 年間)。
• アクセスログ:取得後 90 日間保持し、その後削除します。ただし、不正アクセス等の調査のために必要な場合は、調査終了時まで保持することがあります。