プライバシーポリシー

施行日: 2025年X月X日

第1条 はじめに

ココロMap(以下「本サービス」)は、ユーザーのプライバシーを尊重し、個人情報の保護に最大限配慮いたします。 本プライバシーポリシー(以下「本ポリシー」)は、本サービスにおける個人情報の収集、利用、管理について定めるものです。

本サービスの特性上、ユーザーの心理状態に関するセンシティブな情報を扱うため、特に高いセキュリティ基準を適用しています。

第2条 収集する情報

本サービスでは、以下の情報を収集します。

(1) アカウント情報

  • メールアドレス
  • 表示名(ニックネーム)
  • パスワード(ハッシュ化して保存)

(2) 会話データ

  • セッション中のユーザー入力内容
  • AIによる応答内容
  • 生成された状態マップデータ(ゲージ値、洞察等)
  • 提案されたアクション項目とその完了状態

(3) 利用データ

  • セッションの開始・終了日時
  • サービスの利用状況(セッション回数等)

第3条 情報の利用目的

収集した情報は、以下の目的で利用します。

  • ユーザー認証およびアカウント管理
  • AIによる対話の提供と状態マップの生成
  • 過去のセッション情報を参照した経過追跡
  • アクションの管理と進捗確認
  • サービスの改善および品質向上
  • 不正利用の防止およびセキュリティの確保
  • 重要なお知らせの通知(規約変更、サービス停止等)

第4条 会話データの暗号化について

本サービスでは、ユーザーの会話データを特に機密性の高い情報として扱い、以下のセキュリティ対策を講じています。

  • 会話メッセージの内容は、AES-256-GCM方式によるフィールドレベル暗号化を適用し、データベースに保存します。
  • 暗号化キーは環境変数として厳重に管理され、データベースとは分離して保管されます。
  • 暗号化されたデータは、サービス提供に必要な場合にのみ復号化されます。

第5条 第三者への情報提供

(1) Anthropic社(Claude API)

AIによる対話機能を提供するため、セッション中のユーザー入力内容はAnthropic社のClaude APIに送信されます。 Anthropic社のデータ取り扱いについては、Anthropic社のプライバシーポリシーをご参照ください。

(2) その他の第三者提供

上記を除き、以下の場合を除いて、ユーザーの個人情報を第三者に提供することはありません。

  • ユーザー本人の同意がある場合
  • 法令に基づく場合
  • 人の生命、身体または財産の保護のために必要がある場合

第6条 Cookieの利用

本サービスでは、ユーザー認証のセッション管理を目的としてCookieを使用しています。

使用するCookieは認証に必要な最小限のものであり、広告目的のトラッキングCookieは使用しません。

ブラウザの設定でCookieを無効にすることは可能ですが、その場合、本サービスの一部機能が正常に動作しない場合があります。

第7条 データの保持期間と削除

1. ユーザーのデータは、アカウントが有効である期間中、保持されます。

2. ユーザーは、設定画面からアカウントの削除を要求できます。アカウント削除時には、関連する全てのデータ(プロフィール、セッション、会話履歴、状態マップ、アクション)が完全に削除されます。

3. アカウント削除後のデータ復元はできません。

4. 法令上保持が義務づけられるデータについては、法定期間の経過後に削除します。

第8条 ユーザーの権利

ユーザーは、自己の個人情報について以下の権利を有します。

  • アクセス権: 保存されている自己のデータの内容を確認する権利
  • 修正権: 不正確なデータの修正を求める権利
  • 削除権: アカウントおよび関連データの削除を求める権利
  • データポータビリティ: 自己のデータのエクスポートを求める権利

これらの権利の行使を希望される場合は、設定画面またはお問い合わせ先までご連絡ください。

第9条 未成年者の利用について

1. 16歳未満の方は、保護者の同意を得た上で本サービスをご利用ください。

2. 保護者の方は、お子様がどのようなサービスを利用しているかをご確認いただくことをお勧めします。

3. 16歳未満の方のデータについて、保護者から削除の要求があった場合は、速やかに対応いたします。

第10条 セキュリティ対策

本サービスでは、ユーザーの情報を保護するために以下のセキュリティ対策を実施しています。

  • 通信の暗号化: HTTPS(TLS)による通信の暗号化
  • データベースアクセス制御: Row Level Security(RLS)による行レベルのアクセス制御
  • フィールドレベル暗号化: 会話内容のAES-256-GCM暗号化
  • CSRF対策: APIリクエストのOriginヘッダー検証
  • 認証セキュリティ: パスワードのハッシュ化、セッショントークンの安全な管理

ただし、インターネットを通じたデータの送受信において、完全なセキュリティを保証することは技術的に困難であることをご理解ください。

第11条 改定

1. 運営は、必要に応じて本ポリシーを改定することがあります。

2. 重要な変更がある場合は、サービス内での通知またはメールにてお知らせします。

3. 改定後のポリシーは、本ページに掲載した時点で効力を生じるものとします。

第12条 お問い合わせ先

本ポリシーに関するお問い合わせは、以下の連絡先までお願いいたします。

メール: metamoria.info@shanimuni.com

本サービスは医療行為ではありません