プライバシーポリシー
はじめに
つむぎや株式会社(以下「当社」)は、本サービス「DrillSpark」(以下「本サービス」)におけるユーザーの個人情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
本ポリシーは、世界中のすべてのユーザーに適用されます。特定の地域(EU/英国、カリフォルニア州)のユーザー向けの追加規定は、以下の専用セクションに記載しています。
収集する情報
当社は、以下のカテゴリの情報を収集します。
アカウント情報
メールアドレス、氏名(Googleアカウント連携時)、ユーザーID
利用情報
作成したフローチャート、プロジェクトデータ、AIプロンプトと生成コンテンツ、機能利用パターン
決済情報
決済履歴、サブスクリプション状況(クレジットカード情報はStripeが処理し、当社では保存しません)
技術情報
IPアドレス、ブラウザの種類、デバイス情報、OS、アクセス日時
位置情報
IPアドレスから取得した概算位置(国/地域レベルのみ)
情報の利用目的
当社は、収集した情報を以下の目的で利用します。
| 目的 | 法的根拠(GDPR) |
|---|---|
| 本サービスの提供・運営 | 契約履行 |
| ユーザー認証およびアカウント管理 | 契約履行 |
| 課金およびサブスクリプション管理 | 契約履行 |
| AIクレジット管理および不正防止 | 正当な利益 |
| カスタマーサポート | 契約履行 / 正当な利益 |
| 利用状況の分析とサービス改善 | 正当な利益 |
| セキュリティ監視 | 正当な利益 |
| サービスに関するお知らせ | 契約履行 |
| マーケティング(任意) | 同意 |
AI機能とデータ処理
当社はユーザーコンテンツをAIモデルの学習に使用しません。お客様の図やデータはプライベートに保たれ、学習目的でAIプロバイダーと共有されることはありません。
AI機能の仕組み
- プロンプトはリアルタイムで応答を生成するためにAIプロバイダーに送信されます
- 現在のセッション以降、AI会話履歴は保存しません
- AI生成コンテンツはプロジェクトの一部となり、同様の保護を受けます
AIプロバイダー
- Google Gemini: API規約に基づき、データは学習に使用されません
- OpenAI: API規約に基づき、デフォルトでデータは学習に使用されません
第三者サービス
本サービスの提供にあたり、以下のサービスを利用しています。
Supabase
データベース・認証基盤
Stripe
決済処理(PCI-DSS準拠)。クレジットカード情報はStripeのみが保存します。
Google Analytics
利用状況の分析・コンバージョン追跡
Microsoft Clarity
セッション記録・ヒートマップによるUX改善
Cloudflare
セキュリティ、CDN、AI APIゲートウェイ
Vercel
Webアプリケーションホスティング
国際的なデータ移転
お客様のデータは、米国や日本を含む居住国以外の国に移転され、処理される場合があります。当社は適切な保護措置を講じています。
EU/英国/スイス向け
- 標準契約条項(SCCs)
- EU-USデータプライバシーフレームワーク(該当する場合)
- 英国国際データ移転契約(IDTA)(必要に応じて)
セキュリティ対策
すべてのデータは転送中(TLS)および保存時に暗号化されています。
Cookieの使用
当社はCookieおよび類似技術を使用しています。
- 必須Cookie: 認証、セッション管理、セキュリティ(無効化不可)
- 分析Cookie: Google AnalyticsおよびMicrosoft Clarity(オプトアウト可能)
- 設定Cookie: ユーザー設定の保存
ブラウザの設定でCookieを管理できます。必須Cookieを無効にすると、サービスが利用できなくなる場合があります。
データの保持期間
| データの種類 | 保持期間 |
|---|---|
| アカウント情報 | 削除時に即時削除 |
| プロジェクトデータ | 削除時に即時削除 |
| 決済履歴 | 最大7年(法的要件) |
| アクセスログ | 90日 |
| AI利用ログ | 90日 |
ユーザーの権利
お住まいの地域によって、以下の権利を有する場合があります。
- アクセス権: 個人データのコピーを請求する権利
- 訂正権: 不正確なデータの訂正
- 削除権: 削除を請求する権利(法的要件に従う)
- データポータビリティ: 構造化された形式でデータを受け取る権利
- 処理の制限: 特定の状況で処理を制限する権利
- 異議申立権: 正当な利益に基づく処理に異議を唱える権利
- 同意の撤回: いつでも同意を撤回する権利
権利行使方法: smart.lab.heaven@gmail.com までご連絡ください。30日以内に回答いたします。
EU/英国/スイス在住の方へ(GDPR)
データ管理者
つむぎや株式会社がデータ管理者です。連絡先: smart.lab.heaven@gmail.com
法的根拠
当社は、契約履行、正当な利益、法的義務、または同意に基づいてデータを処理します。
苦情申立権
お住まいの地域のデータ保護機関に苦情を申し立てる権利があります。
自動意思決定
当社は法的効果をもたらす自動意思決定は行っていません。
カリフォルニア州在住の方へ(CCPA/CPRA)
データの販売・共有はしていません
DrillSparkはCCPA/CPRAで定義される個人情報の「販売」または「共有」を行っていません。
カリフォルニア州の権利
- 知る権利: 収集される個人情報と使用方法
- 削除権: データの削除を請求
- 訂正権: 不正確な情報の訂正
- 差別禁止: 権利行使による不利益なし
収集するカテゴリ
- 識別子(メール、氏名、ユーザーID、IPアドレス)
- 商業情報(決済履歴)
- インターネット活動(利用データ)
- 位置情報(IPからの概算)
セキュリティ
当社はデータ保護のため適切な措置を講じています。
- 転送中(TLS/SSL)および保存時の暗号化
- アクセス制御と認証
- セキュリティ監視とログ記録
- セキュアな開発プラクティス
- インシデント対応手順
完全なセキュリティを保証することはできませんが、セキュリティインシデントには迅速に対応することをお約束します。
お子様のプライバシー
本サービスは16歳未満のお子様を対象としていません。当社はお子様から故意に情報を収集しません。お子様の情報を収集したと思われる場合は、直ちにご連絡ください。
プライバシーポリシーの変更
当社は必要に応じて本ポリシーを更新する場合があります。重要な変更については、原則としてサービス上またはメールで事前に通知します。ただし、緊急の場合(セキュリティ上の問題や法的要件など)は、予告なく即時に変更を行う場合があります。
お問い合わせ
プライバシーに関するお問い合わせや権利行使については、以下までご連絡ください。
つむぎや株式会社
メール: smart.lab.heaven@gmail.com
回答所要時間: 30日以内
制定日: 2026年2月7日
最終更新日: 2026年2月7日