プライバシーポリシー

収集する個人情報

• OAuthログイン情報: 氏名、メールアドレス、プロフィール画像 (Google、Kakaoから提供)
• 感情データ: 安定化ステージで選択した感情、グラウンディングの回答
• 変換画像: アップロードされた写真 (処理後すぐに削除、サーバーに保存しません)
• サークルデータ: チェックイン内容、気分スコア、実践の約束、仲間の返答、ニックネーム
• 決済情報: Stripeを通じたサブスクリプション情報 (カード番号はHealFrameサーバーに保存されません)
• セッションデータ: sessionStorageによる分析結果 (ブラウザを閉じると削除)
• 回復レポート: AI生成の分析結果と気分トレンドデータ

利用目的

• サービス提供: 回復ステージのガイダンス、個別化されたAIガイダンスの生成
• AI分析: Google Gemini APIによる安全分類、イメージリスクリプティング、回復の振り返り
• 決済処理: Stripeを通じたProサブスクリプション管理
• サービス改善: 匿名化された利用パターンの分析

処理の法的根拠 (GDPR)

EU/EEAのユーザーの個人データ処理は、以下の法的根拠に基づきます：

• 同意 (第6条1項a号): 画像アップロード、サークル参加、AI分析などのオプション機能の利用時
• 契約の履行 (第6条1項b号): サービス提供およびアカウント管理のための処理
• 正当な利益 (第6条1項f号): サービスのセキュリティ、不正防止、サービス改善
• 法的義務 (第6条1項c号): 決済記録の保管など法令遵守

第三者提供

• Google Gemini API: AI分析のためにテキストおよび画像データを送信します。APIを通じて送信されたデータは、GoogleのAIモデル学習には使用されません。Googleのプライバシーポリシーが適用されます。
• Stripe: 決済処理のために決済情報を送信します。Stripeのプライバシーポリシーが適用されます。
• OAuthプロバイダー (Google、Kakao): ログイン認証のために基本的なプロフィール情報を受け取ります。
• Vercel: サービスのホスティングおよびデプロイに使用されます。Vercelのプライバシーポリシーが適用されます。

国際データ移転

サービス運営のために、個人データが以下のように国外に移転される場合があります：

• Google (米国): AI分析のためのテキスト/画像データの送信。GoogleはEU-US Data Privacy Frameworkに参加しています。
• Stripe (米国): 決済処理のための決済情報の送信。StripeはEU-US Data Privacy Frameworkの認証を受けています。
• Vercel (米国): サービスホスティング。標準契約条項(SCC)が適用されます。

すべての国際移転は、十分性認定、標準契約条項(SCC)、またはEU-US Data Privacy Frameworkなどの適切な保護措置によって保護されます。

自動化された意思決定

本サービスは以下の自動化された処理を行います：

• AIコンテンツ安全分類: サークルのチェックインと返答に対して、AIが安全レベル(GREEN/AMBER/RED)を自動分類します。REDに分類されたコンテンツは自動的にブロックされ、危機リソースが表示されます。
• AI回復の振り返り: Proユーザーのチェックインに対して、AIが自動的にパーソナライズされた振り返りを生成します。

自動化された意思決定に異議を申し立てたり、人的介入を求める権利があります。contact@soursea.ioまでご連絡ください。

個人データの処理委託

本サービスは円滑な運営のために、以下のように個人データの処理を委託しています：

• Google LLC: AI分析処理 (テキスト/画像の安全分類、振り返り生成)
• Stripe, Inc.: 決済処理およびサブスクリプション管理
• Vercel, Inc.: サービスホスティング、デプロイ、サーバーレス関数の実行
• Resend, Inc.: メール配信サービス

保持期間

• アカウント情報: アカウント削除まで
• サークルデータ: サークル退会後30日以内に削除
• 変換画像: 処理後すぐに削除 (サーバーに保存しません)
• 決済記録: 関連法令に従い5年間保管

保持期間が満了した個人データは遅滞なく破棄されます。電子ファイルは復元不可能な方法で永久削除され、紙の文書はシュレッダーまたは焼却処分されます。

ユーザーの権利

• 閲覧権: 収集された個人情報の閲覧を請求できます。
• 削除権: アカウントおよび関連データの削除を請求できます。
• 同意撤回: いつでも個人情報の収集・利用への同意を撤回できます。
• 移転権: 構造化された形式(JSON)で自分のデータを受け取ることができます。アカウント設定から直接エクスポートできます。
• 訂正権: 不正確な個人情報の訂正を請求できます。
• 処理制限権: 特定の条件下で個人情報の処理の制限を請求できます。

児童の個人情報保護

本サービスは14歳未満の児童の個人情報を意図的に収集しません。米国のユーザーについてはCOPPA(児童オンラインプライバシー保護法)に従い13歳未満、EU/EEAのユーザーについてはGDPRに従い16歳未満(加盟国により異なる場合があります)の利用を制限します。該当年齢未満の児童の個人情報が収集されたことが判明した場合、直ちに削除します。

Cookieおよびローカルストレージ

本サービスは必須Cookieのみを使用し、トラッキングや広告目的のCookieは使用しません。

• NextAuthセッションCookie (必須): ログイン状態の維持に使用されます。ブラウザを閉じるかセッションが期限切れになると削除されます。
• Cookie同意Cookie (必須): Cookie同意の状態を保存します。1年間保持されます。
• localStorage (機能): テーマ設定(ライト/ダークモード)の保存に使用されます。
• sessionStorage (機能): ステージ間の分析結果の受け渡しに使用され、ブラウザを閉じると自動的に削除されます。

EU/EEAユーザーの追加権利 (GDPR)

EU/EEAに居住するユーザーは、上記の権利に加えて以下の権利を有します：

• 監督機関への苦情申立権: 居住国のデータ保護監督機関に苦情を申し立てることができます。
• 処理反対権: 正当な利益に基づく処理に対して反対することができます。
• 自動化された意思決定に関する権利: プロファイリングを含む自動化された意思決定の対象とならない権利があります。

カリフォルニア州消費者の権利 (CCPA/CPRA)

カリフォルニア州に居住するユーザーは以下の追加権利を有します：

• 知る権利: 収集、使用、共有、販売される個人情報のカテゴリおよび具体的な項目を知る権利があります。
• 削除請求権: 収集された個人情報の削除を請求できます。
• 販売/共有のオプトアウト権: 個人情報の販売または共有を拒否できます。
• HealFrameはユーザーの個人情報を販売せず、ターゲット広告目的で共有しません。
• 非差別: プライバシー権を行使しても、サービス利用において差別を受けません。

日本のユーザーへの通知 (APPI)

• 国外移転: 本サービスは、米国所在のGoogle、Stripe、Vercelに個人データを移転します。移転先の国の個人情報保護制度については、個人情報保護委員会のウェブサイトをご参照ください。
• 共同利用: サークル機能において、チェックイン内容、気分スコア、ニックネームは同じサークルのメンバー間で共同利用されます。共同利用の管理責任者はHealFrameです。
• 利用目的の特定: 個人データは上記に明示された目的の範囲内でのみ利用され、目的外利用の際は事前に同意を求めます。

韓国のユーザーへの通知 (PIPA)

• 個人情報保護責任者: HealFrame個人情報保護担当 (contact@soursea.io)。個人情報処理に関する苦情または被害救済は、個人情報紛争調停委員会(www.kopico.go.kr)、個人情報侵害申告センター(privacy.kisa.or.kr)でも対応可能です。
• 破棄手続および方法: 保持期間経過後または処理目的達成後、内部方針に従い遅滞なく破棄します。
• 安全性確保措置: 個人データの安全な処理のため、内部管理計画の策定、アクセス権限管理、アクセスログの保管、暗号化などの措置を実施しています。

お問い合わせ

個人情報に関するお問い合わせ: contact@soursea.io