規約

第1条（本ポリシーの目的）

本プライバシーポリシー（以下「本ポリシー」といいます。）は、AI Contents Bank（以下「本サービス」といいます。）が、本サービスのユーザーから取得する個人情報および利用情報を、いかなる範囲で、いかなる目的のために取得・利用・保管・第三者提供・国外移転するか、ならびに、ユーザーが自らの情報に対して行使できる権利を定めるものです。

第2条（当社が取得する情報）

当社は、本サービスの提供にあたり、以下の情報を取得します。

2-1. ユーザーが当社に提供する情報

• アカウント作成時: 本サービスは X（旧 Twitter）または Threads の OAuth 連携によるログインのみを採用しています。OAuth 連携時に、各プロバイダから次の情報を取得します。
  • X：プロバイダ ID、表示名、ユーザー名（@ハンドル）、プロフィール画像 URL（取得できる場合のみ）
  • Threads：プロバイダ ID、ユーザー名、表示名、プロフィール画像 URL（取得できる場合のみ）
• プロフィール設定: 表示名（最大 50 文字）、自己紹介（最大 500 文字）、ユーザーアバター画像、得意領域 AI サービス
• AI Solution Kit 投稿（Phase2 以降）: タイトル、Goal、サムネイル画像、ジャンル、AI サービス、タグ、各 Step のタイトル・説明、各 Block の内容（PROMPT 本文、FILE、LINK URL）
• コメント・お気に入り・進捗: コメント本文、お気に入り登録履歴、Step 完了進捗
• 招待コード: 登録時に任意で入力された招待コード文字列
• お問い合わせ: 「運営にお問い合わせ」「アカウント削除を申請」のリンクから外部 Google Form を通じて送信されたお問い合わせ内容

2-2. 本サービス利用時に自動的に取得する情報

• 使用情報: ログイン履歴、AI Solution Kit の閲覧履歴、お気に入り、コメント、フォロー、シェア、Step 完了の記録、検索クエリ、フィルタ操作、ソート操作
• 端末情報: IP アドレス、ブラウザの種類およびバージョン、OS、画面解像度、言語設定、リファラ URL
• Cookie および類似のテクノロジー: セッション維持、認証、レコメンド、Google Analytics 4 によるアクセス解析のために使用します（詳細は第5条）

2-3. 第三者から取得する情報

• OAuth プロバイダ（X・Threads）からの情報: ユーザーがアプリ認可時に同意した範囲のプロフィール情報
• 本サービスのインフラ・分析パートナーから取得する集計情報: Google Analytics 4、Vercel Analytics（採用しない予定）、Supabase ダッシュボードから取得する集計データ

2-4. 取得しない情報

• クレジットカード番号・銀行口座番号: Phase1・Phase2 では当社は支払情報を取得しません。Phase3 で Stripe Connect が導入された場合、決済情報は Stripe に直接送信されるため、当社のサーバには保存されません。
• メールアドレスおよび電話番号: OAuth プロバイダから取得できる場合がありますが、本サービスは原則としてメールアドレス・電話番号を主要識別子としては使用しません。OAuth プロバイダの設定により非提供となる場合もあります（例：Threads はメールアドレスを返却しません）。

第3条（利用目的）

当社は、取得した情報を以下の目的の範囲内で利用します。

1. 本サービスのアカウント作成、認証、セッション管理、ユーザー識別
2. AI Solution Kit、コメント、お気に入り、フォロー、進捗、検索結果その他本サービスの機能の提供
3. レコメンデーション（おすすめ AI Solution Kit、人気順ソート等）の生成
4. スパム、不正アクセス、なりすまし、ファイルマルウェアの検知および防止
5. レート制限、honeypot、新規ユーザー制限、コメント連投制限その他のスパム対策の運用
6. 招待コードの管理および Phase3 における手数料優遇判定
7. 本サービスの利用状況の分析、機能改善、品質向上、ユーザーリサーチ
8. 法令の遵守、紛争解決、法的請求への対応、行政機関への対応
9. ユーザーからのお問い合わせへの対応
10. 生成 AI モデルの訓練データとしての利用は行いません。ただし、スパム検知・推薦・検索精度向上等、本サービスの提供に必要な範囲での機械学習モデルの学習は除きます。

第4条（第三者提供および外部委託先）

4-1. 業務委託に伴う情報処理

本サービスの提供に必要な範囲で、ユーザー情報を以下の外部サービス提供事業者に取り扱わせます。当社は、各事業者との間で適切な秘密保持契約および個人情報の取扱いに関する取決めを締結します。

4-2. OAuth プロバイダとの連携

本サービスは、ログインに X（X Corp.）および Threads（Meta Platforms Ireland Limited 等）の OAuth 連携を用います。OAuth 連携の際、各プロバイダのプライバシーポリシーが適用されます。

• X：https://x.com/ja/privacy
• Meta / Threads：https://privacycenter.instagram.com/policy（Threads 適用ポリシーは Meta の Threads 補足規約を参照）

4-3. SNS シェア機能

本サービスの SNS シェア機能（X・Threads シェアボタン）は、各 SNS のインテント URL を新規タブで開く方式を採用しています。当社は、シェアボタンクリック数等の集計データを内部統計として保持しますが、シェアによってユーザーが各 SNS に投稿した内容を直接取得することはありません。

4-4. 法令に基づく開示

当社は、次の各号に該当する場合、ユーザーの個人情報を本人の同意なく開示することがあります。

1. 法令、裁判所の命令、捜査機関の正式な開示請求に応じる場合
2. 人の生命、身体または財産の保護のために必要であり、本人の同意を得ることが困難である場合
3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要であり、本人の同意を得ることが困難である場合
4. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることでその事務の遂行に支障を及ぼすおそれがある場合

4-5. 第三者提供しない事項

当社は、上記第4条 4-1 〜 4-4 で定める場合を除き、ユーザーの個人情報を第三者に提供することはありません。当社は、ユーザーの個人情報を販売しません。

第5条（Cookie および類似のテクノロジー）

1. 本サービスは、以下の目的のため Cookie および類似のテクノロジー（LocalStorage、SessionStorage を含みます）を使用します。
   • セッション維持および認証（Supabase Auth）
   • ユーザー識別および利用状況の分析（Google Analytics 4）
   • ユーザーインターフェースの設定の記憶（タブ選択、フィルタ条件、ソート条件等）
2. ユーザーは、ブラウザの設定で Cookie の受け入れを拒否することができます。ただし、その場合、本サービスの一部機能（特にログインを要する機能）が正常に動作しないことがあります。
3. 当社は、Cookie バナーを表示しません。本サービスは、Cookie の利用について、本ポリシーへの同意をもって包括的に同意を取得します。

第6条（情報の保存期間）

1. アカウント情報（プロフィール、users レコード）は、ユーザーがアカウントを保有している間、保存されます。アカウント削除申請（ヘッダーメニューの Google Form 経由）が承諾された場合、原則として 30 日以内に物理削除します。
2. AI Solution Kit、コメント、お気に入り、進捗等のユーザー生成データは、当該データが削除されるまで、または対応するアカウントが削除されるまで保存されます。
3. ログイン履歴（login_events）およびシェアイベント履歴（share_events）は、90 日後に自動的に物理削除されます。集計値は累計値として users.login_count、users.share_count、solution_kits.share_count に保持されます。
4. AI Solution Kit のお気に入り数、閲覧数、フォロー数、フォロワー数の日次履歴（kit_favorite_history、kit_view_history、user_follow_history）は、730 日（2 年）後に自動的に物理削除されます。
5. ウイルススキャン結果（file_scans）のうち、status = 'CLEAN' のレコードは 90 日後に物理削除されます。status = 'INFECTED' のレコードは、監査用に永久保存されます。
6. 管理者操作の監査ログ（admin_audit_logs）は、運用の透明性確保のため永久保存されます。
7. BAN 措置を受けたユーザーについては、繰り返しの新規アカウント作成を防止するため、識別子（X / Threads のプロバイダ ID 等）を無期限に保存することがあります。
8. 法令、裁判所の命令、捜査機関の請求その他正当な理由により、当社は上記期間を超えて情報を保持することがあります。

第7条（国外移転）

1. 本サービスは、第4条 4-1 に記載のとおり、米国その他の国に所在するクラウド事業者を業務委託先として利用するため、ユーザーの個人情報は日本国外に転送・保管されることがあります。
2. 当社は、国外移転先の事業者との間で、個人情報の保護に関する適切な契約（標準契約条項を含みます）を締結するよう努めます。
3. ユーザーは、本ポリシーに同意することにより、上記の国外移転に同意したものとみなされます。

第8条（ユーザーの権利）

ユーザーは、自らの個人情報について、以下の権利を行使できます。

1. アクセス権: 当社が保有するユーザーの個人情報の開示を請求する権利
2. 訂正権: 当社が保有するユーザーの個人情報の訂正、追加、削除を請求する権利。ユーザーダッシュボード画面から、プロフィール情報、得意領域 AI サービス、ユーザーアバターについては、ユーザー自身が直接更新できます。
3. 削除権 / アカウント削除権: ヘッダーメニューの「アカウント削除を申請」リンクから Google Form を通じてアカウント削除を申請する権利
4. 同意撤回権: 同意を撤回する権利（ただし、撤回までに行われた処理の適法性には影響しません）
5. 苦情申立権: 当社の個人情報取扱いについて、所轄の個人情報保護委員会その他の監督機関に苦情を申し立てる権利

これらの権利の行使方法および当社の連絡先は、第12条をご参照ください。本人確認のため、追加の情報の提供を求める場合があります。

第9条（未成年者の利用）

1. 本サービスは、13 歳未満の方の利用を認めていません。13 歳未満であることが判明したユーザーについては、当社は当該アカウントを削除する措置を講じます。
2. ユーザーは、自国における個人データ処理の同意が可能な年齢に達しているか、または法定代理人の同意を得ていることを表明し保証します。

第10条（安全管理措置）

当社は、ユーザーの個人情報の漏洩、滅失、毀損を防止するため、以下を含む合理的な安全管理措置を講じます。

1. 組織的安全管理: 個人情報取扱責任者の設置、定期的な内部監査
2. 人的安全管理: 業務委託先との秘密保持契約、従業員教育
3. 物理的安全管理: クラウド事業者のデータセンタにおけるアクセス制御
4. 技術的安全管理: 通信経路の TLS 暗号化（Vercel および Caddy）、データベースアクセスの最小権限化（RLS による Row Level Security）、二要素認証の推奨、ファイルアップロードのウイルススキャン（ClamAV）、SQL インジェクション・XSS・CSRF 対策（Next.js Server Actions の組み込み機能を含みます）

第11条（本ポリシーの変更）

1. 当社は、法令の改正、運用状況、ユーザーの利便性等を踏まえ、本ポリシーを随時改訂することがあります。
2. ユーザーの権利義務に重大な影響を及ぼす改訂を行う場合、当社は、改訂前に本サービス上での告知または登録メールアドレスへの通知を行うよう努めます。
3. 改訂後の本ポリシーは、本サービス上に掲載された時点から効力を生じます。改訂後にユーザーが本サービスの利用を継続した場合、改訂後の本ポリシーに同意したものとみなされます。

第12条（連絡先）

本ポリシーに関するお問い合わせ、開示・訂正・削除請求、苦情の申し立てその他のご連絡は、以下の窓口にて受け付けます。

• 名称：FirstNova（屋号、個人事業主）
• 個人情報取扱責任者：堀本修治
• 住所：非公開（個人事業主のため公開していません。電子メールまたは Google Form を通じてお問い合わせください）
• お問い合わせ：本サービスのヘッダーメニュー「運営にお問い合わせ」リンクから Google Form 経由でご送信ください
• メールアドレス：ai-contents-bank@gmail.com（件名に「個人情報に関するお問い合わせ」と明記してください）