プライバシーポリシー
第 1 条 (事業者情報)
データビズ合同会社 (以下「当社」) は、 利用者の個人情報の保護を重要な責務と認識し、 個人情報保護法その他関連法令・ガイドラインを遵守するとともに、 以下のプライバシーポリシー (以下「本ポリシー」) に従い、 個人情報を適切に取扱います。
| 項目 | 内容 |
|---|---|
| 事業者名 | データビズ合同会社 |
| 法人代表者 | ご請求があれば遅滞なく回答いたします (個人情報保護法 32 条 1 項に基づく対応) |
| 所在地 | 東京都港区南青山二丁目2番15号 |
| 法人番号 | 8040003012485 |
| 連絡先 | contact@saika.cloud |
| ウェブサイト | https://www.saika.cloud |
第 2 条 (個人情報保護管理者 = CPO)
当社は、 個人情報の取扱に関する責任者として個人情報保護管理者 (Chief Privacy Officer) を選任します。 Phase 0 期においては当社代表社員 (代表者本人) が CPO を兼任します。 CPO に関するお問合せは第 17 条の窓口宛にお願いいたします。
第 3 条 (本ポリシーの適用範囲)
本ポリシーは、 当社が提供する彩華 (Saika) サービス (以下「本サービス」)、 関連するウェブサイト、 マイページ、 メール、 ダウンロード機能等、 当社が提供する全ての顧客向け機能に適用されます。
第 4 条 (取得する個人情報の範囲)
当社は本サービスの提供に必要な範囲で、 以下の個人情報を取得します。
4.1 利用者自身がご提供される情報
- 氏名 (任意項目、 ニックネーム可)
- メールアドレス (必須、 通知・ログイン用)
- 決済関連情報 (Stripe, Inc. 経由で処理。 当社サーバには保存しません)
- アップロード写真 (顔写真、 全身写真等、 利用者本人のもの)
- 利用者以外の方が写り込んだ写真をご利用の場合、 ご本人の顔部分のみを利用者の端末 (ブラウザ) 内で切り抜いた画像がアップロードされます。 切り抜き前の元の写真、 及び利用者以外の方の顔データが当社のサーバへ送信・保存されることはありません。
- 注文時に選択されたスタイル設定 (用途・服装・背景・表情等)
4.2 当社がサービス提供の過程で生成又は取得する情報
- 利用者の顔特徴量を抽出した LoRA (Low-Rank Adaptation) 重みデータ — 法 2 条 2 項に定める個人識別符号 に該当する可能性があるものとして、 通常の個人情報よりも厳格に取扱います
- 生成済の AI 画像
- マイページのログイン履歴
- 注文・取引履歴
- お問合せ内容と対応履歴
4.3 自動的に取得される情報
- アクセスログ (IP アドレス、 アクセス日時、 リクエスト URL、 ユーザーエージェント)
- Cookie 及びこれに類する技術により取得される閲覧情報 (詳細は第 14 条)
- 端末情報 (ブラウザ種別・バージョン、 OS 種別等)
4.4 取得しない情報
当社は、 利用者以外の方の顔画像・顔データを取得しません。 複数人が写った写真の切り抜き処理は利用者の端末内で完結し、 当社のサーバには利用者本人の顔部分の画像のみが送信されます。
第 5 条 (取得方法)
当社は、 第 4 条に掲げる個人情報を以下の方法により取得します。
- 利用者ご自身による本サービスのフォーム入力・写真アップロード
- 利用者の本サービス利用に伴うログ・操作履歴の自動記録
- お問合せ時のメール・サポートフォーム経由の通信
当社は、 偽りその他不正の手段による個人情報の取得は一切行いません (法 20 条)。
第 6 条 (利用目的)
当社は、 取得した個人情報を以下の目的のためにのみ利用します (法 17 条)。
- 本人らしさを保ちつつ多様な写真を生成するための LoRA 学習 (アップロード写真を用いた拡散モデルへの個人専用 LoRA 学習)
- AI による画像の生成、 品質チェック、 納品 (顧客固有 LoRA を用いた多様シーン生成、 顔同一性・年齢推定・著名人類似・NSFW 等の自動チェックを含みます)
- 生成画像のダウンロード提供
- 注文受付、 決済処理、 取引履歴の管理 (決済は Stripe, Inc. に委託)
- お問合せ・カスタマーサポート対応
- サービス稼働状況の通知・障害連絡・本ポリシー改定通知等のメール送信 (Resend, Inc. に委託)
- 不正利用 (なりすまし、 第三者の写真の無断利用、 著名人類似生成の試み、 NSFW 投稿の試み等) の検知と対応
- 利用規約その他関連規程に基づく違反者対応・利用停止
- 法令に基づく開示請求等への対応
- 本サービスの品質改善 (個人を特定できない統計値の作成と分析。 個別の写真・LoRA・生成物を品質改善目的で社内外に公開・共有することは行いません)
- 当社が新たに提供するサービスのご案内 (本人の事前同意がある場合に限ります)
当社は、 上記利用目的の達成に必要な範囲を超えて個人情報を取扱うことは致しません (法 18 条)。
第 7 条 (利用目的の変更)
当社は、 変更前の利用目的と関連性を有すると合理的に認められる範囲においてのみ、 利用目的を変更します。 変更を行った場合は、 変更後の利用目的を本ポリシー上で速やかに公表又はご本人に通知します (法 17 条 2 項)。
第 8 条 (個人情報の保存期間と自動削除)
8.1 自動削除の原則
当社は、 利用目的の達成に必要な範囲を超えて個人情報を保有しません。 顧客の安心と最小保有原則に従い、 以下の自動削除を運用します。
| データ種別 | 保有期間 (全プラン共通) |
|---|---|
| アップロード写真 | 納品完了後 30 日経過時に自動削除 |
| 顧客 LoRA (個人識別符号) | 生成処理完了後ただちに削除 |
| 生成済画像 | マイページ DL 期限経過時に削除 (期限は納品案内日から ベーシック 7 日間 / スタンダード 30 日間 / プレミアム 90 日間) |
| 注文履歴・決済記録 | 法令上の保存義務期間 (会計帳簿 7 年、 電子帳簿保存法等) に従い保管 |
| アクセスログ | 保安監査のため 最長 1 年 保管後削除 |
8.2 削除請求
利用者は第 16 条に基づき、 保有期間内であっても削除を請求できます。
8.3 削除完了の確認
LoRA 及び写真の自動削除はバッチ処理 (Cloudflare Cron Triggers、 日次) によって実行され、 削除実施の事実は当社内部監査ログに記録します。
第 9 条 (顧客 LoRA = 個人識別符号としての取扱)
9.1 厳格な取扱
当社は、 顧客の顔特徴量から学習された LoRA を 個人識別符号 に該当する可能性のあるデータとして、 通常の個人情報よりも厳格な取扱基準で管理します。
9.2 利用範囲
- 顧客 LoRA は、 該当顧客の注文に対する生成役務のためにのみ利用します
- 他の顧客への利用、 統計学習データへの転用、 社外公開、 譲渡、 販売は一切行いません
9.3 保管期間
顧客 LoRA は、 全プランにおいて生成処理完了後ただちに削除します。 永続的な保管は行いません。
第 10 条 (第三者提供)
当社は、 法令で認められる場合を除き、 ご本人の同意なく個人情報を第三者に提供することはありません (法 27 条)。
10.1 法令に基づく場合の例外
- 法令に基づく場合 (裁判所・捜査機関等の正当な令状又は法定の照会)
- 人の生命、 身体又は財産の保護のために必要がある場合であって本人の同意を得ることが困難であるとき
- 公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって本人の同意を得ることが困難であるとき
- 国の機関若しくは地方公共団体等の事務の遂行に協力する必要があり、 本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
10.2 委託は第三者提供にあたらない
本サービスの提供に伴う第 11 条に定める委託先への取扱の委託は、 法 27 条 5 項 1 号により第三者提供に該当しません。
第 11 条 (個人情報の取扱の委託)
当社は本サービスの提供に必要な範囲で、 個人情報の取扱を以下の事業者に委託します (法 25 条)。
| 委託先 | 所在国 | 役割 | 主な認証・契約 |
|---|---|---|---|
| Cloudflare, Inc. | アメリカ合衆国 | クラウドインフラ、 ストレージ (R2)、 DB (D1)、 ジョブキュー (Queues)、 CDN・WAF | SOC 2 Type II、 ISO 27001、 ISO 27018、 PCI DSS、 DPA 締結 |
| Stripe, Inc. (含 Stripe Japan 株式会社) | アメリカ合衆国 (日本での提供あり) | 決済処理 | PCI DSS Level 1、 ISO 27001、 SOC 1、 SOC 2、 DPA 締結 |
| Resend, Inc. | アメリカ合衆国 | トランザクションメール配信 | SOC 2、 GDPR 準拠、 DPA 締結 |
11.1 委託先選定基準
- ISO/IEC 27001 又は SOC 2 等の第三者認証を取得していること
- データ処理に関する契約 (DPA: Data Processing Agreement) を締結可能であること
- 過去の重大セキュリティインシデント公表の有無を確認していること
- 本人の権利行使請求に対する協力的姿勢を有すること
11.2 委託先の監督
当社は委託先と DPA を締結し、 当社が課す安全管理水準と同等以上の措置を委託先が講じることを確認しています。 年次で各社の認証更新状況・セキュリティインシデントの有無・規約変更を確認します。
11.3 委託先一覧の更新
委託先構成は、 サービス改善のため変更されることがあります。 本ポリシー上の一覧は随時更新します。
第 12 条 (外国にある第三者への提供)
12.1 該当性
第 11 条に掲げる委託先はいずれも アメリカ合衆国 法人であり、 当社が委託する個人情報の取扱は、 法 28 条に定める「外国にある第三者への提供」に該当します。 当社は同条に基づき、 ご本人の事前同意を得たうえで提供します。
12.2 移転先国の個人情報保護制度の概要
- アメリカ合衆国には日本の個人情報保護法のような一般法はありませんが、 連邦取引委員会法 (FTC Act) 第 5 条による不公正・欺瞞的行為の規制、 各州法 (例: カリフォルニア州消費者プライバシー法 CCPA / CPRA、 ヴァージニア州 VCDPA、 コロラド州 CPA 等) による個人情報保護規制が整備されています
- 個人情報保護委員会の公表する「外国における個人情報の保護に関する制度等についての調査」 を参照ください: https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku
- 上記委託先はいずれも GDPR (EU 一般データ保護規則) 対応を表明し、 SCC (Standard Contractual Clauses) 又は同等の越境移転スキームに基づくデータ保護措置を講じています
12.3 委託先が講じる保護措置
- 通信経路の暗号化 (TLS 1.3 等)
- 保管時の暗号化 (AES-256 等)
- アクセス制御、 監査ログ
- 第三者認証の取得 (SOC 2、 ISO 27001 等)
- インシデント発生時の当社への通知体制
12.4 同意の撤回
ご本人は、 アップロード前の同意済の事項について、 第 16 条の窓口より同意を撤回することができます。 撤回時点で未着手の処理は中止し、 関連データの削除請求として取扱います。 既に履行済の処理を遡って取消すことはできません。
第 13 条 (安全管理措置)
当社は、 個人情報の漏洩、 滅失又は毀損の防止その他の個人情報の安全管理のために、 法 23 条に基づく組織的・人的・物理的・技術的の各措置を講じます。 詳細は社内規程 (安全管理措置規程) に文書化しています。 主な措置は以下のとおりです。
13.1 組織的安全管理措置
- 個人情報保護管理者 (CPO) の選任
- 取扱規程 (本ポリシー + 内部運用マニュアル) の整備
- 取扱状況の月次セルフチェック
- 漏洩等への対応体制 (社内規程: 漏洩時対応マニュアル)
- 委託先の年次監督
13.2 人的安全管理措置
- 担当者 (現時点は代表者本人) に対する個人情報保護法令・社内規程の年次セルフ研修
- 将来の雇用者・委託先従事者には秘密保持義務を契約上課す
13.3 物理的安全管理措置
- 取扱区域の特定 (業務 PC エリア)
- 業務 PC の BitLocker 全ディスク暗号化
- 機器・電子媒体の施錠保管、 持出原則禁止
- 退役時の物理破壊又は完全消去
13.4 技術的安全管理措置
- 全管理アカウント 2FA (TOTP) 必須
- Cloudflare WAF、 最小権限アクセス制御
- 通信経路 TLS 1.3 (Cloudflare 自動)
- R2 サーバ側暗号化、 D1 暗号化保管
- アクセス記録 (Workers ログ、 D1 監査テーブル、 Logpush) の保全
- 不正アクセス監視
第 14 条 (Cookie 等の取扱)
14.1 利用目的
当社は、 ログイン状態の維持、 利用者体験の最適化、 不正利用検知、 サービス利用状況の統計分析のため、 Cookie 及びこれに類する技術 (Local Storage、 Session Storage 等) を利用します。
14.2 利用者による制御
利用者はブラウザの設定により Cookie を無効化することができますが、 その場合本サービスの一部機能 (ログイン状態の維持等) が利用できなくなる可能性があります。
14.3 第三者 Cookie
Phase 0 期において、 当社は広告配信目的の第三者 Cookie (Google Ads、 Meta Ads 等) を使用 しません 。 将来採用する場合は本ポリシーを改定し、 利用目的及び対象事業者を明示します。
第 15 条 (個人関連情報の第三者提供制限)
当社は、 個人関連情報 (Cookie 経由で取得する閲覧履歴等、 単体では特定の個人を識別できない情報) を、 提供先において個人データとして取得されることが想定される場合には、 本人の同意が得られていることを確認した上で提供します (法 31 条)。 現時点でかかる提供は予定していません。
第 16 条 (保有個人データに関する開示等の請求)
16.1 請求できる事項
利用者は、 当社の保有する自己の個人データについて、 以下の請求を行うことができます (法 32 条以下)。
- 利用目的の通知
- 開示
- 訂正、 追加又は削除
- 利用停止又は消去
- 第三者提供の停止
16.2 請求方法
第 17 条の問合せ窓口宛に、 メールで請求内容と本人確認資料 (運転免許証、 マイナンバーカード等の画像。 確認後即削除) をお送りください。
16.3 本人確認
虚偽請求による情報漏洩を防止するため、 本人確認を行います。 本人確認資料は確認後ただちに削除します。
16.4 対応期限
請求受領後、 遅滞なく対応します。 内容により回答に時間を要する場合があります。
16.5 手数料
- 利用目的の通知請求 / 開示請求: 1 件あたり ¥1,100 (税込) を申し受ける場合があります
- 訂正・追加・削除請求、 利用停止・消去請求、 第三者提供停止請求: 無料
16.6 不開示事由
法 32 条 4 項所定の事由 (本人又は第三者の生命・身体・財産・権利利益を害するおそれ、 業務の適正な実施に著しい支障、 法令違反) に該当する場合は、 全部又は一部を開示しないことがあります。 この場合は理由を付して通知します。
第 17 条 (お問合せ窓口・苦情処理)
17.1 個人情報保護管理者・お問合せ窓口
- メール: contact@saika.cloud
- 件名に「プライバシーに関するお問合せ」 と明記してください
- ウェブからのお問合せフォーム: https://www.saika.cloud/contact (Phase 0 Day 7 公開予定)
17.2 苦情処理
苦情・ご意見は上記窓口で受付し、 適切に対応します。 対応の記録は保存します (法 40 条)。
17.3 認定個人情報保護団体
Phase 0 期において、 当社は認定個人情報保護団体には加入していません。 Phase 2 (月商 ¥100 万安定後) で加入を検討します。
第 18 条 (児童の個人情報)
本サービスは 18 歳以上 の利用者を対象としています。 18 歳未満と判明した場合 (アップロード写真の年齢推定で 18 歳未満が検出された場合を含む) は、 サービス提供を中止し、 関連データを削除します。 18 歳未満の方は本サービスをご利用にならないでください。
第 19 条 (要配慮個人情報)
当社は要配慮個人情報 (病歴、 信条、 人種、 犯罪歴等、 法 2 条 3 項所定の情報) は取得しない方針です。 アップロード写真に医療目的の症状写真等が含まれることのないよう、 利用規約で明示します。 誤って取得した場合は速やかに削除します。
第 20 条 (匿名加工情報・仮名加工情報・個人関連情報の作成)
当社は現時点で、 匿名加工情報 (法 43 条以下) 及び仮名加工情報 (法 41 条以下) の作成・第三者提供を行う予定はありません。 将来作成する場合は本ポリシーを改定し、 該当する法令上の義務 (公表・安全管理措置・識別行為禁止等) を遵守します。
第 21 条 (本ポリシーの改定)
当社は、 法令の改正、 サービスの変更、 委託先の追加等に応じて本ポリシーを改定することがあります。 重要な改定の場合は、 本サービスのウェブサイト及びマイページ上で改定日と改定内容の概要を表示します。 軽微な改定は本ポリシー上の公表をもって周知とします。
第 22 条 (準拠法と裁判管轄)
本ポリシーは日本法に準拠します。 本ポリシーに関する紛争は 東京地方裁判所を第一審の専属的合意管轄裁判所とします。
関連文書
- 利用規約: https://www.saika.cloud/terms/
- 特定商取引法に基づく表記: https://www.saika.cloud/scta/