株式会社 AKA AI(以下「当社」)は、利用者の個人情報を尊重し、日本の「個人情報の保護に関する法律」(APPI)、韓国「個人情報保護法」(PIPA)、EU/UK 一般データ保護規則(GDPR)、米国各州のプライバシー法(カリフォルニア州 CPRA、ワシントン州 My Health My Data Act 等)、および FTC 法第 5 条を遵守します。
本プライバシーポリシー(以下「本ポリシー」)は、当社が提供するメンタルヘルス日記 · AI コンパニオンサービス MindMuse(以下「本サービス」)における個人情報の取得・利用・保管・第三者提供・越境移転・消去に関する事項を定めます。
1. サービス概要および要配慮個人情報に関する告知
本サービスは利用者の 感情状態 · 睡眠 · 服薬 · 日記 · チャット履歴 を入力として受け取り、AI で分析した結果を提供します。これらの情報は、以下の各法律における 要配慮 / 特別カテゴリ個人情報 に該当します。
- 日本「個人情報保護法」 上の「要配慮個人情報」
- 韓国「個人情報保護法」第 23 条上の「민감정보(機微情報)」
- 米国カリフォルニア州 CPRA 上の「Sensitive Personal Information」
- 米国ワシントン州 My Health My Data Act 上の「Consumer Health Data」
- EU GDPR 第 9 条上の「健康に関するデータ」
当社は、これらの情報について 別途の明示的同意 を取得し、取得目的以外の用途で使用せず、第三者へ提供しません。
2. 取得する個人情報の項目
2.1. アカウント情報
- メールアドレス、パスワード(ハッシュ保存)
- Google ソーシャルログインを利用する場合: Google アカウント ID、メールアドレス、氏名、プロフィール画像 URL
- 表示名
- IP アドレス、User-Agent、接続国コード(同意記録および安全管理ログ用)
2.2. 要配慮個人情報(利用者が入力する内容)
- 日記本文(感情・思考・出来事・自由記述)
- Muse チャットメッセージ(全会話内容)
- 睡眠記録(就寝時刻、初回起床時刻、最終起床時刻)
- 服薬記録(薬品名、数量、服用時刻、備考)
- AI 分析結果(思考・感情・身体感覚スコア、キーワード、インサイトテキスト)
2.3. 自動取得情報
- アクセスログ(セッション ID)、エラーログ、利用履歴
- おおよその所在地(IP ベース、国単位)— 同意ルーティング用
2.4. コネクト(Connect) コミュニティのコンテンツ
コネクト機能を利用する場合、以下の情報を取得します。コネクトのコンテンツは他のログイン利用者に公開される前提で作成されるため、本項のデータは要配慮個人情報ではなく、利用者が公開した情報として取り扱われます。
- 投稿 · コメント · 返信の本文(タイトル、本文、カテゴリー)
- 共感(いいね) 記録(対象の投稿/コメント ID、時刻)
- 通報記録(対象の投稿/コメント ID、事由 enum、自由記述、処理結果)
- モデレーション履歴(運営者の処分内容、処理時刻)
当社は、マイナンバー、運転免許証番号、パスポート番号等の 公的個人識別符号は取得しません。
3. 個人情報の利用目的
| 利用目的 | 法的根拠 | 必須 / 任意 |
|---|---|---|
| 会員登録・本人認証 | 契約履行 | 必須 |
| 日記 · チャット · 服薬記録の保存と参照 | 契約履行 | 必須 |
| AI ベースの分析 · 対話生成サービス提供 | 別途明示的同意 | 任意(同意拒否時は AI 機能利用不可) |
| セキュリティ、不正利用防止 | 正当な利益 | 必須 |
| 同意記録(IP, UA, 日時)の保管 | 法令上の義務 | 必須 |
| コネクト(Connect) コミュニティの運営(投稿 · コメント · 共感 · 通報 · モデレーション) | 契約履行 | 必須(コネクト機能利用時) |
| サービス運営通知メール(コメント · 返信 · モデレーション等) | 契約履行 | 任意(設定画面で項目別に変更可能) |
| 新機能 · マーケティング情報の配信 | 別途明示的同意 | 任意 |
| 法的義務の履行および紛争対応 | 法令上の義務 | 必須 |
4. 委託先および越境移転
4.1. 委託先の状況
| 委託先 | 委託業務 | 処理場所 |
|---|---|---|
| Supabase Inc. | 認証 · データベースホスティング | 韓国ソウル(ap-northeast-2) |
| Amazon Web Services — AWS Amplify | ウェブアプリホスティング | 韓国ソウル(ap-northeast-2) |
| Google LLC — Vertex AI (Gemini) | 日記 · チャットの AI 分析および対話応答生成 | 米国等 Google LLC がデータセンターを運営する国 (Google のグローバルルーティングポリシーにより決定 — Gemini 3.x 系のモデルはグローバルエンドポイントでのみ提供されるため、単一リージョンへの固定不可) |
| Google LLC — Vertex AI Search | 服薬記録入力時に、韓国医薬品情報センター(health.kr) の公開ウェブサイトインデックスと薬品名を照合 (DB · ローカルキャッシュ未ヒット時の初回のみ) | 米国等 Google Cloud のグローバルデータセンター所在国 (Google のグローバルルーティングポリシーにより決定 — 第三者公開ウェブサイトインデックスの技術的制約により単一リージョン固定不可) |
4.2. 外国にある第三者への個人データの提供(APPI 第 28 条)
AI 分析 · 対話機能および服薬記録機能を利用する場合、以下の情報が 米国等の海外に所在する Google インフラ(Vertex AI) へ送信されます。
4.2.1. 日記 · チャットの AI 分析 (Vertex AI Gemini)
| 項目 | 内容 |
|---|---|
| 提供先 | Google LLC (Google Cloud Platform — Vertex AI) |
| 提供先の所在国 | 米国および Google LLC のデータセンターが所在する国 (最終処理国は Google のグローバルルーティングポリシーにより決定) |
| 提供方法 | HTTPS(TLS 1.2 以上)による API 通信 |
| 提供されるデータ | 日記本文、チャットメッセージ、言語コード、分析用システムプロンプト |
| 提供目的 | AI による感情 · 思考 · 身体感覚の分析および対話応答生成 |
| 提供先での保存期間 | Google は当該データを モデル学習に使用しません。運用ログは Google Cloud の保持方針に従います。当社側での分析結果の保存先は上記 Supabase(ソウル)です。 |
| グローバルリージョン利用根拠 | Gemini 3.x 系モデルは Google Cloud のポリシー上、グローバルエンドポイントでのみ提供される ため、単一の地域リージョンに固定することができません |
4.2.2. 服薬記録の薬品名検索 (Vertex AI Search)
服薬記録を入力する際、データベースおよびローカルキャッシュに該当薬品が存在しない場合に限り、利用者が入力した薬品名の文字列 が Google Vertex AI Search に送信され、韓国医薬品情報センター(health.kr) の公開ウェブサイトインデックスと照合されます。
| 項目 | 内容 |
|---|---|
| 提供先 | Google LLC (Google Cloud Platform — Vertex AI Search) |
| 提供先の所在国 | 米国および Google LLC のデータセンターが所在する国 (最終処理国は Google のグローバルルーティングポリシーにより決定) |
| 提供方法 | HTTPS(TLS 1.2 以上)による API 通信 |
| 提供されるデータ | 利用者が入力した薬品名文字列 1 件(例: "ris tab. 0.5 mg") — 利用者識別子 · IP · 日記 · チャット · セッション情報は含まれない |
| 提供目的 | 韓国医薬品情報センター(health.kr) の薬品コード照合のための検索インデックス参照 |
| 提供頻度 | DB · ローカルキャッシュに該当薬品が存在しない場合に限り、初回のみ送信。同一表記での再入力に対しては送信されない |
| 提供先での保存期間 | Google の運用ログポリシー(通常 30〜90 日)。当社は応答値(薬品コード)のみ自社 DB に保存 |
| グローバルリージョン利用根拠 | 第三者公開ウェブサイト(health.kr) インデックスに基づく検索は、Google のポリシー上、ドメイン所有権がない場合 グローバルリージョンでのみデータストア生成が可能 であり、単一リージョンへの固定ができない |
当社は Google Cloud のデータ処理付属書(DPA) および 標準契約条項(SCC) に署名し、「顧客データを基盤モデルの学習に使用しない」という Vertex AI の方針の適用を受けています。詳細は Google Vertex AI のデータガバナンスに関するドキュメント をご覧ください。
4.3. APPI に基づく参考情報
Google LLC のデータセンターが所在する国の一部は、日本の個人情報保護委員会(PPC)が告示する「同等水準国」に該当しないため、APPI 第 28 条に基づく同意ベースの提供方式 を採用しています。
- 主な移転先国およびその個人情報保護制度:
- 米国: 包括的な連邦法は存在せず、州ごとの法律(カリフォルニア州 CPRA、ワシントン州 MHMDA 等)が適用されます。
- EU 加盟国 · 英国: GDPR · UK GDPR が適用されます (PPC は EU · 英国を同等水準国として認定)。
- 日本 · 韓国: 各国の個人情報保護法が適用されます。
- その他 Google データセンター所在国: 各国の個人情報保護法令が適用されます。最新の所在地一覧は Google Cloud locations を参照してください。
- 提供先が講ずる措置: Google LLC は ISO 27001、ISO 27017、ISO 27018、SOC 2 Type II 等の国際認証を取得し、EU 標準契約条項(SCC) および Google Cloud Data Processing Addendum (DPA) を締結しています。
4.4. 利用者の選択権
利用者は AI 分析への同意を拒否または随時撤回することができます。その場合、当社は 利用者の日記 · チャット内容を Vertex AI (Gemini) に送信しません。 ただし AI 分析 · チャット機能はご利用いただけません。
利用者が服薬記録機能を使用しない場合、薬品名が Vertex AI Search に送信されることはありません。服薬記録機能を使用する場合であっても、データベースおよびローカルキャッシュに既に存在する薬品は送信されず、同一表記の薬品名については初回の 1 回のみ送信が発生します。
4.5. コネクト(Connect) コミュニティコンテンツと外部送信
コネクトの投稿 · コメント · 共感 · 通報のデータは、日記 · チャットと異なり Google Vertex AI 等の外部 AI 提供元には送信されず、AI 分析またはモデル学習には使用されません。 本項のデータが上記 §4.1 の委託先インフラの外部へ移転されることはありません。
5. 保存期間および消去
| データ | 保存期間 | 消去方法 |
|---|---|---|
| アカウント情報 | 退会時に即時消去 | DB レコード削除(プロフィール削除時に関連する日記 · チャット · 分析 · 服薬記録がすべて一括削除) |
| 日記 · チャット · 分析結果 | 退会時に即時消去 | DB レコード削除 |
| コネクトの投稿 · コメント · 共感 | 退会時に即時消去 | DB レコード削除(外部キー cascade により通報 · 共感記録も一括消去)。ただし、他の利用者が外部に引用 · スクリーンショット等で保存した内容は当社の管理範囲外 |
| コネクト通報記録 | 退会時に通報者識別子を NULL 化 | 通報本文はモデレーション分析 · ポリシー検証のため匿名化したうえで保存することがあります |
| 同意記録(IP, UA, 日時) | 退会後 3 年間保管 | 紛争対応のため法令上義務的保管後に消去 |
| アクセスログ | 3 ヶ月 | 自動削除 |
| マーケティング同意記録 | 配信停止時に即時消去 | DB レコード削除 |
6. 安全管理措置
- 保存時暗号化: 日記 · チャット · 分析 · 服薬等、すべての要配慮個人情報フィールドは、アプリケーションレイヤで AES-256-GCM により暗号化した上でデータベースに保存しています。
- コネクトコンテンツの平文保存例外: コネクト(Connect) コミュニティの投稿 · コメントは、利用者が他のログイン利用者へ公開する意図で作成するコンテンツ であり、検索 · 閲覧 · モデレーションの機能上の必要により平文(plaintext) で保存されます。利用者は、氏名 · 連絡先 · 診断名等、非公開のままにしておきたい情報を本文に含めないようにご注意ください。
- 通信暗号化: クライアント · サーバ · AI 提供元間のすべての通信は TLS 1.2 以上 で暗号化されています。
- アクセス制御: データベースは外部ネットワークに直接公開されておらず、すべてのデータアクセスは当社が運用するアプリケーションサーバの認証 · 認可レイヤを経由します。利用者ごとのデータ(日記 · チャット · 分析結果 · 服薬記録等) はサーバ側で認証済みの利用者識別子によりフィルタリングされ、本人のみが閲覧可能です。コネクトコンテンツは設計上、ログインしているすべての利用者に公開されるとともに、運営者(admin) はモデレーションの権限の範囲内で通報された投稿 · コメントを閲覧することができます。
- 暗号鍵管理: 暗号鍵はホスティング環境のシークレットマネージャで隔離管理され、ソースコードには含まれません。定期および緊急時の鍵ローテーション(交換)が可能な構成で運用しています。
- 最小取得原則: サービス提供に必要な最小限の情報のみ取得します。
7. 利用者の権利
利用者は以下の権利を随時行使できます。
- 個人情報の 開示・訂正・削除・利用停止 請求
- 退会による 一括削除(設定 → アカウント削除)
- 同意の撤回(設定 → 同意管理)
- データポータビリティ権(構造化ファイルでのエクスポート) — GDPR · APPI · CPRA 対象者
アプリ内「設定」メニュー、または info@akaintelligence.com から請求できます。本人確認後、原則として 10 営業日以内に対応します。
8. 未成年者に関する取扱い
当社は 13 歳未満(米国 COPPA)、14 歳未満(韓国)、16 歳未満(EU / 日本 APPI ガイドライン) の個人情報を取得しません。当該年齢未満の利用が判明した場合は、速やかにアカウントを削除します。
9. 危機対応リソースの表示
当社は、利用者が入力した日記 · チャット · コネクト(Connect) 投稿 · コメントのテキストに自傷 · 自殺等の危機状況に関する表現が認められる場合、当該テキストが保存(または送信)される時点に限り 画面上に専門相談窓口 · 緊急ホットラインの案内を表示します。当該検出は利用者の端末上で実行され、当社サーバーには保存されず、利用者の端末にも別途記録されません。本案内は医療的診断 · 介入の代替ではなく、単純なキーワードベースの自動分析である本機能はすべての危機兆候を漏れなく検出することを保証するものではありません。
コネクト(Connect) コミュニティのコンテンツについては、他の利用者の安全のためのキーワードベースの優先度フィルター を運用しており、フィルターに該当する投稿 · コメント、または他の利用者により通報された投稿 · コメントは 運営者(admin) のモデレーションキューで優先的に検討 されます。運営者は通報されたコンテンツおよび投稿者識別子に限り閲覧可能であり、投稿者の日記 · チャット · 分析結果等の非公開コンテンツにはアクセスしません。
当社は上記の案内 · フィルター結果を 第三者(保険会社 · 雇用主等)に提供することはなく、司法 · 行政機関からの適法な要請がある場合にのみ法令に基づき提供します。
10. Cookie の使用
当社は、ログイン維持および同意管理の目的で最小限の Cookie を使用します。
- 認証セッション Cookie: ログイン状態の維持
- 一時 Cookie(
mm_pending_consents): ソーシャルログイン登録時に同意選択値をコールバックまで受け渡す(最大 10 分) - テーマ · 言語設定: localStorage に保存(Cookie ではありません)
Google Analytics 等の第三者マーケティング · 分析 Cookie は使用しません。
11. 米国利用者向け追加告知
11.1. カリフォルニア州住民(CPRA)
カリフォルニア州住民は、機微個人情報の 利用制限請求権、販売 · 共有の拒否(Opt-Out)、不利益取扱いを受けない権利 を有します。当社は 個人情報を販売せず、行動ターゲティング広告のために共有しません。
11.2. ワシントン州住民(My Health My Data Act)
当社は、利用者のメンタルヘルスデータを「Consumer Health Data」として取扱い、AI 分析への同意プロセスを通じて Valid Authorization を取得します。同意は随時撤回可能です。
11.3. FTC 法第 5 条
当社は、本ポリシーの記載と実際のデータ処理との整合性を維持し、FTC の 2023 年メンタルヘルスアプリ関連ガイダンスを遵守します。
12. EEA / 英国利用者向け告知
GDPR · UK GDPR における 適法性根拠 は以下の通りです。
- 契約履行(Art. 6(1)(b)): アカウント管理、日記 · チャット保存
- 明示的同意(Art. 6(1)(a), Art. 9(2)(a)): AI 分析(健康データ)、マーケティング
- 正当な利益(Art. 6(1)(f)): セキュリティ、不正利用防止
EEA · 英国域外への移転(米国等 Google LLC がデータセンターを運営する国 — グローバルルーティングにより決定)は、Google Cloud の EU 標準契約条項(SCC) および Google Cloud Data Processing Addendum (DPA) に基づき、必要に応じて補完措置(暗号化、アクセス制御) を適用します。十分性認定(Adequacy Decision) を受けていない国で処理される場合、Google のグローバルセキュリティ認証(ISO 27001 / 27017 / 27018、SOC 2 Type II) を補完的安全管理措置として併せて適用します。利用者は所在国の監督機関に苦情を申し立てる権利を有します。
13. 個人情報保護管理者および相談窓口
- 個人情報保護管理者: AKA AI Privacy Team
- メール: info@akaintelligence.com
- 所在地: 大韓民国 ソウル特別市 中区 清渓川路 100、シグニチャータワー西館 9 階 (郵便番号 04542)
- 回答期間: 営業日ベースで 10 日以内
権利侵害等に関しては以下の機関に相談できます。
- 日本: 個人情報保護委員会(03-6457-9849)
- 韓国: 個人情報紛争調停委員会(1833-6972)、KISA 個人情報侵害申告センター(118)
- EU / EEA: 居住国のデータ保護機関
- 米国: 連邦取引委員会(FTC)、各州司法長官室
14. 本ポリシーの改定
本ポリシーを変更する場合、施行日の 少なくとも 7 日前(利用者に不利な変更は 少なくとも 30 日前) までにサービス内通知およびメールでお知らせします。重大な変更の場合、再同意 を求めることがあります。