プライバシーポリシー
Kotoba(以下「本サービス」)は、タイ王国の個人情報保護法 (PDPA, B.E. 2562 / 2019)および日本の個人情報保護法に準拠してユーザーの個人情報を取り扱います。本ポリシーは、本サービスがどのような情報を収集し、どのように利用するかを説明します。
1. 取得する情報
- メールアドレス: ログイン用の Magic Link / OTP コード送信のために収集します。
- 学習履歴: カードごとの正答・誤答・復習タイミング・FSRS 計算結果。学習体験のパーソナライズと進捗の可視化に利用します。
- デバイス情報: 同期処理のために、デバイス識別子(端末固有の匿名 ID)をログイン毎に再生成して保存します。個人を特定する情報は含みません。
- 購入履歴: デッキ購入時の取引情報(決済プロバイダから受領)。クレジットカード番号など決済情報そのものは本サービスに保存されません。
2. 利用目的(PDPA §24 法的根拠)
- 本サービスの提供(契約履行)
- 学習進捗の表示およびパーソナライズ(同意に基づく処理)
- 不正利用の防止およびシステム改善(正当な利益)
- 法令に基づく対応(法的義務)
3. 第三者提供
本サービスは、以下の業務委託先を除き、ユーザーの個人情報を第三者に提供しません。
- Supabase Inc. — データベース・認証基盤(米国、Singapore リージョン)
- Stripe, Inc. — 決済処理(米国、Phase 1 後半より導入予定)
これらは Standard Contractual Clauses 等を通じて適切なデータ保護を確保しています。
4. 保管期間
アカウントが有効である間、または法令により保管が義務付けられている期間、保持します。アカウント削除リクエスト後は、原則として 30 日以内にすべての個人データを削除します(バックアップからの完全削除は最大 90 日)。
5. ユーザーの権利(PDPA §30〜§37)
ユーザーは以下の権利を有します:
- 自己の個人情報へのアクセス・コピー取得
- 不正確な情報の訂正
- 個人情報の削除(「忘れられる権利」)
- 処理の制限・異議申し立て
- 同意の撤回(撤回前の処理の合法性には影響しません)
これらの権利を行使するには、アプリ内「設定」→「アカウント削除」を利用するか、下記窓口までご連絡ください。
6. データセキュリティ
通信は TLS により暗号化され、データベース内の認証情報はハッシュ化されています。また、Row Level Security (RLS) により他ユーザーのデータへのアクセスを技術的に防止しています。
7. Cookie および類似技術
Web 版では、ログイン状態の保持のためにブラウザの localStorage を使用します。広告目的の Cookie は使用しません。
8. 子どものプライバシー
本サービスは 13 歳未満のユーザーを対象としていません。13 歳未満であることが判明した場合、速やかにアカウントを削除します。
9. ポリシーの変更
本ポリシーは法令改正やサービス変更に応じて改定される場合があります。重要な変更時はアプリ内またはメールで通知します。
10. お問い合わせ・データ管理責任者
Towaidee
Email: [email protected]
タイ国内のユーザーは、PDPC(Personal Data Protection Committee, タイ)への苦情申立も可能です。