プライバシーポリシー
最終更新日: 2026年3月19日
arcanamaze(以下「当サービス」)における個人情報の取り扱いについて、以下のとおりプライバシーポリシーを定めます。
当サービス運営は日本を拠点としています。欧州経済領域(EEA)、英国、カリフォルニア州、その他のデータ保護法が適用される地域にお住まいの方は、各地域に固有の権利について以下のセクションをご確認ください。
1. 収集する情報
アカウント情報
- メールアドレス(アカウント登録時)
- パスワード(bcryptで暗号化して保存。当サービス運営はパスワードの原文を閲覧できません)
- 表示名(任意設定)
サービス利用データ
- デイリーオラクル記録(引いたカード、気分記録、メモ)
- フルリーディング記録(スプレッド、質問、カード配置、メモ)
- AI リーディング利用ログ(利用回数・利用日時)
自動収集データ
- アクセスログ(IPアドレス、ブラウザ情報、アクセス日時)
- Google Analytics による匿名化されたアクセス解析データ
SNS連携情報(連携を利用する場合)
- 認証に必要な最小限の情報(SNSプロバイダのID、メールアドレス)
- SNSのプロフィール情報は保存しません
2. 利用目的と法的根拠
収集した情報は、以下の目的に利用します。EEA/英国にお住まいの方のために、GDPRにおける法的根拠を併記します。
| 利用目的 | 法的根拠(GDPR) |
|---|---|
| 本サービスの提供、運営、維持 | 契約の履行 |
| ユーザーアカウントの管理・認証 | 契約の履行 |
| データのバックアップ・端末間同期 | 契約の履行 |
| ユーザーサポートへの対応 | 正当な利益 |
| サービスの改善・新機能の開発 | 正当な利益 |
| 統計データの作成・分析(個人を特定しない形で) | 正当な利益 |
| 匿名化データの活用(第5条参照) | 正当な利益 / 同意 |
| 不正利用の検知・防止 | 正当な利益 |
| 法令に基づく対応 | 法的義務 |
| サービスに関するお知らせの送信 | 正当な利益 |
正当な利益に基づく処理については、ユーザーの基本的権利・自由を侵害しないことを確認しています。正当な利益に基づく処理に異議を唱える権利があります(第6条参照)。
3. 第三者提供
当サービス運営は、ユーザーの個人情報を販売しません。以下の場合に限り、個人情報を第三者に提供します。
業務委託先
| 提供先 | 目的 | 提供データ | 所在地 |
|---|---|---|---|
| Google(Google Analytics) | アクセス解析 | 匿名化されたアクセスデータ | 米国 |
| AI APIプロバイダ(OpenAI) | AI リーディング生成 | 質問テキスト・カード配置のみ(個人識別情報を除外) | 米国 |
| 決済サービス(Paddle) | 有料プランの決済処理 | メールアドレス・決済情報 | 英国 |
- AI API への送信時は、ユーザーID・メールアドレス等の個人識別情報を一切含めません
- 決済情報(クレジットカード番号等)は当サービス運営サーバーに保存されません
- クロスコンテキスト行動広告のための個人情報の販売・共有は行いません
法令に基づく場合
法令に基づく開示請求があった場合、必要な範囲で情報を提供することがあります。
4. データの保存・保持期間・削除
保存場所
- ブラウザ(IndexedDB): ユーザーの端末にデータを保存します
- サーバー: 日本国内のサーバーに保存します。日本は欧州委員会から十分性認定を受けており、EEAからのデータ移転は適切な保護水準にあると認められています
データ保持期間
| データの種類 | 保持期間 |
|---|---|
| アカウント情報 | アカウント削除まで |
| デイリーオラクル / リーディング記録 | アカウント削除まで |
| AI リーディング利用ログ | アカウント削除まで |
| アクセスログ | 12か月 |
| 匿名化済み統計データ | 無期限(個人識別不可) |
削除
- アカウント削除: サーバーに保存された全ての個人データを30日以内に完全に削除します
- ブラウザデータ: ブラウザの設定またはアプリ内の設定から削除できます
- バックアップ: アカウント削除後90日以内にサーバーバックアップからも削除します
5. 匿名化データの活用
当サービス運営は、ユーザーが入力したデータ(占い記録、気分記録、メモ等)を、個人を特定できない形に匿名化した上で、以下の目的に利用することがあります。
- サービスの改善・新機能の開発
- 統計データの作成・分析(例: カード出現傾向、気分の分布)
- AI(人工知能)モデルの学習・改善
- 研究目的での利用
匿名化の方法
- ユーザーID、メールアドレス、表示名を完全に除去します
- 日付情報を相対化し、特定の個人の行動パターンを推測できないようにします
- 個別のリーディング記録をそのまま公開することはありません
- 十分な母数のデータに対してのみ集計を行います
匿名化データと削除の関係
アカウント削除後は、以降のデータ利用を停止します。ただし、削除時点で既に匿名化・集計済みのデータは、個人の識別が不可能であり、個人データに該当しないため、削除の対象外となります。
6. ユーザーの権利
全てのユーザーは以下の権利を有します:
- 閲覧: アプリ内でご自身の記録をいつでも確認できます
- エクスポート / ポータビリティ: ご自身のデータを機械可読形式(JSON)でダウンロードできます
- 削除: アカウント削除により全ての個人データを削除できます
- 同意の撤回: アカウント削除によりデータの利用を停止できます
EEA/英国居住者の追加の権利(GDPR)
EEAまたは英国にお住まいの方は、さらに以下の権利を有します:
- 訂正: 不正確な個人データの修正を求める権利
- 処理の制限: 個人データの処理を制限するよう求める権利
- 異議申立: AI学習目的を含む、正当な利益に基づく処理に異議を唱える権利
- 苦情の申立: お住まいの国のデータ保護機関(DPA)に苦情を申し立てる権利。EUのDPA一覧は欧州データ保護会議のウェブサイトでご確認いただけます
これらの権利を行使する場合は、お問い合わせフォームよりご連絡ください。30日以内に回答いたします。
カリフォルニア州居住者の追加の権利(CCPA/CPRA)
カリフォルニア州にお住まいの方は、以下の権利を有します:
- 情報開示請求: 収集した個人情報の内容を知る権利
- 削除: 個人情報の削除を求める権利
- 差別禁止: プライバシー権の行使を理由とした差別を受けない権利
- 販売・共有の拒否: 当サービス運営はユーザーの個人情報を販売せず、クロスコンテキスト行動広告のために共有しません
当サービス運営は、CCPAで許可された目的以外にセンシティブな個人情報を使用・開示しません。
7. 国際データ移転
ユーザーの個人データは日本のサーバーで処理・保存されます。日本国外にお住まいの場合:
- EEA/英国のユーザー: 日本は欧州委員会から十分性認定を受けており、データ移転に対する適切な保護措置が確保されています
- その他の地域のユーザー: 本サービスをご利用いただくことにより、データ保護法がお住まいの国と異なる可能性がある日本へのデータ移転に同意したものとみなします
8. Cookie およびローカルストレージ
本サービスでは以下の Cookie・ローカルストレージを使用します。
| 名称 | 種類 | 目的 | 有効期間 |
|---|---|---|---|
| auth_token | Cookie(HttpOnly) | ログイン状態の維持 | 30日 |
| arcanamaze_theme | localStorage | テーマ設定の保存 | 無期限 |
| Google Analytics | Cookie | アクセス解析 | Googleの規定による |
ブラウザの設定から Cookie の管理が可能です。Cookie を無効にすると、サービスの一部機能に影響が出る場合があります。
9. 占い記録の取り扱いについて
占い記録(カード、気分、メモ)は、個人の信条・思想に関連する可能性のある情報です。GDPRでは特別カテゴリーのデータに該当する場合があります。当サービス運営はこのデータを特に慎重に取り扱います:
- ユーザーの明示的な同意なく、占い記録を第三者に提供しません
- AI API への送信時は、個人を特定できない形にします
- 統計目的での利用は、完全に匿名化した上で行います
- このデータの処理は、アカウント登録時に取得する明示的な同意に基づきます
10. セキュリティ
当サービス運営は、個人情報の保護のため、以下の対策を講じています:
- パスワードの暗号化(bcrypt)
- 通信の暗号化(HTTPS/TLS)
- 認証トークンの安全な管理(HttpOnly Cookie)
- 不正アクセス対策(レート制限、SQLインジェクション対策)
- 定期的なセキュリティレビュー
合理的な保護措置を講じていますが、通信・保存の方法に100%安全なものはありません。絶対的なセキュリティを保証するものではありません。
11. お子様の利用について
- 米国(COPPA): 本サービスは13歳未満のお子様を対象としていません
- EEA/英国(GDPR): 16歳未満の方は保護者の同意が必要です
- その他の地域: お住まいの地域のデジタル同意年齢に達している必要があります
該当する年齢に達していないお子様の個人データを収集したことが判明した場合、速やかにそのデータを削除します。
12. ポリシーの変更
本ポリシーの内容は、法令の変更やサービスの改善に伴い、変更されることがあります。重要な変更がある場合:
- 変更の効力発生日の14日前までに、サービス内および/またはメールにて通知します
- 変更の効力発生後もサービスを継続利用した場合、更新されたポリシーに同意したものとみなします
- 法令で求められる場合は、変更の適用前に同意を取得します
13. お問い合わせ・EU代理人
個人情報の取り扱いに関するお問い合わせ:
お問い合わせフォームよりご連絡ください。
EEA/英国のユーザー向けに、GDPR第27条に基づく代理人の選任が必要な場合、詳細はこちらに掲載いたします。
データ保護に関するお問い合わせには、30日以内に回答いたします。回答に満足いただけない場合、お住まいの国のデータ保護機関に苦情を申し立てる権利があります。