gizirotto プライバシーポリシー

1. はじめに

Co-Thrive Labs（以下「当方」）は、家庭用議事録アプリケーション「gizirotto」（以下「本サービス」）における個人情報の取扱いについて、本プライバシーポリシー（以下「本ポリシー」）を定めます。本サービスは、日本の 個人情報保護法 および EU 居住者向けには GDPR（EU 一般データ保護規則） を意識した取扱いを行います。

2. 本ポリシーへの同意

利用者は、本サービスへの 初回ログイン時に表示される同意モーダル において、利用規約および本プライバシーポリシーに対する同意チェックを行うものとし、これをもって本ポリシーに同意したものとみなします。同意がない場合、本サービスの主要機能はご利用いただけません。

本ポリシーの重要な変更があった場合、再度同意取得を行うことがあります。

3. 取得する個人情報

本サービスは、以下の情報を取得します。

3.1 アカウント登録情報

• メールアドレス
• ユーザー名（任意のニックネーム）
• 認証情報（パスワードはハッシュ化して保管）

3.2 家族メンバー情報（利用者が任意で登録）

• 家族メンバーの名前またはニックネーム
• 役割（保護者・子ども等）
• 議事録への登場頻度等の利用統計

3.3 ユーザーコンテンツ

• 議事録テキスト
• アップロードした PDF・画像・写真
• AI による要約・処理結果

3.4 自動取得情報

• アクセスログ（IP アドレス、User-Agent、アクセス日時）
• Cookie・セッション情報
• Cloudflare Turnstile によるボット判定用シグナル（TLS Fingerprint, IP 等）

4. 利用目的

取得した個人情報は、以下の目的で利用します。

1. 本サービスの提供・運営（アカウント認証、データ保存、議事録の生成等）
2. AI 機能（OCR・整形・要約）の提供
3. 重要なお知らせ・規約変更等の通知メール送信
4. 不正アクセス・スパム対策
5. サービス品質改善のための利用状況分析（個人を特定しない形での統計化）
6. お問い合わせへの対応
7. 法令に基づく対応

当方は、利用者の事前同意なく、これらの目的を超えて個人情報を利用しません。

5. 第三者サービスへの提供（重要）

本サービスは、サービス提供のため以下の第三者サービスを利用しており、必要最小限の範囲でデータを送信・委託します。

5.1 各サービスでのデータ取扱い（重要事項）

• Anthropic Claude API: 商用 API 規約のもと、当方が送信するデータはモデル学習に利用されません（2026 年 1 月時点）。データは不正利用検知のため最大 30 日間保持される場合があります。
• Mistral OCR: 30 日間の悪用検出ウィンドウあり。当方が送信するデータはモデル学習に利用されません。
• Supabase: 米国リージョンに保管されます。Supabase は GDPR DPA（データ処理契約）を提供しています。

5.2 第三者サービスの規約

各サービスのプライバシーポリシーは、それぞれの公式サイトをご確認ください。

6. 越境移転（海外データ転送）について

本サービスは、上記のとおり個人情報を 米国・EU 諸国 のサーバーに保管・送信します。日本国外への個人情報の移転にあたっては、以下の対応を行っています。

1. 米国への移転: 米国における個人情報保護制度に関する情報は、個人情報保護委員会の公表する 外国における個人情報の保護に関する制度等の調査 をご参照ください。
2. EU への移転: GDPR 準拠の事業者（Mistral, CloudConvert 等）を選定しています。
3. GDPR 域内利用者: EU/EEA からのアクセスについては、Standard Contractual Clauses (SCC) を用いる事業者を利用しています。

本サービスの初回ログイン時の同意取得をもって、利用者は上記の越境移転に 同意 したものとみなします。

7. Cookie・トラッキング技術の使用

本サービスは、以下の用途で Cookie 等の技術を使用します。

1. 認証セッション維持: Supabase Auth により、ログイン状態を維持するための Cookie を利用します。
2. CSRF 対策: Next.js のセキュリティトークン用 Cookie を利用します。
3. ボット対策: Cloudflare Turnstile が一時的な Cookie/シグナルを取得します。

本サービスは、 広告目的のトラッキング Cookie・第三者アナリティクス（Google Analytics 等）は使用していません。将来導入する場合は本ポリシーを更新し、必要に応じて再同意を取得します。

8. 保管期間

9. 利用者の権利

利用者は、自身の個人情報について以下の権利を有します。

9.1 日本の個人情報保護法に基づく権利

• 開示請求
• 訂正・追加・削除請求
• 利用停止請求
• 第三者提供停止請求

9.2 GDPR（EU 居住者）に基づく権利

• アクセス権（Right of Access）
• 訂正権（Right to Rectification）
• 削除権・忘れられる権利（Right to Erasure）
• 処理制限権（Right to Restriction）
• データポータビリティ権（Right to Data Portability）
• 異議申立権（Right to Object）
• 同意撤回権（Right to Withdraw Consent）

9.3 行使方法

• アカウント削除機能（自助実施）は今後実装予定です。それまでは下記窓口までご連絡いただければ、当方にて手動で対応いたします（データ削除権・忘れられる権利を含む全ての請求が対象）。
• 各種請求の窓口: contact@cothrivelabs.com

10. セキュリティ対策

当方は、個人情報の漏えい・滅失・毀損を防止するため、以下の対策を講じています。

1. パスワードのハッシュ化保管（bcrypt 等）
2. HTTPS による通信暗号化（Vercel 標準）
3. Supabase Row Level Security (RLS) によるデータアクセス制御
4. アクセスログの監視
5. 必要最小限の権限による運用（最小権限の原則）

ただし、本サービスは 無償の個人開発プロジェクト であり、完全なセキュリティを保証するものではありません。利用者は重要なデータについて自己責任でバックアップを取得してください。

11. 子どもの個人情報

本サービスでは、利用者が 家族メンバーとして子どもの情報 を任意に登録することがあります。13 歳未満の子どもの情報を登録する場合、必ず保護者の同意のもと登録してください。当方は、子どもから直接個人情報を取得することは想定していません。

12. 個人情報の漏えい時の対応

万が一、個人情報の漏えい等の事案が発生した場合、当方は以下の対応を行います。

1. 速やかに事実関係を調査し、影響を最小化する措置を講じます。
2. 個人情報保護委員会への報告が必要な事案については、法令に基づき報告します。
3. 影響を受ける利用者に対し、メール等で速やかに通知します。

13. プライバシーポリシーの変更

1. 本ポリシーは、法令の変更・サービス内容の変更等に応じて改定することがあります。
2. 重要な変更を行う場合、本サービス内の通知またはメールで 施行日の 14 日前 までに通知し、必要に応じて再同意を取得します。
3. 軽微な変更（誤字修正等）は事前通知なく行うことがあります。

14. お問い合わせ窓口

個人情報の取扱いに関するお問い合わせ・各種請求は、以下の窓口までお願いします。

• 運営者: Co-Thrive Labs（運営者: 倉西 斗夢）
• メール: contact@cothrivelabs.com
• 対応言語: 日本語

附則

• 制定日: 2026-06-15
• 最終更新: 2026-06-15
• バージョン: 1.0.1
• 1.0 → 1.0.1: アカウント削除機能未実装に伴う暫定運用（§9.3 / §8 保管期間）を contact@ 経由の手動対応として明記