KANATAプライバシーポリシー

1. はじめに

2. データ保護責任者（Data Protection Officer）

1. 本サービスに関して、別途提示する諸規定（利用マニュアル、プライバシーポリシー等に記載する規定を含みます。）や注意事項も本規約の一部を構成するものとします。
2. 本規約の内容と前項の諸規定・注意事項、そのほかの本規約外における本サービスの説明が異なる場合には、当該説明が本規約の規定に優先して適用すると明示されない限り、本規約の規定が優先して適用されるものとします。

3. 収集する個人情報

当社は、本サービスの提供にあたり、以下のカテゴリの個人情報を収集することがあります。

4. 個人情報の利用目的

当社は、以下の目的のために個人情報を利用します。

• 本サービスの提供、運営及び維持（アカウントの作成・管理、本人確認、カスタマーサポートを含みます）
• 利用料の請求及び決済処理
• 本サービスの改善、新機能の開発及び品質向上（利用状況の分析を含みます）
• 生成AI機能におけるコンテンツの生成・処理（KANATA AIの利用時）
• セキュリティの確保、不正利用の防止及び検知
• 適用ある法令及び規制要件の遵守
• 当社からのサービスに関するお知らせ、アップデート情報の送信

当社は、上記の目的に合理的に必要な範囲を超えて個人情報を収集、利用または開示いたしません。

5. 同意（Consent）

1. 当社は、原則として、個人情報の収集、利用または開示の前に、利用者の同意を得ます。同意は、本サービスへの登録時に本ポリシーへの同意をいただくことにより取得します。
2. 利用者は、いつでも同意を撤回することができます。同意の撤回は、第2条記載の連絡先までご連絡ください。ただし、同意の撤回により、本サービスの全部または一部をご利用いただけなくなる場合があります。当社は、撤回の影響について事前にご説明いたします。
3. なお、PDPAにおいて同意が免除される場合（法令による要求、存亡にかかわる緊急事態等）には、同意なく個人情報を収集、利用または開示することがあります。

6. 第三者への開示

当社は、以下の場合に限り、個人情報を第三者に開示することがあります。

• サービス提供に必要な委託先：クラウドホスティング事業者、決済代行業者、分析ツール提供者、AIサービス提供者等
• 法令による要求：裁判所、規制当局、法執行機関からの要請に応じる場合
• 事業承継：合併、買収、事業譲渡等に伴い、承継人に移転する場合
• 利用者の同意がある場合：事前に明示的な同意を得た場合

委託先に対しては、契約上のPDPAと同等のデータ保護義務を課しています。

7. 越境データ移転

本サービスはグローバルに提供されるため、個人情報がシンガポール共和国外のサーバーまたは委託先に移転される場合があります。その場合、当社は以下の措置を講じます。

1. PDPAの越境移転制限義務（Transfer Limitation Obligation）に基づき、移転先においてPDPAと同等の保護水準が確保されるよう、法的拘束力のある契約を締結します。
2. EU/EEAの利用者のデータについては、標準契約条項（SCC）その他のGDPRに基づく適切な保護措置を講じます。

8. データの保護

当社は、個人情報を不正アクセス、収集、利用、開示、複製、改変または消失から保護するため、以下を含む合理的なセキュリティ措置を実施しています。

• 通信の暗号化（TLS/SSL）
• 保存データの暗号化
• アクセス制御及び認証管理
• 定期的なセキュリティ評価及び監査
• 従業員に対するデータ保護教育

ただし、インターネット上の送受信において完全なセキュリティを保証することはできません。

9. データの保持期間

1. 当社は、収集目的の達成に必要な期間、または法令もしくは契約上の義務の履行に必要な期間、個人情報を保持します。保持の必要性がなくなった場合、当社は個人情報を削除または匿名化いたします。
2. 利用規約第９条に定めるとおり、本利用契約が終了した場合、利用者のデータは契約終了後３０日以内に削除または匿名化されます。

10. 利用者の権利

利用者は、適用あるデータ保護法令に基づき、以下の権利を行使することができます。

10.1 PDPAに基づく権利（全利用者）

• アクセス権：当社が保有するご自身の個人情報へのアクセスを請求できます
• 訂正権：不正確な個人情報の訂正を請求できます
• 同意の撤回：個人情報の収集、利用または開示に対する同意を撤回できます

10.2 EU/EEAの利用者に適用される追加の権利

GDPRが適用される利用者は、上記に加えて以下の権利を有します。

• 削除権（忘れられる権利）：一定の条件の下、個人情報の削除を請求できます
• データポータビリティ：個人情報を構造化された形式で受け取る権利を有します
• 処理の制限権：一定の条件の下、個人情報の処理を制限するよう請求できます
• 異議申立権：当社の個人情報の処理に対して異議を申し立てることができます
• 監督機関への苦情権：利用者の所在地のデータ保護監督機関に苦情を申し立てることができます

権利行使のご請求は、第2条記載のデータ保護責任者までご連絡ください。当社は、合理的な期間内（原則として３０日以内）に対応いたします。

10.3 その他の地域の利用者に適用される追加の権利

GDPRが適用される利用者は、上記に加えて以下の権利を有します。

• 削除権（忘れられる権利）：一定の条件の下、個人情報の削除を請求できます
• データポータビリティ：個人情報を構造化された形式で受け取る権利を有します
• 処理の制限権：一定の条件の下、個人情報の処理を制限するよう請求できます
• 異議申立権：当社の個人情報の処理に対して異議を申し立てることができます
• 監督機関への苦情権：利用者の所在地のデータ保護監督機関に苦情を申し立てることができます

権利行使のご請求は、第2条記載のデータ保護責任者までご連絡ください。当社は、合理的な期間内（原則として３０日以内）に対応いたします。

11. Cookie及びトラッキング技術

本サービスは、以下の目的でCookie及び類似のトラッキング技術を使用します。

• 必須Cookie：本サービスの機能提供に不可欠なCookieです（セッション管理、認証等）
• 分析Cookie：利用状況の把握・サービス改善のために使用します

利用者は、ブラウザの設定によりCookieを無効にすることができますが、その場合、本サービスの一部が正常に動作しない場合があります。

12. 生成AIに関する特記事項

KANATA AIは生成AI技術を利用してコンテンツを作成します。本機能に関して以下の点にご留意ください。

• 利用者が入力したテキスト及びアップロードしたコンテンツは、コンテンツ生成のためにAIサービス提供者に送信される場合があります
• 当社は、利用者の入力データをAIモデルのトレーニング目的には使用しません
• 入力データに個人情報を含めないようご注意ください。万が一個人情報が含まれた場合、本ポリシーに従って取り扱われます
• 本機能におけるデータの取扱いは、PDPCが公表したAIシステムにおける個人情報の利用に関するガイドライン（2024年3月）に準拠しています。

13. データ侵害への対応

個人情報の漏えい、不正アクセスその他のデータ侵害が発生した場合、当社は以下の対応を行います。

• 侵害の範囲及び影響を速やかに評価します
• 重大なデータ侵害と判断した場合、PDPAに基づき、シンガポール個人情報保護委員会（PDPC）に対し、重大性の判断から３暦日以内に通知します
• 影響を受ける個人に対しても、合理的に実行可能な限り速やかに通知します
• 侵害の拡大防止及び再発防止のための措置を講じます

14. 未成年者の個人情報

本サービスは、原則として企業利用を想定しており、意図的に13歳未満の児童から個人情報を収集することはありません。13歳未満の児童の個人情報が収集されたことが判明した場合、当社は速やかに当該情報を削除いたします。PDPCの児童の個人情報に関するガイドライン（2024年3月）に準拠し、未成年者のデータを適切に取り扱います。

15. 本ポリシーの変更

当社は、法令の改正、事業内容の変更その他の事由により、本ポリシーを随時変更することがあります。変更後のポリシーは、当社ウェブサイトに掲載し、重要な変更がある場合は、電子メール等により利用者に通知いたします。変更後に本サービスの利用を継続された場合、変更後のポリシーに同意したものとみなします。

16. 苦情・お問い合わせ

17. 準拠法

本ポリシーは、シンガポール共和国の法律に準拠し、同法律に従って解釈されます。本ポリシーに起因または関連する紛争は、利用規約第２９条の定めに従います。