最終更新日:2026年4月18日
発効日:2026年4月18日
序文
AISnapEdit(以下、「AISnapEdit」「当方」「当社」または「本プラットフォーム」といいます)は、ウェブサイト https://aisnapedit.com ならびにそのすべてのサブドメイン、API インターフェイスおよび関連クライアント(以下、総称して「本サービス」といいます)を運営しております。本サービスは、全世界のユーザーを対象とするオールインワン(All-In-One)の AI SaaS プラットフォームであり、画像、動画、音声、音楽等の AI コンテンツ生成機能を提供いたします。
本プライバシーポリシー(以下、「本ポリシー」といいます)は、お客様が本サービスへアクセス、登録または利用される際に、当方がどのような情報を収集し、どのように利用し、いかなる者に開示し、どの程度の期間保持し、お客様にどのような権利があるか、ならびにお客様がこれらの権利を行使する方法について、詳しく説明するものです。
本ポリシーは、以下の法域における個人情報の取扱いに関する透明性要件を同時に充足することを目的としております。
- EU 一般データ保護規則(GDPR, Regulation (EU) 2016/679)
- 英国一般データ保護規則(UK GDPR)および 2018 年データ保護法
- スイス連邦データ保護法(FADP)
- 米国カリフォルニア州消費者プライバシー法/プライバシー権利法(CCPA/CPRA)
- 米国バージニア州消費者データ保護法(VCDPA)
- 米国コロラド州プライバシー法(CPA)
- 米国コネチカット州データプライバシー法(CTDPA)
- 米国ユタ州消費者プライバシー法(UCPA)
- 米国テキサス州データプライバシー・セキュリティ法(TDPSA)
- ワシントン州「My Health My Data」法(MHMDA)
- ネバダ州 SB220
- 米国児童オンラインプライバシー保護法(COPPA)
- EU 人工知能法(EU AI Act, Regulation (EU) 2024/1689)
- EU デジタル単一市場著作権指令(DSM, Directive (EU) 2019/790)第 4 条のテキスト・データマイニング(TDM)条項
- その他適用されるデータ保護および消費者保護関連法令
三文書の関係: 本ポリシーは、利用規約および返金ポリシーとあわせて、お客様と AISnapEdit との間の完全な契約関係の一部を構成します。三文書間の用語および相互参照関係はそれぞれの本文に明記しており、直接的な矛盾が生じた場合、本ポリシーはデータ取扱事項に関する限度において優先的な解釈効力を有するものとします。
本サービスへのアクセスまたは利用をもって、お客様は本ポリシーを閲読、理解し、これに拘束されることに同意したものとみなします。 本ポリシーのいずれかの条項に同意されない場合は、本サービスをご利用にならないでください。
1. 定義
本ポリシーでは以下の用語を使用し、利用規約および返金ポリシーと共通する用語は完全に一致させております。
共通用語(三文書で統一):
- 初回サブスクリプション登録者:唯一の個人(自然人)たる初回有料サブスクリプションユーザーをいい、メールアドレス、決済手段、デバイスフィンガープリント、IP アドレス等を多次元的に総合判定します。複数アカウントを作成して本定義を回避する行為は違反行為に該当します。
- 当社の裁量:AISnapEdit が合理的判断に基づいて行う決定をいい、当該決定は最終的なものとします。
- 営業日:米国連邦法定営業日(土日および米国連邦祝日を除く月曜日から金曜日まで)をいい、当方の運営本部所在地である米国太平洋標準時(PT)に基づき算定されます。
- 最終成果物ファイル:お客様が AI 生成を正常に発動し、少なくとも一度ダウンロード、コピー、共有またはエクスポートされた画像、動画、音声、テキスト等のコンテンツをいいます。
- 利用量:成功した API コール、クレジット消費またはコンテンツ生成行為のいずれかをいい、お客様が生成結果を保存されたか否かを問いません。
- クレジット(Credits):AISnapEdit がユーザーに付与するバーチャル消費財をいい、前払金、預り金、チャージ残高その他これに類する金融商品には該当しません。
- サービス継続利用不能:当方の技術的事由により本サービスが 24 時間を超えて連続的に利用不能となる状態をいいます。
- チャージバック(Chargeback):お客様がカード発行会社に対して直接提起された支払いの異議申立てをいいます。
- ブラックリスト(Blocklist):違反により追加されたリスク管理データセットをいい、メールアドレスのハッシュ値、決済カード fingerprint、IP アドレス、デバイスフィンガープリント等の識別子を含みます。
プライバシーポリシー固有用語:
- 個人データ(Personal Data):GDPR 第 4(1) 条に定義される、直接または間接に自然人を識別し得る情報。
- 個人情報(Personal Information):CCPA/CPRA §1798.140(v) に定義される、特定のカリフォルニア州住民と関連するか合理的に関連付け得る情報。
- 機微な個人情報(Sensitive Personal Information):CPRA §1798.140(ae) に定義される九類型の機微情報。
- 取扱い(Processing):GDPR 第 4(2) 条に定義される、個人データに対するあらゆる自動化または非自動化の操作。
- 管理者(Controller):GDPR 第 4(7) 条に定義される、取扱いの目的および方法を決定する主体。
- 処理者(Processor):GDPR 第 4(8) 条に定義される、管理者に代わってデータを取り扱う主体。
- サブプロセッサー(Sub-Processor):処理者から委託を受け、下流のデータ取扱いを行う主体。
- SCCs:欧州委員会 2021 年モジュラー版の標準契約条項(Standard Contractual Clauses)。
- DPF:EU-US データプライバシーフレームワーク(EU-US Data Privacy Framework, Commission Implementing Decision (EU) 2023/1795)。
- GPC:グローバルプライバシーコントロール信号(Global Privacy Control)。ブラウザまたは拡張機能によりウェブサイトへ伝達される opt-out 意思表示。
- DPIA:データ保護影響評価(Data Protection Impact Assessment, GDPR 第 35 条)。
- ROPA:取扱活動記録(Record of Processing Activities, GDPR 第 30 条)。
- TIA:データ移転影響評価(Transfer Impact Assessment, Schrems II 判決後の要件)。
- LIA:正当な利益バランシング評価(Legitimate Interest Assessment, GDPR 第 6(1)(f) 条)。
- ADMT:自動化された意思決定技術(Automated Decision-Making Technology, CCPA 2026 規則)。
2. データ管理者情報
2.1 データ管理者
欧州経済領域(EEA)、英国、スイスおよびその他データ管理者の明示を要求する法域に適用:
AISnapEdit
- ウェブサイト:https://aisnapedit.com
- プライバシー専用メール:[email protected]
- 一般お問い合わせ:[email protected]
- 運営本部所在地法域:米国カリフォルニア州(米国太平洋標準時 PT で運用)
AISnapEdit は、本ポリシーに記載する個人データの取扱活動について GDPR に定める「管理者」の役割を担います。当方は上記の電子メールアドレスを通じてのみユーザーからの通知およびデータ主体の権利請求を受け付けます。法人登記の詳細情報は、本ポリシー正式発効版にて公表いたします。
2.2 データ保護連絡担当
当方は GDPR 第 37 条に定めるデータ保護オフィサー(DPO)の必置要件には該当しない(特別カテゴリーデータの大規模取扱いまたは体系的監視を行わない)ものの、法務責任者を専任の**プライバシー連絡担当(Privacy Contact)**として指定し、次の業務を担当させております。
- データ主体の権利請求への対応
- データ漏洩事案への対応および通知の調整
- 規制当局の調査・照会への協力
- EU/英国代理人との連携
連絡先: [email protected]
2.3 EU 代理人(GDPR 第 27 条)
GDPR 第 27 条に基づき、AISnapEdit は欧州連合域内における当社の EU 代理人(EU Representative)として、以下の第三者専門機関を指定しております:
- 機関名: Instant EU GDPR Representative Limited
- 登記上の住所: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- 連絡方法: [email protected] 経由(当方が受領後、EU 代理人へ転送いたします)
欧州連合域内のデータ主体の方は上記の窓口を通じてご自身の権利を行使いただけます。監督機関におかれましても、同じ連絡先を通じて EU 代理人または当方に直接ご連絡いただけます。
2.4 英国代理人(UK GDPR 第 27 条)
UK GDPR 第 27 条に基づき、AISnapEdit が指定する英国代理人は EU 代理人と同一の機関です:
- 機関名: Instant EU GDPR Representative Limited
- 登記上の住所: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- 連絡方法: [email protected] 経由(当方が受領後、英国代理人へ転送いたします)
3. 当方が収集する情報
本章では、情報の出所および種別ごとに、当方が収集するすべてのデータを開示いたします。各データ種別について、§4(法的根拠)、§5(用途)、§7(受領者)、§9(保持期間)にて更に詳しく説明します。
3.1 お客様が直接提供される情報
| データ種別 | 具体的項目 | 収集のタイミング |
|---|---|---|
| アカウント認証情報 | メールアドレス、ユーザー名、パスワードハッシュ(暗号化保存)、OAuth 認可情報 | 登録時、ログイン時 |
| プロフィール情報 | アバター、表示名、環境設定、言語、テーマ | 登録時およびプロフィール更新時 |
| 決済関連情報 | 請求先氏名、請求先住所、決済カードの BIN および末尾 4 桁、決済カード fingerprint(Stripe より返されるもので、完全なカード番号への逆変換は不可能)、取引番号、サブスクリプション状態 | 決済およびサブスクリプション管理時 |
| コミュニケーション内容 | メールのやり取り、サポートチケット、フィードバックフォーム、カスタマーサポートとの対話(当該機能が有効化されている場合) | お客様から自発的にご連絡いただく時 |
| ユーザーコンテンツ(AI 入力) | プロンプト(prompt)テキスト、アップロードされた画像、動画、音声その他のメディアファイル | 生成リクエストを送信される時 |
| AI 生成出力 | AI モデルがお客様の入力に基づき生成した画像、動画、音声、音楽等の最終成果物ファイル | 生成タスク完了時 |
3.2 自動的に収集する情報
| データ種別 | 具体的項目 | 収集のタイミング |
|---|---|---|
| デバイス情報 | OS、ブラウザの種類およびバージョン、デバイスタイプ、画面解像度、タイムゾーン、言語設定 | 本サービスへアクセスされる時 |
| 利用データ | 訪問したページパス、利用した機能、クリック挙動、セッション時間、タイムスタンプ、選択された AI モデル | セッション期間全体 |
| ログデータ | IP アドレス(登録時 IP およびその後のアクセス IP)、アクセス時間、リファラー(referer)、エラーログ、API リクエストパスおよびステータスコード | サービス稼働中継続的 |
| Cookie および類似技術 | セッション Cookie、設定 Cookie、分析 Cookie、マーケティング Cookie(詳細は §10 参照) | 本サービスへアクセスされる時 |
3.3 第三者から取得する情報
| データソース | 共有される項目 | 用途 |
|---|---|---|
| OAuth プロバイダー(Google) | お客様が許諾された氏名、メールアドレス、アバター、OAuth 一意識別子 | ソーシャルログイン機能 |
| 決済処理会社(Stripe) | 取引ステータス、決済成功/失敗のコールバック、決済カード fingerprint、Radar リスクスコアおよびラベル | 決済検証、不正防止 |
| 分析プロバイダー | 集計レベルのアクセス統計、セッションリプレイデータ | サービス改善 |
3.4 不正防止およびアカウント安全データ【新規開示】
決済不正、多重アカウントによる濫用および返金濫用を防止し、適法ユーザーの利益および事業継続性を保護するため、当方は以下のリスク管理関連データを収集、取扱い、および保持いたします。
| データ種別 | 具体的内容 | 現在の状況 |
|---|---|---|
| 登録およびアクセス IP | 登録時およびその後のセッションの IP アドレス | 運用中 |
| IP ブラックリスト識別子 | アカウント凍結によりブラックリストに追加された IP マーク | 運用中 |
| 基礎デバイスフィンガープリント信号 | ブラウザの種類およびバージョン、OS、デバイスタイプ、UA 組合せ、画面解像度、タイムゾーン | 運用中(利用規約 §3.2.2 の多次元身元識別および返金ポリシー §4 の不正防止に使用) |
| 高エントロピーデバイスフィンガープリントハッシュ(拡張計画中) | Canvas、WebGL、フォント等の特徴組合せを SHA-256 で不可逆ハッシュ化した識別子 | 拡張計画中 — 実運用展開前に本ポリシーの開示範囲および保持期間表を同期的に更新いたします |
| 決済カード fingerprint | Stripe より返される pm_* または card_fingerprint。完全なカード番号への逆変換は不可能 | 運用中 |
| Stripe Radar リスクスコア | Stripe Radar が承認段階において返す不正スコアおよびラベル | 運用中 |
| 行動パターン | 決済試行失敗回数および時間間隔、短期間内の決済手段変更頻度、返金申請履歴、chargeback 履歴 | 運用中 |
| 多重アカウント関連信号 | メールアドレスハッシュの類似度、同一決済手段、同一 IP による多重アカウントの関連痕跡 | 運用中 |
| ブラックリスト識別子 | 永久凍結アカウントのメールアドレスハッシュ、決済カード fingerprint、IP アドレス、デバイスフィンガープリントハッシュ等の集合 | 運用中 |
上記データは返金ポリシー §4 に開示した不正防止規則に直接対応します。計画されているが未展開のデバイスフィンガープリント技術について、当方は次のことを確約いたします。実運用展開前に、本ポリシーにおいて開示範囲を明確に更新し、保持期間表を同期的に調整いたします。
法的根拠: GDPR 第 6(1)(f) 条の正当な利益——不正防止、適法ユーザーの利益保護、事業継続性の維持。当方は本取扱活動につき正当な利益バランシング評価(LIA)を完了し、アーカイブに保管しております。バランシング評価の要約をご希望の場合は [email protected] までお申し込みください。
3.5 推論データおよび派生データ【CCPA/CPRA が要求する開示】
§3.1–§3.4 の原始データに基づき、当方は若干の推論的または派生的データを生成いたします。
- 利用嗜好の推論:お客様のモデル選択頻度、生成コンテンツのカテゴリー傾向に基づき、機能モジュールへの嗜好を推論し、ユーザー体験の改善に用います。
- 集約的リスクスコア:不正防止システムによるユーザーアカウントの総合的リスク等級評価。
- サブスクリプション・クレジット利用プロファイル:サブスクリプション期限アラート、クレジット残高アラート等の機能に必要な状態計算。
当方は以下の類型を推論しないことを明確に表明します。
- 人種または民族的背景
- 政治的見解、宗教的または哲学的信条
- 労働組合への加入状況
- 健康状態または医療データ
- 性的指向または性生活
- 遺伝データまたは生体認証テンプレート
4. 取扱いの法的根拠
GDPR 第 6 条、第 9 条および関連する法域の同等条項に従い、当方は各データ種別および各取扱目的について、以下の法的根拠に基づき取扱いを行います。
4.1 法的根拠マトリクス
| データ種別 | 取扱目的 | 法的根拠 |
|---|---|---|
| アカウント認証情報、プロフィール情報 | アカウント作成、本人認証、サービスのパーソナライズ | GDPR 第 6(1)(b) 条 契約の履行 |
| ユーザーコンテンツ(プロンプト、アップロードメディア) | AI 生成サービスの提供、最終成果物ファイルの呈示 | GDPR 第 6(1)(b) 条 契約の履行 |
| 決済情報 | 決済処理、サブスクリプション管理、税務および会計記録 | 第 6(1)(b) 契約の履行 + 第 6(1)(c) 法的義務(税務コンプライアンス) |
| 利用データ、ログデータ | サービス最適化、障害対応、セキュリティ監視 | 第 6(1)(f) 正当な利益(バランシング評価済) |
| Cookie 分析およびマーケティング | パフォーマンス分析、利用行動インサイト、マーケティング到達 | 第 6(1)(a) 同意 |
| 不正防止データ(§3.4) | 決済不正、多重アカウント濫用、返金濫用の防止 | 第 6(1)(f) 正当な利益 |
| ブラックリストデータ | 凍結ユーザーによる再登録回避の防止 | 第 6(1)(f) 正当な利益 + 第 17(3)(e) 法的請求防御の例外 |
| マーケティングメール配信 | ダイレクトマーケティング通信 | 第 6(1)(a) 同意(いつでも撤回可能) |
| 税務および取引記録 | 法定の保存義務の履行(詳細は §9 参照) | 第 6(1)(c) 法的義務 |
| 法令遵守および執行対応 | 召喚状への対応、捜査協力、裁判所命令の遵守 | 第 6(1)(c) 法的義務 |
| AI 生成コンテンツ関連ログ | 濫用検知、コンテンツコンプライアンス審査、デバッグ | 第 6(1)(f) 正当な利益 |
4.2 特別カテゴリーデータ(GDPR 第 9 条)に関する表明
当方は以下の特別カテゴリーデータを能動的に収集いたしません。
- 人種または民族的背景、政治的見解、宗教的または哲学的信条、労働組合への加入状況を明らかにするデータ
- 生体認証データ(自然人を一意に識別するための生体認証テンプレート)
- 遺伝データ
- 健康関連データ
- 性生活または性的指向のデータ
ユーザーが本サービスへアップロードされる画像に含まれる可能性のある人物の顔に対して、当方は顔認識、身元識別または生体認証テンプレートの抽出を行わず、いかなる生体認証データベースも構築いたしません。本製品における deepfake、人物の顔差替え、実在人物の音声クローニング等の機微な機能の境界については §6.5 を参照してください。
4.3 同意撤回の権利
お客様の同意を法的根拠とする取扱活動(マーケティングメール、一部の任意 Cookie 等)について、お客様はいつでも同意を撤回することができます。撤回は、撤回前に同意に基づき適法に行われた取扱いの効力に影響を与えません。撤回方法については §10(Cookie 設定の管理)および §11(権利行使)を参照してください。
5. 当方による情報の利用方法
本章は §4 の法的根拠マトリクスの「取扱目的」欄に対応し、さらに詳細を展開するものです。
5.1 アカウントおよびサービスの提供
- アカウントの作成および管理、本人認証
- AI 生成サービスの提供(詳細は §6 参照)
- 最終成果物ファイルの呈示、ダウンロード・共有・エクスポート機能の提供
- クレジット残高、サブスクリプション状態、履歴の管理
- アカウント関連の取引通知(注文確認、サブスクリプション更新通知、パスワードリセット)の送信
5.2 決済および不正防止
- 支払い、サブスクリプション更新、返金の処理
- 返金ポリシー §4 に定める不正防止規則の執行
- 自動化リスク管理評価の運用(詳細は §14.2 参照)
- 凍結ユーザーによる再登録回避防止のためのブラックリストの維持
5.3 サービスの改善および分析
- 機能およびユーザー体験改善のための利用行動の分析
- エラーログによる障害対応
- 匿名化または仮名化データを用いた A/B テストおよびユーザビリティ調査
- サービス全体のパフォーマンスの集計分析
5.4 コンプライアンスおよびセキュリティ
- 適用法令、規則、政府命令の遵守
- 合法な執行機関の要請、召喚状、裁判所命令への対応
- 当方および他のユーザーの権利、財産、安全の保護
- 不正、濫用その他の違法行為の防止
5.5 コミュニケーションおよびマーケティング
- アカウント関連およびサービス更新関連の取引メールの送信(契約の履行に基づく)
- マーケティングメールの送信(お客様の明示的同意に基づく。いつでもメール末尾の「配信停止」リンクまたは [email protected] への連絡により撤回可能)
- サイト内通知による重要な方針変更または安全事案のご案内
6. AI 生成とお客様のデータ
6.1 AI サービスアーキテクチャ
AISnapEdit は AI 生成サービスにおいてデータ管理者の役割を担います。お客様が AI 生成タスクを起動された場合、当方はお客様のプロンプトおよびアップロードメディアファイルを下流の AI モデルプロバイダー(処理者として)に送信し、推論計算を行わせ、処理完了後に生成結果を受信し当方のストレージサービスに保存いたします。
当方は AI モデルを自ら訓練せず、サーバーサイドで独自のモデル微調整プロセスを実行することもありません。 具体的なモデル選択は、お客様がユーザーインターフェイスで能動的に選択されたモデルにより決定されます。
6.2 AI モデルプロバイダーとのデータ共有
多様な生成能力(画像、動画、音声、音楽等)を提供するため、当方はお客様が選択されたモデルに応じて、入力データを以下のカテゴリーの AI モデルプロバイダーにルーティングいたします。
| プロバイダーカテゴリー | 生成能力 | 共有されるデータ | 主要受領地域 |
|---|---|---|---|
| AI 画像生成サービス | テキストから画像、画像から画像、画像編集 | プロンプト、アップロードメディア | 米国、EU、シンガポール、香港 |
| AI 動画生成サービス | テキストから動画、画像から動画、動画編集 | プロンプト、アップロードメディア、動画参照 | 米国、EU、シンガポール、香港 |
| AI 音声生成サービス | 音声合成、音声処理 | プロンプト、アップロード音声 | 米国、EU、シンガポール、香港 |
| AI 音楽生成サービス | テキストから音楽、音楽編集 | プロンプト、スタイルパラメータ | 米国、EU |
現在運用中の具体的な AI モデルプロバイダーには以下が含まれます(AI エコシステムの急速な変化に対応するため、機能カテゴリーごとに開示し、事業者ごとの列挙は行いません):Google(Gemini シリーズ)、Replicate、Kie、Fal、Tuzi 等の AI コンテンツ生成サービス。完全かつリアルタイム更新のモデルプロバイダー一覧は、本サービスのモデル選択ページにてご確認いただけます。当方は将来的に /legal/ai-providers 独立開示ページを公開する予定であり、その際にはあわせて公表いたします。
ご注意: 現在、本サービスは AI チャット(chat)機能を提供しておりません。OpenRouter 等のチャットモデルルーティングサービスの関連エントリーは製品から削除済みであり、対話メッセージの収集・共有は行っておりません。
各 AI モデルプロバイダーは、それぞれのプライバシーポリシーに基づきお客様のデータを更に取り扱います。当方は各プロバイダーとの間でデータ処理契約(DPA)を締結することで、上記取扱いに契約上の制約を課し、生成サービスの提供に必要最小限のデータのみが下流にルーティングされるよう商業的に可能な限りの努力を尽くします。
6.3 訓練データポリシー
AISnapEdit はお客様のプロンプトまたは生成出力を当方の AI モデル訓練には利用いたしません(当方は自らモデルを訓練しておりません)。
下流の AI モデルプロバイダーに関しては次のとおりです。
- デフォルト方針(Opt-out メカニズム): お客様が能動的に設定を調整されない場合、お客様の入力は下流 AI プロバイダーによるモデル品質改善に使用される可能性があります(各プロバイダーの標準契約条項に従います)。お客様はアカウント設定においていつでも、コンテンツをこのような用途に使用することから**離脱(オプトアウト)**することを選択できます(「モデル改善に使用しない」スイッチ)。離脱後、当方は下流へのリクエスト送信時に、対応する「訓練に使用しない」マークを付加いたします。
- 訓練禁止データ類型: お客様が opt-out を有効にされているか否かにかかわらず、決済情報、アカウント認証情報、不正防止リスク管理データに係るコンテンツについては、訓練または改善目的でのいかなる下流モデルへの送信も禁止いたします。
EU DSM 指令第 4 条(TDM Opt-Out):
EU デジタル単一市場著作権指令第 4 条に基づき、お客様はご自身の作品について、テキスト・データマイニングからの離脱を主張する権利を有します。本サービスに関しては次のとおりです。
- 当方ウェブサイトのルートディレクトリに
robots.txtおよびai.txtを設置しており、すべての第三者クローラーおよび AI 訓練システムに対する TDM opt-out の意思表示を明確にしております。 - Gallery/ショーケースページに公開発表されるコンテンツについて、お客様は [email protected] を通じて書面により、特定コンテンツへの追加的 opt-out マーキングの実施を当方にご請求いただけます。
6.4 AI 処理データの保持
| データ種別 | 保持期間 |
|---|---|
| アップロード入力メディア | 下流 AI プロバイダーへのリアルタイム送信後、長期保存は行いません(お客様がアカウントに能動的に保存される場合を除く)。一時処理の複製は 7 日以内に消去いたします |
| 生成出力ファイル | お客様が能動的に削除されるかアカウントを閉鎖されるまで保存 |
| 処理ログ(リクエストパス、ステータスコード、モデル選択、エラー情報) | 90 日 |
| 濫用検知サンプル | 違反マークがトリガーされた場合、事案処置完了後さらに 2 年保持 |
6.5 生体認証、顔および Deepfake の境界声明
- 当方は顔認識、身元識別、年齢推定、感情認識その他の生体認証テンプレート抽出を行いません。
- ユーザーがアップロードされた人物の顔を含む画像は、ピクセルデータとしてのみ下流 AI プロバイダーに送信され生成処理に供されます。処理完了後はいかなる識別データベースの構築にも用いられません。
- 本製品は、実在人物の顔差替え(face-swap)、実在人物の音声クローニング(voice-cloning)、実在自然人の身元を対象とする deepfake 生成等、他者への重大な誤解または名誉毀損を招き得る機能をサポートいたしません。
- 将来、本サービスにおいて生体認証を伴う機能が追加される場合、当方は別途明示的なお客様の同意を取得(GDPR 第 9(2)(a) 条、BIPA §15(b)、CPRA §1798.121)したうえで、有効化前に具体的な取扱範囲および離脱メカニズムを目立つ方法でお知らせいたします。
7. 当方による情報の開示方法
以下に明確に定める場合を除き、当方は対外的にお客様の個人情報を開示いたしません。
7.1 サービスプロバイダー(サブプロセッサー一覧)
本サービスを提供、維持、改善するため、当方は厳選したサービスプロバイダーに関連データの取扱いを委託しております。すべてのプロバイダーは書面のデータ処理契約(DPA)を通じて契約上の制約を受け、取扱範囲は対応するサービス提供に必要な最小限に限られます。
| カテゴリー | サービス内容 | 運用中プロバイダー | 共有データ範囲 |
|---|---|---|---|
| 決済処理 | サブスクリプション引落し、一括支払い、請求書、返金 | Stripe(Stripe Payments Europe Ltd./Stripe, Inc.) | 請求情報、決済金額、カード fingerprint、取引ステータス |
| 決済不正防止(Stripe サブプロセッサー) | 承認段階での不正リスクスコアリングおよびブロック | Stripe Radar(Stripe のサブプロセッサーとして自動有効化) | IP、デバイスフィンガープリント信号、カード fingerprint、取引履歴、メールドメイン |
| AI モデル推論 | 画像/動画/音声/音楽の生成 | カテゴリー別に開示される AI モデルプロバイダー(§6.2 参照) | プロンプト、アップロードメディア |
| ストレージおよびコンテンツ配信 | ユーザーアップロードファイル、生成出力ファイル、CDN キャッシュ | Amazon Web Services (AWS S3)、Cloudflare R2 | アップロードファイル、生成出力、アクセスリクエスト |
| Web 分析 | ページアクセス統計、利用行動インサイト | Google Analytics 4 | ページパス、イベント、デバイス ID(仮名化)、IP(部分仮名化) |
| セッション体験分析 | セッションリプレイ、ヒートマップ、クリックストリーム分析(機微入力エリアはデフォルト録画除外) | Microsoft Clarity | マウス軌跡、クリックイベント、ページインタラクション。機微入力フィールド(パスワード、決済カード等)はマスキングマークにより除外 |
| 取引メール送信 | 登録認証、注文確認、通知プッシュ | Resend | 宛先メールアドレス、メール本文 |
| インフラ(CDN/エッジ/キャッシュ) | DDoS 防御、加速、エッジルーティング | Cloudflare | 全トラフィックメタデータ、IP |
| 認証および OAuth | ソーシャルログイン | Google OAuth | お客様が許諾された範囲の基本プロフィール |
| カスタマーサービス(有効化時) | オンラインサポート、チケット | 具体的なプロバイダーは有効化時に公表 | サポート対話内容、メールアドレス |
重要事項:
- 本表は現在実運用中のサービスプロバイダーのみを開示するものです。当方のコードには他の統合オプション(代替決済事業者、代替カスタマーサービスツール等)が保持されている可能性がありますが、当該統合が本番環境で有効化された場合に限り実際のデータ開示を構成します。
- 当方は本ポリシーの改訂を通じてサブプロセッサーの変更を動的に更新いたします。将来的に
/legal/sub-processors独立開示ページを公開する予定であり、その際にはあわせて公表いたします。
7.2 法令遵守および執行機関の要請
以下の場合、当方は法的要件および合理的範囲に適合する限りにおいて、お客様の情報を開示することがあります。
- 適用法令、規則、裁判所命令または執行機関の合法的召喚状の遵守
- 進行中の調査または司法手続への協力
- AISnapEdit、当方ユーザーまたは一般公衆の権利、財産、安全の保護
- 違法行為または本利用規約違反の可能性に対する調査、防止または対応
7.3 事業承継
合併、買収、組織再編、資産売却その他類似の企業取引がある場合、お客様の情報は譲渡資産の一部として新たな事業体に移転される可能性があります。当方は移転前に合理的な方法でお客様に通知し、譲受人が本ポリシーに劣らない保護基準でお客様の情報を引き続き取り扱うことを確保いたします。
7.4 お客様の同意に基づく開示
お客様の明示的な授権を前提として、当方は本ポリシーに定める以外の目的のために、第三者にお客様の情報を開示することがあります。当該授権はいつでも撤回可能です。
7.5 クロスコンテキスト行動広告および情報「共有」の開示【CPRA 専用】
カリフォルニア州 CPRA による「sharing」の拡張定義に基づき、一部の第三者 Cookie(特に分析、広告関連 Cookie)は、伝統的な意味での「販売(sale)」を構成しない場合であっても、「クロスコンテキスト行動広告共有」を構成する可能性があります。
- 当方はお客様の個人情報を金銭対価をもって販売することはありません。
- ただし、Google Analytics および Microsoft Clarity が有効なページにおいて、関連データ送信は CPRA 上「sharing」を構成する可能性があります。
- カリフォルニア州住民およびその他類似の権利を行使されるユーザーは、以下の方法で離脱を選択できます。
- ウェブサイトフッターの 「Do Not Sell or Share My Personal Information」 リンクをクリック
- ブラウザまたは拡張機能により GPC(Global Privacy Control) 信号を有効化——当方は自動的にこれを認識し opt-out 指示として取り扱います
- [email protected] 宛てにメールを送付
7.6 第三者リンク
本サービスには、第三者のウェブサイト、プラグインまたはアプリケーションへのリンクが含まれる場合があります。当方はこれらの第三者を支配せず、そのプライバシー実務に責任を負いません。外部リンクをクリックされる前に、それぞれのプライバシーポリシーをお読みになることをお勧めいたします。
8. 国際データ移転
本サービスのマルチリージョンアーキテクチャにより、お客様の個人データは、居住国以外の国に移転され取り扱われる可能性があります。
8.1 移転メカニズム
欧州経済領域、英国またはスイスから十分性認定を受けていない国への移転について、当方は受領者の適格性に応じて以下のメカニズムのいずれかを採用します。
- EU-US データプライバシーフレームワーク(EU-US DPF):受領者が DPF の下で自己認証している場合(Commission Implementing Decision (EU) 2023/1795)、DPF を十分性保障として依拠します。例えば Stripe、Google、Cloudflare、AWS、Microsoft、Resend 等は DPF に参加済みです。
- 英国拡張 DPF(UK Extension):英国から米国への移転に適用。
- スイス-米国 DPF:スイスから米国への移転に適用。
- EU 標準契約条項(SCCs)(2021 年モジュラー版):DPF 未参加の受領者に適用。
- 英国国際データ移転協定(IDTA) または 英国 SCC 附属書:英国が関与する移転に適用。
- 十分性認定:欧州委員会が保護水準が十分と認定した国(日本、韓国、カナダ商業部門等)への移転。
8.2 主要受領地域
本ポリシー §7 に列挙した実際のサービスプロバイダーに基づき、お客様のデータは以下の地域に移転される可能性があります。
- 米国:Stripe、Google、AWS、Cloudflare、Resend、Microsoft Clarity 等
- EU:Stripe Europe、一部の AWS/Cloudflare ノード
- シンガポール、香港:一部 AI モデルプロバイダーの推論ノード
- 英国:一部 Cloudflare エッジノード
8.3 移転に関するお客様の権利
お客様は以下の権利を有します。
- お客様のデータがどの国へ移転されるかを知ること
- 具体的移転に採用された保障措置文書の閲覧を請求すること(SCCs 写しの商業上機微に関わらない部分等)
- 特定の移転に対し異議を申し立てること
8.4 データ移転影響評価(TIA)
欧州司法裁判所 Schrems II 判決(Case C-311/18)の要件に基づき、当方は DPF 未参加の米国受領者および他の高リスク移転先ごとに、データ移転影響評価(TIA)を実施済みまたは実施中です。評価においては、受領国の法的環境および保障措置がデータ主体の基本的権利を保護するに十分であるかを評価します。TIA 要約をご希望の場合は [email protected] までお申し込みください。
9. データ保持
当方は、本ポリシーに記載する目的の履行、法的義務の遵守、紛争の解決、契約の執行に必要な期間に限り、お客様の個人データを保持いたします。具体的な保持期間は以下のとおりです。
| データ種別 | 保持期間 | 法的根拠 |
|---|---|---|
| アカウントデータ(基本情報) | アカウント存続期間 + 終了後 30 日 | 第 6(1)(b) 契約の履行 |
| 取引記録(請求書、決済証憑) | 米国 7 年/EU 10 年/英国 6 年(お客様の所在地の法定要求が長い場合はこれに従います) | 第 6(1)(c) 税務および会計の法的義務 |
| 利用分析(集計レベル) | 26 か月 | 第 6(1)(f) 正当な利益 |
| サポートコミュニケーション(チケット、サポート対話) | 事項解決後 3 年 | 第 6(1)(f) 正当な利益 |
| AI 処理ログ | 90 日 | 第 6(1)(f) 障害対応 |
| アップロード入力メディア一時コピー | 7 日以内に消去 | 第 6(1)(b) 契約の履行 |
| 生成コンテンツ | お客様が能動的に削除されるかアカウント終了まで | 第 6(1)(b) 契約の履行 |
| マーケティング配信 | お客様が同意を撤回されるまで | 第 6(1)(a) 同意 |
| 不正防止データ(Stripe Radar スコア、行動パターン、リスクスコア) | 5 年 | 第 6(1)(f) 正当な利益 |
| 決済カード fingerprint ハッシュ | 7 年(取引記録と同期) | 第 6(1)(c) + 6(1)(f) |
| ブラックリスト識別子(メールハッシュ、カード fingerprint、IP、デバイスフィンガープリント) | 無期限 | 第 17(3)(e) 法的請求防御の例外 + 第 6(1)(f) 正当な利益 |
| DPIA およびコンプライアンス文書 | 法定および業界推奨に従い保持 | 第 6(1)(c) 法的義務 |
ブラックリスト無期限保持の説明: GDPR 第 17(3)(e) 条に基づき、データ取扱いが「法的主張の確立、行使または抗弁」に必要である場合、データ主体の削除権は適用されません。不正防止ブラックリストデータは次の各事項にとって必要です:(a) 凍結ユーザーがその後他の身元で提起する争議主張への抗弁、(b) 凍結ユーザーによる利用規約制限の回避および新たな損失の防止、(c) 同業他社による既知の不正パターンの識別への協力。したがって一定の削除期限を設けず、当方は毎年 1 回ブラックリストの必要性を再検討いたします。
保持期間終了後、データは安全に削除されるか、不可逆の匿名化処理が行われます。
10. Cookie および追跡技術
10.1 当方が使用する Cookie の種類
| Cookie の種類 | 用途 | デフォルト有効化 | 法的根拠 |
|---|---|---|---|
| 必須 Cookie | ログインセッション、CSRF 保護、基本セキュリティ | はい(同意不要、サービスに必須) | 第 6(1)(f) 正当な利益 |
| 設定 Cookie | 言語、テーマ、表示設定 | はい | 第 6(1)(f) 正当な利益 |
| 分析 Cookie | Google Analytics、Clarity 利用統計およびセッションリプレイ | お客様の同意が必要 | 第 6(1)(a) 同意 |
| マーケティング Cookie | プロモーション活動アトリビューション(有効化時) | お客様の同意が必要 | 第 6(1)(a) 同意 |
10.2 第三者 Cookie および離脱
| プロバイダー | 用途 | 離脱方法 |
|---|---|---|
| Google Analytics | ウェブサイト分析 | Google Analytics Opt-Out または本サイトの Cookie 設定 |
| Microsoft Clarity | セッションリプレイ、ヒートマップ | Microsoft プライバシー または本サイトの Cookie 設定 |
10.3 Cookie の管理
お客様は以下の方法で Cookie を管理できます。
- ブラウザ設定(Cookie のブロックまたは消去)
- 本サービスの Cookie 同意バナー(段階的に展開予定):EEA、英国、スイスの初回訪問時はデフォルト opt-in、米国ユーザーはデフォルト opt-out かつ GPC 信号を自動認識
- 上記プロバイダーそれぞれの離脱リンク
ご注意: 必須 Cookie を無効化されると、ログインができなかったり、主要機能がご利用いただけなかったりする場合があります。
10.4 Do Not Track(DNT)信号
DNT 信号には業界共通の実装標準がないことから、当方はブラウザ送信の DNT 信号には応答いたしませんが、より新しい GPC 信号には応答いたします(詳細は §10.5 参照)。
10.5 グローバルプライバシーコントロール(GPC)【新規 — CPRA 必須】
カリフォルニア州 CPRA ならびにコロラド州、コネチカット州等の州法に基づき、当方は GPC(Global Privacy Control)信号を自動的に認識し応答します。お客様のブラウザまたは拡張機能が GPC 信号を送信していることを当方が検出した場合、これを CCPA/CPRA 上の「個人情報の販売/共有からの離脱」の有効な指示として取り扱い、それに応じて分析および広告類 Cookie の読込みおよびデータ共有を調整いたします。
11. お客様のプライバシー権利
11.1 GDPR に基づく権利(EEA、英国、スイス)
EEA、英国またはスイスに所在されるお客様は、以下の権利を有します。
| 権利 | 具体的内容 |
|---|---|
| アクセス権(Art. 15) | お客様の個人データの写しおよび取扱関連情報の取得を請求 |
| 訂正権(Art. 16) | 不正確または不完全な個人データの訂正を請求 |
| 削除権(Art. 17) | 法定事由がある場合の個人データの削除請求(「忘れられる権利」) |
| 取扱い制限権(Art. 18) | 特定の取扱活動の制限を請求 |
| データポータビリティ権(Art. 20) | 構造化された機械可読形式でのデータ受領、または他の管理者への移転を請求 |
| 異議権(Art. 21) | 正当な利益に基づく取扱い(不正防止取扱いを含みますが、当方は Art. 21(1) の例外を主張する可能性があります)への異議 |
| 同意撤回権(Art. 7(3)) | 同意に基づく取扱いをいつでも撤回 |
| 自動化された意思決定に服しない権利(Art. 22) | 詳細は §14 参照 |
削除権の例外: GDPR 第 17(3) 条に基づき、以下の場合は削除請求を拒絶できます。
- 法的義務により保持が要求される場合(税務記録保存期間内の取引データ等)
- 法的主張の確立、行使または抗弁に必要な場合(不正防止ブラックリストデータに適用)
- 公共の利益または科学的研究に必要な場合
応答期限: 当方は請求受領後 30 日以内に応答いたします。請求が複雑または件数が多い場合は 60 日延長できるものとし、延長の事情は最初の 30 日以内にお客様へ通知いたします。
11.2 CCPA/CPRA に基づく権利(カリフォルニア州住民)
カリフォルニア州住民であるお客様は、以下の権利を有します。
| 権利 | 具体的内容 |
|---|---|
| 知る権利(§1798.100/110/115) | 当方が収集、利用、共有する個人情報の種類および具体的内容の開示請求 |
| 削除権(§1798.105) | 個人情報の削除請求(法定例外を除く) |
| 訂正権(§1798.106) | 不正確な個人情報の訂正請求 |
| 販売からの離脱(§1798.120) | 個人情報の販売からの離脱(当方は販売を行いません) |
| 共有からの離脱(§1798.120) | クロスコンテキスト行動広告関連の「sharing」からの離脱 |
| 機微個人情報利用の制限(§1798.121) | 機微個人情報の利用の制限 |
| 差別されない権利(§1798.125) | 権利の行使がサービス品質または価格に影響しないこと |
当方が収集する機微個人情報類型(CPRA §1798.140(ae)):
- アカウントログイン認証情報(メール + パスワード/OAuth token)
- 正確な位置情報(お客様がブラウザに位置情報権限を付与された場合のみ)
- お客様がアップロードされるコンテンツに含まれ得る機微コンテンツ(お客様自身の判断による)
当方は機微な特性の推論を目的として上記機微個人情報を利用することはなく、CPRA が許容する事業目的(本人認証、不正防止、契約の履行)にのみ利用いたします。お客様は「利用制限」権利を追加的に行使されなくとも、このデフォルト保障を享受いただけます。
応答期限: 45 日以内に応答。複雑な場合は 45 日延長可能。
授権代理人: お客様は授権代理人を指定して代理請求を提出することができ、合理的な本人確認を要します。
カリフォルニア州シャイン・ザ・ライト法(§1798.83): 詳細は §17 参照。
11.3 その他米国州法に基づく権利
| 法令 | 適用州 | 主な権利 |
|---|---|---|
| VCDPA | バージニア州 | アクセス、削除、訂正、ポータビリティ、販売+ターゲティング広告からの離脱 |
| CPA | コロラド州 | 同上 + Universal Opt-Out Mechanism への応答(当方は GPC を通じて応答) |
| CTDPA | コネチカット州 | 同上 |
| UCPA | ユタ州 | アクセス、削除、ポータビリティ(権利範囲は比較的狭い) |
| TDPSA | テキサス州 | アクセス、削除、訂正、ポータビリティ、販売+ターゲティング広告+プロファイリングからの離脱 |
| Nevada SB220 | ネバダ州 | 販売からの離脱申請メカニズム(詳細は §18 参照) |
不服申立: 権利請求が拒絶された場合、お客様は 45 日以内に不服申立を提起する権利を有し、専任の担当者が再審査いたします。
11.4 ワシントン州「My Health My Data」法(MHMDA)
本サービスは MHMDA が定義する「消費者健康データ(Consumer Health Data)」を取り扱いません。健康関連の推論、診断または補助医療サービスは一切行いません。お客様が本サービスの利用過程で自発的に健康に関する個人コンテンツをアップロードされた場合であっても、当方は当該情報を商業目的で使用または開示することはなく、データブローカー等の第三者に販売することもありません。
11.5 権利行使の方法
- メール提出: [email protected] 宛てにメールを送信し、件名に「Privacy Rights Request - [権利類型]」とご明記ください。
- ウェブサイトフォーム: /privacy/rights-request にて構造化請求を提出いただけます(段階的に提供開始)。
- 本人確認: なりすまし請求を防止するため、当方は登録メール、紐付け決済手段等による本人確認をお願いする場合があります。当該情報は本人確認のみに使用されます。
- 応答期限: お客様の所在地法令が定める期限に従います(GDPR 30 日 + 60 日延長可;CCPA/CPRA 45 日 + 45 日延長可)。
- 拒絶事由および不服申立: 当方が請求を拒絶する場合、書面で理由を説明いたします。お客様は [email protected] を通じて不服申立を行うことができ、担当者による再審査の後、5 営業日以内に回答いたします。
11.6 監督機関への苦情申立
当方の取扱いが適用法令に違反するとお考えの場合、お客様は監督機関に苦情を申し立てる権利を有します。
- EEA 居住者: お住まいの加盟国のデータ保護機関。完全なリストは EDPB 公式サイトを参照
- 英国居住者: 情報コミッショナー事務局(ICO)、https://ico.org.uk
- スイス居住者: 連邦データ保護・情報コミッショナー(FDPIC)
- 米国居住者: 連邦取引委員会(FTC)https://ftc.gov または各州司法長官事務局
12. データセキュリティ
当方は、取扱活動のリスクに相応する技術的および組織的措置を実施し、お客様の個人データを不正アクセス、漏洩、改竄または破壊から保護いたします。
12.1 技術的措置
- 通信暗号化: TLS 1.3 による全サイト暗号化
- 静的暗号化: データベースおよびオブジェクトストレージに AES-256 暗号化を採用
- アクセス制御: ロールベースアクセス制御(RBAC)、最小権限原則、重要管理操作への多要素認証(MFA)必須化
- セッションセキュリティ: Better-Auth に基づくセッション管理、短有効期間 + リフレッシュメカニズム
- モニタリングおよびアラート: 7×24 時間の異常トラフィックおよびアクセスモニタリング
- 定期監査: 内部および外部による定期的なセキュリティ監査、脆弱性スキャン
12.2 組織的措置
- データ最小化: 取扱目的達成に必要なデータのみ収集および保持
- 従業員研修: 全従業員に対するプライバシーコンプライアンスおよびセキュリティの定期研修
- ベンダー評価: すべての処理者およびサブプロセッサーに対するデューデリジェンスの実施、標準化された DPA の締結
- 事案対応: 書面化された事案対応プロセスおよび演習記録
- データライフサイクル管理: 明確なデータ分類、保持、削除メカニズム
12.3 データ漏洩通知
お客様の個人データに影響を及ぼす可能性のある漏洩事案が確認された場合:
- 監督機関への通知: 当方は最初の発見から 72 時間以内に関連するデータ保護機関へ通知いたします(GDPR 第 33 条)。
- データ主体への通知: 漏洩がお客様の権利および自由に対する高いリスクを生じさせる可能性がある場合、当方は影響範囲確認後、72 時間以内にお客様に通知を発出いたします(GDPR 第 34 条)。通知内容には、事案の性質、概ねの影響データ種別、想定される結果、当方がとった措置およびお客様に推奨する措置、プライバシー連絡担当が含まれます。
- 米国州法に基づく規定: 各州法律に適用される期限(カリフォルニア §1798.82、ニューヨーク SHIELD 法の 30〜45 日等)に従い実施いたします。
13. 児童のプライバシー
本サービスは 18 歳以上のユーザーを対象としております。
- 統一年齢基準: 利用規約と整合し、当方は全世界のすべてのユーザーに対し 18 歳の最低年齢基準を設定いたします。この基準は COPPA(米国 13 歳)、GDPR 第 8 条(EU デフォルト 16 歳)、UK GDPR(13 歳)等の法域の法定下限を上回ります。
- 意図的収集の禁止: 当方は 18 歳未満の未成年者の個人情報を意図的に収集いたしません。
- 年齢確認: 登録時にチェックボックスによる年齢表明を行い、今後は登録地域のヒントと組み合わせて年齢確認を更に強化する予定です。
- 保護者チャネル: 保護者の方が、未成年者が同意なく当方に個人情報を提出したことを発見された場合、[email protected] を通じて削除を申請いただけます。当方は確認後、速やかに対応いたします。
14. 自動化された意思決定およびプロファイリング
14.1 AI コンテンツ生成
当方の AI コンテンツ生成は、完全にお客様の明示的入力(お客様が選択されたモデル、提出されたプロンプトおよびメディア)に基づくものです。当該取扱いは次のとおりです。
- その性質において、GDPR 第 22(1) 条に定める「専ら自動化された処理に基づき、お客様に法的効果または類似の重大な影響を生じさせる」決定を構成しません。
- 法的根拠は第 6(1)(b) 契約の履行 + 第 22(2)(a) 契約に必要。
- お客様はいつでも生成機能の利用を中止できます。
14.2 不正防止の自動化された意思決定【重要開示 — GDPR 第 22 条コンプライアンス】
当方は明確に告知いたします:決済不正およびアカウント濫用を防止するため、当方は自動化リスク管理システム(Stripe Radar および当方内部ルールエンジンを含む)を運用しており、当該システムは特定の状況下で自動的に以下を実行する可能性があります:
- 返金請求の拒絶
- アカウントの停止または永久凍結
- アカウント内クレジットの即時失効
- 関連するメールアドレスハッシュ、決済カード fingerprint、IP、デバイスフィンガープリントのブラックリスト登録
上記決定は、GDPR 第 22 条に定める、お客様に法的効果または類似の重大な影響を生じさせ得る自動化された意思決定に該当します。
意思決定ロジック(概要開示):
不正防止策の機微な詳細が漏洩し悪意ある回避を招くことを避けるため、当方は意思決定ロジックのカテゴリーおよび一般的次元のみを開示いたします。
- 決済リスク次元: 複数回の決済失敗、短期間における決済手段の頻繁な変更、Stripe Radar 不正スコアの内部閾値超過。
- アカウント関連次元: メールハッシュ、決済カード fingerprint、デバイスフィンガープリント、IP の多次元マッチング信号。
- 返金異常次元: 購入後きわめて短時間(数時間)以内の返金申請、6 か月内複数回の返金、過去の chargeback 記録の存在。
- アカウント行動次元: ボット/クローラー/自動化スクリプトを用いた本サービスへのアクセス、アカウントおよびクレジットの販売または共有、本ポリシー制限を回避するための多重アカウント作成。
GDPR 第 22(3) 条に基づくお客様の権利:
- 人間の介入を受ける権利: お客様は自動化された意思決定に対し人的再審査を請求できます。
- 意見表明権: お客様は証拠資料(利用記録、決済証憑、コミュニケーション記録、所在地の合理性説明等)を提供してシステム判定に反論できます。
- 不服申立権: 返金ポリシー §10 に記載する手続に従い、決定受領後 14 日以内に [email protected] を通じて不服申立を提起できます。不服申立は人的再審査を経て、5 営業日以内に回答いたします。
- 説明を受ける権利: お客様は意思決定ロジックの一般的説明(本節に記載する内容)の取得権を有します。不正防止の有効性の観点から、具体的な閾値、重み、ルールパラメータは開示いたしません。
- 苦情申立権: お住まいの地域のデータ保護機関に苦情を申し立てる権利を有します(詳細は §11.6 参照)。
法的根拠: GDPR 第 22(2)(a) 条 契約履行に必要(利用規約および返金ポリシーに記載される不正防止義務の履行)+ 第 6(1)(f) 条 正当な利益(不正防止、適法ユーザーの保護)。当方は本取扱いにつき、対応する正当な利益バランシング評価(LIA)およびデータ保護影響評価(DPIA)を完了しております(詳細は §15 参照)。
14.3 サービス改善に用いるプロファイリング
利用データに基づくユーザー機能嗜好の推論(詳細は §3.5 参照)はアカウント状態に影響を与えず、製品改善およびパーソナライズドリコメンデーションにのみ用いられます。お客様はアカウント設定においてパーソナライズドリコメンデーションをオフにすることができます。
15. データ保護影響評価(DPIA)
GDPR 第 35 条に基づき、データ主体の権利および自由に対して高いリスクを生じさせ得る取扱活動について、当方はデータ保護影響評価を実施済みまたは実施中です。
- 不正防止自動化された意思決定 DPIA: 完了済み(§3.4 のデータ種別および §14.2 の意思決定プロセスをカバー)
- AI 生成濫用検知 DPIA: 評価中
- 計画中のデバイスフィンガープリント技術 DPIA: 展開前に完了予定
上記 DPIA は対応するリスク緩和措置(データ最小化、不可逆ハッシュ、限定的保持期間、人的不服申立チャネル等)を特定しております。DPIA 要約(商業機密および安全機微な部分を除く)をご希望の場合は [email protected] までお申し込みください。
16. EU 人工知能法コンプライアンス
EU 人工知能法(EU AI Act, Regulation (EU) 2024/1689)の関連透明性条項は 2026 年 8 月 2 日より段階的に施行されます。本サービスに関しては次のとおりです。
16.1 AI システムのリスク分類
当方は AI システムの下流展開者として、提供するサービスは生成系 AI(Generative AI)類に属し、通常は AI 法が定義する限定的リスク(limited risk)カテゴリーに該当します。当方は次のものを運営いたしません。
- 第 5 条の禁止 AI システム(社会的スコアリング、サブリミナル操作等)
- 附属書 III に列挙される高リスク AI システム(採用スクリーニング、信用スコアリング、法執行意思決定等)
16.2 訓練データ透明性
当方は AI モデルを自ら訓練せず、使用するモデルはすべて対応する透明性義務を完了した下流 AI モデルプロバイダーが運用するものです。各プロバイダーの訓練データ開示リンクは、将来公開予定の /legal/ai-providers ページで統一的に公表いたします。当該ページ公開前に具体的なプロバイダーの訓練データ開示をご確認希望の場合は、[email protected] までご連絡ください。
16.3 AI 生成コンテンツ識別(第 50(2) 条)
AI によって生成される画像、動画、音声等の合成コンテンツについて:
- 当方は下流 AI プロバイダーがサポートする範囲で機械可読識別子(C2PA Content Credentials 等)を埋め込みます。
- 一部の出力には可視透かしが同時に含まれる場合があります。
- お客様は上記識別子を除去、改竄または回避してはなりません(詳細は利用規約 §5.4 参照)。
16.4 AI 対話開示(第 50(1)(a) 条)
お客様が本サービスの AI 生成機能と対話される際(画像編集、動画生成等を含む)、ユーザーインターフェイスはお客様が人工知能システムと対話していること(人間ではないこと)を明示いたします。
16.5 Deepfake 開示義務(第 50(4) 条)
本製品は、実在人物、事件または場所と明らかに誤認され得る deepfake コンテンツの生成をサポートしませんが(詳細は §6.5 境界声明参照)、お客様が AI 生成コンテンツを公共の関心に関わる情報性の議題(ニュース、政治、医療等)に用いられる場合、公表時に AI 生成または補助生成であることを明確に開示いただく必要があります。関連する契約義務については利用規約 §5.4 を参照してください。
17. カリフォルニア州シャイン・ザ・ライト法
カリフォルニア州民法典 §1798.83(「Shine the Light Act」)に基づき、カリフォルニア州住民は、当方が当該第三者のダイレクトマーケティング目的で第三者に開示した個人情報の一覧を請求いただけます。当方は、お客様の個人情報を当該第三者のダイレクトマーケティング目的で第三者と共有することはいたしません。関連する取扱いおよび照会請求は [email protected] を通じて提出いただけます。
18. ネバダ州プライバシー権利
ネバダ州 SB220 に基づき、ネバダ州住民は個人情報の販売からの離脱を選択できます。当方は、お客様の個人情報を金銭対価で販売することはいたしません。それでも、[email protected] を通じて確認のための離脱請求を提出いただけます。当方は 60 日以内に応答いたします。
19. 本ポリシーの変更
19.1 変更メカニズム
当方は本ポリシーを随時改訂する可能性があります。すべての改訂版は本ページで公開され、「最終更新日」および「発効日」も併せて更新いたします。
19.2 重大変更通知
お客様の権利に実質的な影響を及ぼす改訂(新規取扱目的の追加、国際移転手配の変更、新規第三者サブプロセッサー類型の追加等)について、当方は改訂発効前に少なくとも 30 日前に以下の方法で通知いたします。
- 登録メールアドレスへの通知メールの送信
- ウェブサイト上の目立つ位置での公示
- 次回ログイン時のサイト内通知によるご案内
19.3 履歴版
すべての履歴版は、将来公開予定の /privacy-policy/history ページにアーカイブ公表いたします。当該ページ公開前に履歴版の取得をご希望の場合は、[email protected] を通じてご連絡ください。
19.4 継続利用は受諾とみなします
改訂発効後もお客様が本サービスを継続してご利用されることは、改訂後のポリシーに同意されたものとみなします。改訂にご同意いただけない場合は、本サービスのご利用を中止いただき、§11 に従い削除権を行使してください。
20. お問い合わせ
20.1 専用連絡先メール
| 用途 | メールアドレス |
|---|---|
| プライバシー事務、データ保護、データ主体権利 | [email protected] |
| 不服申立(不正防止決定の不服申立、権利請求拒絶の不服申立を含む) | [email protected] |
| DMCA 通知、濫用通報 | [email protected] |
| 一般お問い合わせ、返金申請 | [email protected] |
20.2 連絡方法
AISnapEdit
- ウェブサイト:https://aisnapedit.com
- 運営本部所在地法域:米国カリフォルニア州(米国太平洋標準時 PT で運用)
- 当方は電子メールのみによりユーザー通知、権利請求および法的文書の送達を受け付けます。§20.1 に列挙した専用メールアドレスをご利用ください。
- 法人登記の詳細情報は、本ポリシー正式発効版にて公表いたします。
20.3 EU 代理人/英国代理人
EU 代理人(GDPR 第 27 条)および英国代理人(UK GDPR 第 27 条)は同一の機関です:
- 機関名: Instant EU GDPR Representative Limited
- 登記上の住所: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- 連絡方法: [email protected] 経由(当方が EU /英国代理人へ転送いたします)
詳細は §2.3、§2.4 をご参照ください。
20.4 応答期限
| 法域 | 応答期限 |
|---|---|
| GDPR(EEA、英国、スイス) | 30 日(複雑な場合 60 日延長可) |
| CCPA/CPRA(カリフォルニア) | 45 日(複雑な場合 45 日延長可) |
| その他米国州法 | 45 日(一部の州は 60 日) |
| その他法域 | 適用法令による |
AISnapEdit のご利用をもって、お客様は本プライバシーポリシーを閲読、理解し、これに同意されたものとみなします。
© 2026 AISnapEdit. All rights reserved.