プライバシーポリシー

1. はじめに

Index Inbox（以下「当サービス」）は、お客様のプライバシーを重視し、個人情報の保護に努めています。 本プライバシーポリシーは、当サービスがどのような情報を収集し、どのように使用・保護するかを説明します。

2. 収集する情報

2.1 Googleユーザーデータ（Google API Services経由）

当サービスは、Googleログイン機能を提供するため、以下のGoogleユーザーデータにアクセスします：

• 基本プロフィール情報: お名前、プロフィール画像
• メールアドレス: アカウント識別および連絡のため
• Google アカウントID: アカウントの一意識別のため

重要: 当サービスはGoogle APIを通じて最小限のデータのみを取得します。Gmail、Google Drive、Google Calendar等のデータには一切アクセスしません。

2.2 サービス利用情報

• アクセスログ（IPアドレス、ブラウザ情報、アクセス時間）
• 記事の閲覧履歴
• サブスクリプション状況
• ニュースレターの配信設定

2.3 決済情報

決済情報はStripeを通じて安全に処理され、当サービスはクレジットカード情報を直接保存しません。 Stripeから提供される決済ステータスのみを記録します。

3. Googleユーザーデータの使用目的

3.1 Googleから取得したデータの利用

Googleから取得したユーザーデータは、以下の目的でのみ使用されます：

• アカウント作成・認証: ユーザーアカウントの作成と認証
• プロフィール表示: ユーザー名とプロフィール画像の表示
• サービス通信: ニュースレター配信やサービス関連の通知
• サポート提供: お客様サポート時のアカウント識別

制限事項: Googleユーザーデータは広告目的には使用されません。また、ユーザーの明示的な同意なしに第三者と共有されることはありません。

3.2 その他の情報の使用目的

• サービスの提供・運営
• ニュースレターの配信（ConvertKit経由）
• サービスの改善・分析
• 法的要求への対応

4. データ共有とサードパーティ

4.1 Googleユーザーデータの共有

重要な約束: Googleから取得したユーザーデータは、以下の場合を除いて第三者と共有されることはありません：

• ユーザーの明示的な同意: お客様が明示的に同意した場合のみ
• 法的義務: 法律により共有が義務づけられた場合
• セキュリティ対応: 不正行為の防止や調査のため必要な場合

4.2 サービス提供のためのサードパーティ

当サービスは、以下のサードパーティサービスを利用しますが、各社は適切なセキュリティ対策を講じています：

• Supabase: データベース・認証サービス（データ保存・管理）
• Stripe: 決済処理サービス（決済情報の処理）
• ConvertKit: ニュースレター配信サービス（メールアドレスのみ）
• Vercel: ホスティングサービス（アクセスログのみ）

データ最小化: 各サードパーティには、サービス提供に必要最小限のデータのみが共有されます。

4.3 データ販売の禁止

当サービスは、Googleユーザーデータを含む個人情報を商業目的で販売、貸与、または交換することは一切ありません。

5. データ保護とセキュリティ

5.1 Googleユーザーデータの保護

Googleから取得したユーザーデータは、以下のセキュリティ対策により保護されています：

• エンドツーエンド暗号化: データの送信から保存まで暗号化
• アクセス制御: 必要最小限のスタッフのみがデータにアクセス可能
• 監査ログ: すべてのデータアクセスが記録・監視
• 定期的セキュリティ評価: 第三者によるセキュリティ監査

5.2 技術的セキュリティ対策

• SSL/TLS暗号化通信（HTTPS）
• Supabaseのエンタープライズ級セキュリティ
• Row Level Security (RLS) によるデータ分離
• 多要素認証（MFA）対応
• 侵入検知システム（IDS）

5.3 データ侵害対応

万が一データ侵害が発生した場合、72時間以内にユーザーへの通知を行い、 適切な対応策を講じます。また、関連当局への報告も適時実施します。

6. データ保持と削除

6.1 Googleユーザーデータの保持期間

• アクティブユーザー: サービス利用中は保持
• 非アクティブユーザー: 最終ログインから2年後に自動削除
• 退会ユーザー: 退会から30日以内にすべてのデータを削除

6.2 ユーザーによるデータ削除要求

ユーザーは以下の方法でデータの削除を要求できます：

• プロフィールページ: 「アカウント削除」ボタンから即座に削除
• メール要求: admin@indexinbox.com に削除依頼を送信
• 対応時間: 要求から48時間以内にデータを完全削除

6.3 法的保持要件

法的義務により保持が必要な場合（税務記録等）を除き、 上記の保持期間に従ってデータは削除されます。法的保持期間終了後は速やかに削除します。

6. Cookieの使用

当サービスは、認証状態の管理とユーザー体験の向上のためにCookieを使用します。 ブラウザの設定でCookieを無効にすることができますが、一部の機能が制限される場合があります。

7. お客様の権利

お客様には以下の権利があります：

• 個人情報へのアクセス
• 個人情報の修正
• 個人情報の削除
• データポータビリティ
• マーケティングメールの配信停止

8. 子供のプライバシー

当サービスは13歳未満の子供向けではありません。 13歳未満の子供から意図的に個人情報を収集することはありません。

9. 変更について

本プライバシーポリシーは随時更新される可能性があります。 重要な変更がある場合は、メールまたはサービス内で通知します。

10. Google API Services準拠について

当サービスは、Google API Services User Data PolicyおよびGoogle APIs Terms of Serviceに準拠しています：

• 限定的使用: Googleユーザーデータは明示された目的でのみ使用
• 最小権限の原則: 必要最小限のスコープのみを要求
• ユーザー制御: ユーザーはいつでもアクセス許可を取り消し可能
• 透明性の確保: データ使用方法を明確に開示
• セキュリティ優先: 業界標準のセキュリティ対策を実装

詳細については、Google API Services User Data Policyをご参照ください。

11. お問い合わせ

プライバシーに関するご質問やデータの取り扱いに関するご懸念がある場合は、以下までご連絡ください：

対応時間: 営業日48時間以内に回答いたします。