プライバシーポリシー
1. 管理者と適用範囲
本プライバシーポリシーは、米国デラウェア州で設立された有限責任会社 Codia Tech, LLC(登記上の住所:1111B S Governors Ave STE 21043, Dover, DE 19904, United States。以下「Codia」「当社」)が、codia.ai、Codia Studio、NoteSlide、当社の Figma プラグイン、API、その他当社が提供するすべての製品またはサービス(総称して「本サービス」)をご利用の際、個人情報をどのように収集・使用・開示・保護するかを説明します。
EU/UK 一般データ保護規則(「GDPR」)、ブラジル一般個人データ保護法(Lei Geral de Proteção de Dados、「LGPD」)、韓国個人情報保護法(「PIPA」)、日本個人情報保護法(「APPI」)、米カリフォルニア州消費者プライバシー法/プライバシー権利法(「CCPA/CPRA」)およびその他類似法令の適用上、Codia は本ポリシーに基づき処理される個人情報の管理者です。
本ポリシーは平易な言葉で記載し、AI トレーニング、データ保持、保管場所、第三者提供について具体的にコミットしています。お客様のデータが実際にどのように扱われるかを明確にお伝えすることを目的としています。
2. 収集する情報
お客様が提供する情報
- アカウント情報 — 氏名、メールアドレス、パスワード(ハッシュ化)、プロフィール画像、言語設定。
- 支払い情報 — 請求先氏名、住所、VAT/税 ID、カードブランドおよび下 4 桁、取引履歴。完全なクレジットカード番号は PCI-DSS 準拠の決済事業者(Stripe 等)が取り扱い、Codia は保存しません。
- ユーザーコンテンツ — ファイル、画像、PDF、PSD/AI ファイル、Office 文書、Notion エクスポート、URL、テキストプロンプト、参考画像、その他お客様が提出する素材。
- 通信記録 — サポート、セールス、DMCA、DSA、プライバシー、セキュリティの各チャネルに送信いただくメッセージ。
自動的に収集される情報
- 利用データ — 閲覧ページ、使用機能、クリック、操作、タイムスタンプ、セッション時間、リファラー。
- デバイスおよびネットワークデータ — ブラウザの種類、OS、デバイスの種類、画面解像度、言語、IP アドレス、IP から導出される概略位置情報、クラッシュログ。
- Cookie および類似技術 — 第 10 条をご覧ください。
第三者からの情報
- OAuth プロバイダー — Google または GitHub でログインする場合、お客様の承認に基づき氏名、メール、プロフィール画像を受領します。
- SSO / OIDC プロバイダー — シングルサインオンを利用するエンタープライズ顧客向け。
- Figma プラグイン環境 — プラグインマニフェストに記載された限定的な権限データ。
3. 処理の法的根拠(EEA/UK/スイス/ブラジル)
| 目的 | GDPR 法的根拠 | LGPD 法的根拠 |
|---|---|---|
| サービス提供およびユーザーコンテンツの処理 | 契約の履行(第 6(1)(b) 条) | 契約の履行(第 7 条 V) |
| 課金、不正防止、セキュリティ | 法的義務 + 正当な利益(第 6(1)(c)、(f) 条) | 法的義務 + 正当な利益(第 7 条 II、IX) |
| 製品改善および分析 | 正当な利益(第 6(1)(f) 条)— 集計または仮名化データを使用 | 正当な利益(第 7 条 IX) |
| マーケティング通信 | 同意(第 6(1)(a) 条) | 同意(第 7 条 I) |
| 非必須 Cookie | 同意(ePrivacy 指令 + GDPR) | 同意 |
| 法令遵守、法的請求の防御 | 法的義務/法的請求の確立(第 6(1)(c)、9(2)(f) 条) | 法的義務(第 7 条 II) |
お客様が明示的に有効化した第三者統合(例:Notion、Canva、Figma)へのアドホックな移転には、GDPR 第 49(1)(b) 条(契約上の必要性)に依拠します。
4. 情報の利用方法
収集した個人情報を次の目的で使用します:(a) サービスの提供、維持、保護;(b) 取引処理、サブスクリプション管理、不正防止、税法遵守;(c) ユーザー認証および不正利用の検知;(d) プロンプトに応じた AI 出力の生成;(e) トランザクションメール(認証、パスワードリセット、請求、インシデント通知)の送信;(f) オプトイン時、または適用法が正当な利益に基づく(かつオプトアウトを認める)場合におけるマーケティング;(g) 集計ベースでの利用傾向分析;(h) 法令遵守および利用規約の執行。
当社は個人情報を販売せず、また CCPA/CPRA の定義するクロスコンテクスト行動ターゲティング広告のために個人情報を「共有」しません。カリフォルニア州居住者については Global Privacy Control(GPC)シグナルを尊重します。
5. AI トレーニングとモデル改善
当社は、お客様のユーザーコンテンツ、プロンプト、アップロードされたファイル、または AI 生成出力を、当社自身のモデルおよび第三者基盤モデルプロバイダーのモデルを含むいかなる AI モデルのトレーニング、ファインチューニング、または改善にも使用しません。
- 入力は暗号化のうえ伝送され、お客様が要求した出力の生成目的に限り処理され、いかなるトレーニングコーパスにも追加されません。
- 当社の AI 下請処理者は、API の入出力について契約上の 非トレーニング コミットメント(例:OpenAI API デフォルトポリシー、Google Gemini API 商用条件)のもとで稼働します。明示的なオプトインがない限り同様です。
- 集計・完全匿名化された指標(例:1 日あたりの生成件数、レイテンシ)は、システム性能の測定と改善のために使用する場合があります。これらの指標にはユーザーコンテンツや個人情報は含まれません。
- 本サービスは、意味のある人的レビューを伴わずに、お客様に法的またはそれに類する重大な影響を及ぼす自動化された意思決定を行いません(GDPR 第 22 条、LGPD 第 20 条)。
6. 情報の共有
当社は、第三者自身の商業、マーケティング、広告、または AI トレーニング目的のために、お客様の個人データまたはユーザーコンテンツを販売・貸与・交換・共有することはありません。
サービスを運営するため、当社を代理して厳格に行動する限定された下請処理者に依拠し、GDPR 第 28 条条項、適用される場合は 2021 EU 標準契約条項(SCCs)、UK International Data Transfer Addendum、ブラジル向けに適合させた SCCs、PIPA 第 28 条に準拠した越境移転条項を組み込んだ書面のデータ処理契約に従います。
現在の主要な下請処理者(最新の完全なリストは /docs/subprocessors に維持されています):
| 下請処理者 | 目的 | 処理地 |
|---|---|---|
| Amazon Web Services, Inc. | クラウドインフラ、オブジェクトストレージ(S3)、データベース | 米国(us-west-1) |
| Stripe, Inc. | 決済処理 | 米国 / EEA |
| OpenAI, LLC | 基盤モデル(LLM、画像) | 米国 |
| Google LLC(Gemini / Imagen) | 基盤モデル(LLM、画像) | 米国 |
| Anthropic, PBC | 基盤モデル(LLM) | 米国 |
| Black Forest Labs GmbH | 画像基盤モデル(FLUX) | ドイツ / 米国 |
| Recraft AI | 画像基盤モデル | 米国 |
| Ideogram, Inc. | 画像基盤モデル | 米国 |
| ByteDance(SeeDream) | 画像基盤モデル | シンガポール(リージョナルエンドポイント経由でルーティング;非中国ユーザーについては中国処理なし) |
| Amazon SES(Amazon Web Services, Inc.) | トランザクションメール配信 | 米国 |
本リストへの重要な変更については少なくとも 30 日前 に通知します。合理的なデータ保護上の理由により新しい下請処理者に異議を唱えられる場合、有料サブスクリプションを解約し、日割りでの返金を受けることができます。
以下の場合にも情報を開示することがあります:(a) 法律、規制、有効な法的手続、政府の要請により必要な場合(過度に広範な要請には異議を唱え、法律で許容される場合には影響を受けるユーザーに通知します);(b) Codia、ユーザーまたは公衆の権利、財産、安全を保護するため;(c) 合併、買収、資産売却に関連して、事前通知付きで;(d) お客様の同意を得た場合。
7. データ保持
| カテゴリ | 保持期間 |
|---|---|
| 処理データ — アップロードファイル、プロンプト、生成出力 | 処理完了後 7 日以内に自動削除 |
| アカウントおよびプロフィールデータ | アカウント存続期間 + 削除後 30 日間の猶予、その後削除または匿名化 |
| お客様がアカウントに明示的に保存したプロジェクト/ユーザーコンテンツ | アカウント存続期間中;アカウント閉鎖後 30 日以内に削除 |
| 請求記録(請求書、税務) | 適用される税法により必要な期間(通常 7〜10 年) |
| セキュリティおよび不正利用ログ | 最長 90 日。進行中のインシデント調査に必要な場合はそれ以上 |
| バックアップ | 90 日以内にロールオフ |
| 集計/匿名化された分析 | 個人情報に該当しないため無期限に保持されることがあります |
いつでも早期削除を請求できます — 第 9 条をご覧ください。
8. データ保管場所および国際移転
個人情報は 米国(us-west-1)内の Amazon Web Services(AWS)インフラ および当社の下請処理者が運営する他国に保存・処理されます。これらの国は、お客様のお住まいの国と同等の保護を提供しない場合があります。
次の移転メカニズムに依拠します:
| 発信元 | 宛先 | メカニズム |
|---|---|---|
| EEA | 米国 | 2021 EU 標準契約条項(モジュール 2 管理者→処理者)と文書化された補完措置 — 伝送中および静止時の暗号化、VPC 分離、Schrems-II 移転影響評価。EU–US データプライバシーフレームワーク自己認証を評価中。 |
| 英国 | 米国 | 国際データ移転契約(IDTA) または 2021 SCCs + UK Addendum(ICO 発行 B.1.0)。UK Extension to DPF を評価中。 |
| スイス | 米国 | スイス FDPIC 認定 SCCs と補完措置。Swiss–US DPF を評価中。 |
| 韓国 | 米国/その他 | 登録時に PIPA 第 28 条に基づく明示的同意を取得し、PIPA 基準を満たす受領者との書面合意 |
| ブラジル | 米国/その他 | LGPD 第 33 条 — 固有の契約条項(ブラジル向け適合 SCCs)、必要に応じてお客様の明示的同意 |
| 日本 | 米国/その他 | 受領者が「十分性」対象外の管轄にある場合、APPI 第 28 条による開示と同意 |
| シンガポール | 米国/その他 | PDPA 移転制限義務 — 契約による同等の保護 |
| 中国香港特別行政区/中国台湾/その他 | 米国/その他 | 標準契約によるセーフガード;データ主体の権利を維持 |
関連する SCCs または IDTA の写しは [email protected] までご請求いただけます。
9. お客様の権利
お住まいの地域を問わず、お客様には以下の権利があります:
- 当社が保有するお客様に関する個人情報への アクセス
- 不正確または不完全なデータの 訂正
- 個人情報の 消去(「忘れられる権利」)
- 処理の 制限 または 異議申立て
- データポータビリティ — 構造化された汎用かつ機械可読な形式でデータを受領
- いつでも 同意の撤回 — 撤回前の処理の適法性には影響しません
- 人的レビューのない重大な自動化された意思決定の 対象とならない(第 5 条参照)
- 監督機関への 苦情申立て
9.1 権利行使の方法
[email protected] までメールにてご連絡いただくか、アカウント設定のプライバシー申請リンクをご利用ください。身元確認(なりすましへのデータ開示を防ぐため)を行ったうえで、次の期限内に回答します:
| 地域 | 回答期限 |
|---|---|
| EEA / 英国 / スイス(GDPR) | 30 日(複雑な請求は 60 日延長可) |
| カリフォルニア(CCPA / CPRA) | 45 日(45 日延長可) |
| ブラジル(LGPD) | 15 日 |
| 韓国(PIPA) | 10 日 |
| 日本(APPI) | 合理的な期間、通常 30 日以内 |
| その他の管轄 | 30 日 |
これらの権利行使を理由にお客様を差別的に扱うことはありません。
9.2 代表者および監督機関
- 最高プライバシー責任者(全地域、韓国 PIPA 第 31 条/ブラジル LGPD 第 41 条 Encarregado/日本 APPI 連絡先を兼任):Chief Privacy Officer, Codia Tech, LLC —
[email protected] - EU 代表者(GDPR 第 27 条):指名手続中。当面、EU 関連のお問い合わせは
[email protected]までお願いします。 - 英国代表者(UK GDPR 第 27 条):指名手続中。当面、英国関連のお問い合わせは
[email protected]までお願いします。 - 英国監督機関:Information Commissioner's Office — ico.org.uk
- ブラジル:Autoridade Nacional de Proteção de Dados(ANPD)— gov.br/anpd
- 韓国:Personal Information Protection Commission — pipc.go.kr
- 日本:個人情報保護委員会 — ppc.go.jp
- 中国台湾:國家發展委員會個人資料保護委員會
- 中国香港特別行政区:Office of the Privacy Commissioner for Personal Data — pcpd.org.hk
- シンガポール:Personal Data Protection Commission — pdpc.gov.sg
9.3 地域別の補足
- 欧州経済領域/英国(GDPR):正当な利益に基づく処理にはいつでも異議を申し立てられます。現地監督機関に苦情を申し立てることもできます。
- カリフォルニア(CCPA / CPRA):個人情報の「販売」や「共有」は行いません。本人確認のうえ、権限ある代理人を指名して請求を行うことができます。機微な個人情報の利用を制限できます。
- 他の米国州居住者(ネバダ、コロラド、バージニア、コネチカット、ユタ、テキサス、オレゴン、モンタナ、アイオワ、テネシーほか):適用される州プライバシー法に基づき同様の権利があります。同じ窓口をご利用ください。
- ブラジル(LGPD):LGPD 第 18 条の 9 つの権利(処理の確認、ポータビリティ、共有先の情報など)があります。
- 韓国(PIPA):越境移転は登録時に取得したお客様の明示的同意に基づいて行われます。
- 日本(APPI):越境移転に関し、米国のデータ保護実務に関する情報をご請求により提供します。
- シンガポール(PDPA)、中国香港(PDPO)、中国台湾(個人資料保護法):アクセスおよび訂正の請求は [email protected] までお送りください。
10. Cookie
| カテゴリ | 目的 | 例 |
|---|---|---|
| 必須 | 認証およびコアセキュリティ;無効化不可 | Codia.AuthKey、Codia.UserId、CSRF トークン |
| 設定 | 言語、テーマ、UI 状態の記憶 | locale、theme |
| 分析 | 集計ベースの利用計測(EEA/英国/ブラジル/スイスでは同意後のみ) | ファーストパーティのプロダクトテレメトリ |
| マーケティング | キャンペーン効果の測定(同意後のみ) | コンバージョントラッキング |
EEA、英国、スイス、ブラジルのユーザーには初回訪問時に同意バナーを表示します。フッターの Cookie 設定 コントロールからいつでも選択を変更できます。必須 Cookie は常に有効です。
11. セキュリティ
当社は、リスクに応じた技術的・組織的措置を実施しています。伝送中の TLS 1.2 以上、保存成果物に対する AES-256、AWS VPC ネットワーク分離、ロールベースアクセス制御、最小権限の付与、シークレットローテーション、セキュリティロギング、脆弱性管理、年次侵入テスト、継続監視を含みます。脆弱性開示は [email protected] までご連絡ください。
お客様の情報に影響する個人データ侵害が発生した場合、法令上要求される際(GDPR 第 33 条、LGPD 第 48 条、類似法令)には 72 時間以内 に関連監督機関へ通知し、影響を受けるユーザーへも遅滞なく通知します。
100% 安全なシステムは存在せず、絶対的なセキュリティを保証することはできません。
12. 子ども
本サービスは、お住まいの国におけるデジタル同意の最低年齢未満の子どもを対象としていません:
- 13 歳 未満(米国 — COPPA)
- 14 歳 未満(韓国 — PIPA;ブラジルでは 12 歳未満で保護者同意、18 歳から独立同意)
- 16 歳 未満(多くの EEA 諸国 — GDPR;英国は 13 歳;日本は 2022 年以降 18 歳を成人とする)
現地法で保護者の同意が必要な場合、アカウント作成前にこれを取得します。必要な同意なしに子どもから情報を収集したことが判明した場合、速やかに削除します。
13. 第三者リンクおよび連携
本サービスは、第三者製品(Figma、Notion、Canva、決済事業者、アナリティクスなど)とリンクまたは連携する場合があります。これらのプライバシー実務は各社のポリシーに従うため、確認をお勧めします。
14. 本ポリシーの変更
当社は本ポリシーを更新することがあります。重大な変更は少なくとも 30 日前 にメールまたは製品内バナーでお知らせし、「最終更新日」を更新します。
15. お問い合わせ
- 管理者:Codia Tech, LLC
- 登記住所:1111B S Governors Ave STE 21043, Dover, DE 19904, United States
- プライバシーチーム:[email protected]
- 最高プライバシー責任者(LGPD Encarregado、韓国 CPO 개인정보 보호책임자、日本 APPI 連絡先を兼任):[email protected]
- EU GDPR 第 27 条代表者:指名手続中 — [email protected] までご連絡ください
- 英国 GDPR 第 27 条代表者:指名手続中 — [email protected] までご連絡ください
- セキュリティ関連:[email protected]
- B2B / DPA のご請求:[email protected]