プライバシーポリシー

1. はじめに

AJARA, LLC（以下「当社」）は、HanjoAI（以下「本サービス」）を提供するにあたり、 お客様の個人情報を適切に保護することが重要な責務であると認識しています。 本プライバシーポリシーは、当社が収集する情報の種類、利用目的、第三者への提供、 およびお客様の権利について説明します。

2. 収集する情報

本サービスは、以下の情報を収集します。

• アカウント情報：メールアドレス（ログイン・連絡用）
• 店舗情報：店舗名、業態、所在地、営業時間、メニュー情報など、お客様が登録した情報
• 利用情報：AI生成回数、使用した機能、アクセスログ
• 決済情報：クレジットカード情報（Stripeが管理し、当社サーバーには保存しません）
• Google連携情報：Googleビジネスプロフィールへのアクセストークン（暗号化して保存）

3. 情報の利用目的

• 本サービスの提供・運営・改善
• AI生成機能の動作（入力情報をAnthropicまたはOpenAIのAPIに送信します）
• サービスに関するご案内・重要なお知らせの送信
• お問い合わせへの対応
• 不正利用の検知・防止
• サービスの利用状況分析と機能改善

4. 第三者への情報提供

当社は、以下の場合を除き、お客様の個人情報を第三者に提供しません。

• お客様の同意がある場合
• 法令に基づく場合
• 人の生命・身体・財産の保護のために必要な場合

業務委託先（サブプロセッサー）：本サービスの運営にあたり、以下のサービスと情報を共有します。 いずれも適切なデータ保護契約を締結しています。

• Cloudflare（ホスティング・Workers・Pages・D1データベース・Durable Objects・Turnstile（ボット検知）— 店舗情報・アカウント情報を含む全データの保管および処理）
• Stripe（決済処理 — メールアドレス、決済情報）
• Anthropic（AI生成 — 店舗情報を含むプロンプトを送信します）
• Google（Googleビジネスプロフィール連携 — お客様の同意のもと、API経由でビジネス情報・口コミ・投稿を取得・更新します）
• Resend（メール配信 — メールアドレス）

5. データの保存期間

お客様のデータは、アカウント有効期間中および解約後90日間保存します。 その後、個人を特定できる情報は削除します。 ただし、法令により保存が義務付けられている情報はこの限りではありません。

6. セキュリティ

当社は、お客様の個人情報を保護するため、以下の対策を実施しています。

• 通信の暗号化（HTTPS/TLS、HSTS preload 適用）
• Googleアクセストークンのサーバーサイド暗号化（AES-256-GCM、Web Crypto API）
• マジックリンクによるパスワードレス認証（短期失効・単発消費）
• セッションJWTの署名検証および audience 検証（HS256）
• Cloudflare Turnstile によるボット検知
• 不正アクセス防止のためのレートリミット（Cloudflare Durable Objects）
• 厳格な Content-Security-Policy・HSTS 等のセキュリティヘッダ

7. お客様の権利

お客様は、以下の権利を有します。

• 保有する個人情報の開示請求
• 個人情報の訂正・削除請求
• 個人情報の利用停止請求

これらのご要望は、下記のお問い合わせ先までご連絡ください。 本人確認のうえ、合理的な期間内に対応します。

8. Cookieの使用

本サービスは、認証セッションの維持のためにCookie（hanjo-ai-session）を使用します。 このCookieはサービスの正常動作に必要であり、オプトアウトすることでログイン機能が利用できなくなります。

9. 本ポリシーの変更

当社は、本プライバシーポリシーを随時改定することがあります。 重要な変更がある場合は、サービス内または登録メールアドレスへの通知により周知します。 変更後も本サービスを継続してご利用いただいた場合、変更後のポリシーに同意したものとみなします。

10. お問い合わせ

個人情報の取り扱いに関するご質問・ご要望は、以下までお問い合わせください。