プライバシーポリシー
発効日:2026年3月
本プライバシーポリシーは、以下の者が運営するAi on Edgeプラットフォーム(以下「プラットフォーム」、「サービス」)をご利用の際に、個人データがどのように収集、使用、保護されるかを説明します:
Michael König-Weichhardt Bachweg 10, 8410 Wildon, Steiermark, Austria メール:privacy@aionedge.app
本ポリシーは、EU一般データ保護規則(GDPR/DSGVO、規則(EU) 2016/679)およびオーストリアデータ保護法(DSG)に準拠しています。
1. データ管理者
GDPR第4条第7項の意味におけるデータ管理者は:
Michael König-Weichhardt Bachweg 10, 8410 Wildon, Steiermark, Austria メール:privacy@aionedge.app
2. 収集される個人データのカテゴリ
2.1. サイト所有者(管理ユーザー)
プラットフォームにサイトを登録する際、以下を収集します:
- サイト名とサブドメイン — サイトの作成と識別のため
- 管理パスワード — PBKDF2ハッシュ(100,000イテレーション)として保存。平文パスワードは保存されません
- IPアドレス — レート制限と不正利用防止のために一時的に処理。永久保存はされません
2.2. サイト訪問者(エンドユーザー)
訪問者がサイトに登録するか、サイト機能を使用する場合、以下のデータがサイト所有者(独立したデータ管理者として機能)によって収集される場合があります:
- 名前、メールアドレス、パスワード — ユーザーアカウント登録のため
- ニュースレター用メール — サイトのニュースレターに登録する場合
- 決済情報 — プラットフォームのサブスクリプションはPaddle(Merchant of Record)によって処理され、テナントショップの決済はStripeによって処理されます。プラットフォームはクレジットカード番号や決済認証情報を保存しません
2.3. 自動的に収集されるデータ
プラットフォーム自体は、トラッキング、アナリティクス、広告目的でCookieを使用しません。
- セッショントークン — 認証のためにブラウザのlocalStorageに保存されます。サービスの機能に厳密に必要なものです。
- サーバーログ — Cloudflareがインフラサービスの一部としてリクエストメタデータ(IPアドレス、ユーザーエージェント、タイムスタンプ)を処理する場合があります。詳細はCloudflareのプライバシーポリシーをご覧ください。
3. 処理の目的と法的根拠
| 目的 | データ | 法的根拠(GDPR) |
|---|---|---|
| サービスの提供 | サイト名、サブドメイン、パスワードハッシュ | 第6条第1項(b) — 契約履行 |
| レート制限と不正利用防止 | IPアドレス(一時的) | 第6条第1項(f) — 正当な利益 |
| メール配信 | メールアドレス、メールコンテンツ | 第6条第1項(b) — 契約履行 |
| 決済処理 | 決済データ(PaddleおよびStripe経由) | 第6条第1項(b) — 契約履行 |
| AI機能 | AI処理に送信されたコンテンツ | 第6条第1項(b) — 契約履行 |
| 機能的Cookie | セッショントークン | 第6条第1項(f) — 正当な利益(厳密に必要) |
4. データの受領者とサードパーティサービス
個人データは、データ処理者または独立した管理者として機能する以下のサードパーティサービスプロバイダーと共有される場合があります:
| サービス | 用途 | データセンター所在地 | プライバシーポリシー |
|---|---|---|---|
| Cloudflare, Inc. | ホスティング、CDN、Workers、R2ストレージ | グローバル(EU準拠) | cloudflare.com/privacypolicy |
| Paddle.com Market Limited | プラットフォームサブスクリプションの請求、インボイス発行、税金徴収(Merchant of Record) | 英国 | paddle.com/legal/privacy |
| Stripe, Inc. | テナントショップの決済処理 | EU/US(PCI DSS Level 1) | stripe.com/privacy |
| Mailgun (Sinch) | メール配信 | ドイツ・フランクフルト(EU) | mailgun.com/legal/privacy-policy |
| Groq, Inc. | AI推論 | US | groq.com/privacy-policy |
4.1. 国際データ移転
EU/EEA外(例:米国拠点のサービス)へのデータ移転が行われる場合、以下の枠組みに基づいて実施されます:
- EU-USデータプライバシーフレームワーク(認証を受けている場合)
- GDPR第46条第2項(c)に基づく標準契約条項(SCC)
- GDPR第45条に基づく十分性決定
5. データ保持
| データ | 保持期間 |
|---|---|
| サイトコンテンツ(投稿、ページ、メディア) | ユーザーが削除するかアカウント終了まで |
| 管理者セッション | 7日(自動期限切れ) |
| ユーザーセッション | 30日(自動期限切れ) |
| レート制限用IPアドレス | メモリ内のみ。ストレージに永続化されません |
| メールデータ | ユーザーが削除するまで |
| 終了後のアカウントデータ | 30日後に永久削除 |
6. GDPRに基づくお客様の権利
データ主体として、以下の権利を有します:
- アクセス権(GDPR第15条) — 個人データのコピーを請求
- 訂正権(GDPR第16条) — 不正確なデータの修正
- 消去権(GDPR第17条) — データの削除を請求(「忘れられる権利」)
- 処理制限権(GDPR第18条) — データの使用方法を制限
- データポータビリティ権(GDPR第20条) — 構造化された機械可読形式でデータを受領
- 異議申立権(GDPR第21条) — 正当な利益に基づく処理への異議
- 同意撤回権(GDPR第7条第3項) — 同意に基づく処理の場合、いつでも撤回
これらの権利を行使するには、privacy@aionedge.appにご連絡ください。
1か月以内にリクエストに対応します(GDPR第12条第3項)。
7. 苦情申立権
以下のオーストリアデータ保護当局に苦情を申し立てる権利があります:
Österreichische Datenschutzbehörde Barichgasse 40-42, 1030 Wien, Austria メール:dsb@dsb.gv.at Webサイト:dsb.gv.at
8. データセキュリティ
プラットフォームは、GDPR第32条に基づき以下の技術的・組織的措置を実施しています:
- 転送中の暗号化 — すべてのデータはHTTPS/TLSで送信
- パスワードハッシュ化 — PBKDF2(100,000イテレーション、ランダムソルト)
- タイミングセーフ認証 — タイミングベースの攻撃を防止
- レート制限 — ブルートフォース攻撃を防御
- 入力サニタイズ — インジェクション攻撃を防止
- 最小限のデータ収集 — サービスに必要なデータのみを収集
- トラッキングなし — アナリティクス、広告、サードパーティのトラッキングスクリプトなし
9. Cookie
プラットフォームは厳密に必要なCookieのみを使用します:
プラットフォームは独自のCookieを使用しません。セッショントークンはブラウザのlocalStorageに保存され、サービスの機能に厳密に必要なものです。
プラットフォームは以下を使用しません:
- トラッキングCookie
- 広告Cookie
- アナリティクスCookie(Google Analytics、Meta Pixelなし)
- ソーシャルメディアCookie
10. フォントのセルフホスティング(GDPRコンプライアンス)
プラットフォームで使用されるGoogle FontsはCloudflare R2にセルフホスティングされています。訪問者がサイトを読み込む際、フォントはCloudflareのCDNから配信されます — Googleのサーバーへの接続は行われず、訪問者のデータ(IPアドレス、ブラウザフィンガープリント)はGoogleに送信されません。これは、Google FontsとGDPRに関するオーストリアの画期的な裁定(DSB、2021年12月)およびドイツの裁定(LGミュンヘンI、2022年1月)に準拠しています。
11. AIデータ処理
AI機能(SEO生成、AIチャット、コンテンツ提案)が使用される場合:
- コンテンツは処理のためにGroqのAPIに送信されます
- Groqはデータを処理して応答を生成し、モデルのトレーニングには使用しません
- サイト所有者がコンテンツに明示的に含めない限り、サイト訪問者の個人データはAIサービスに送信されません
- AIチャットの会話は、セッション終了後にプラットフォームのサーバーに保存されません
12. サイト所有者のデータ処理
プラットフォーム上でサイトを運営し、訪問者から個人データを収集する場合(ユーザー登録、ニュースレター、メールを通じて)、お客様がGDPRにおけるそのデータのデータ管理者です。お客様は以下の責任を負います:
- 訪問者への独自のプライバシーポリシーの提供
- 必要な同意の取得
- 訪問者からのデータ主体リクエストへの対応
- 適用されるすべてのデータ保護法の遵守
プラットフォーム運営者は、お客様がプラットフォームを通じて収集するデータのデータ処理者(GDPR第28条)として機能します。この処理関係の根拠は利用規約であり、GDPR第28条第3項に基づくデータ処理契約(Auftragsverarbeitungsvertrag、AVV)として機能します。正式なDPA文書については、privacy@aionedge.appにお問い合わせください。
13. 自動化された意思決定(GDPR第22条)
プラットフォームは、GDPR第22条の意味における自動化された個別意思決定またはプロファイリングを行いません。AI機能(SEO生成、チャットウィジェット、コンテンツ提案)は、データ主体に法的または同様に重大な影響を及ぼす決定を行わない補助ツールです。
14. 特別カテゴリのデータ(GDPR第9条)
プラットフォームは、特別カテゴリの個人データ(人種・民族的出身、政治的意見、宗教的信条、健康データ、生体データなど)を意図的に収集または処理しません。サイト所有者は、GDPR第9条第2項に基づく合法的な根拠を確立することなく、プラットフォームを使用してそのようなデータを収集すべきではありません。
15. データ侵害通知(GDPR第33条/第34条)
個人データ侵害が発生した場合:
- 運営者は、侵害を認識してから不当な遅延なく、可能な場合は72時間以内にオーストリアデータ保護当局(Datenschutzbehörde)に通知します(GDPR第33条)
- 侵害がデータ主体の権利と自由に高いリスクをもたらす可能性がある場合、影響を受ける個人に不当な遅延なく通知します(GDPR第34条)
- データ管理者として機能するサイト所有者には、自身の通知義務を果たすために速やかに通知されます
16. 児童のプライバシー
本サービスは16歳未満の児童を対象としていません。16歳未満の児童から個人データを意図的に収集することはありません。16歳未満の児童が個人データを提供したことが判明した場合、削除の措置を講じます。
17. 本ポリシーの変更
当社の慣行または法的要件の変更を反映するために、本プライバシーポリシーを更新する場合があります。重要な変更は、メールまたはプラットフォーム上の通知で伝えられます。本文書の上部にある発効日が最新の改定日を示しています。
18. お問い合わせ
プライバシーに関するお問い合わせ:
Michael König-Weichhardt Bachweg 10, 8410 Wildon, Steiermark, Austria メール:privacy@aionedge.app