プライバシーポリシー

要点：BYOK モードでは、当社はお客様の API Key、会話内容、モデル出力を保存しません。クラウド同期、暗号化バックアップ、Oriveo Free はいずれも任意機能であり、有効化した場合に限って必要な範囲のデータを処理します。

• API Key：お使いの端末のセキュアストレージにのみ保存され、当社サーバーへは送信されません。
• 会話と添付ファイル：BYOK モードでは端末から AI プロバイダーへ直接送信されます。同期やバックアップを有効にした場合のみクラウド処理が発生し、バックアップは AES-256 でエンドツーエンド暗号化されます。
• Oriveo Free：リクエストは Oriveo サーバー経由で第三者モデルプロバイダーへ中継され、当社はクォータ管理、不正利用防止、監査に必要な最小限の記録のみを保持します。
• 当社がしないこと：個人データの販売、行動ターゲティング広告への利用、お客様コンテンツを用いた Oriveo 独自 AI の学習。

本ポリシーにおける「データ管理者」（または適用法における個人情報取扱事業者に相当する主体）は Oriveo チームです。

• 運営主体：[正式な法人登記に基づく運営主体名]
• 所在地 / 連絡先住所：[追記予定]
• プライバシー・データ保護窓口：[email protected]
• 一般サポート窓口：[email protected]

EEA、英国、スイスに居住するお客様は、本サービスにおける個人データの取扱いについて、当社または所在地のデータ保護当局へ問い合わせや申立てを行うことができます。

当社は、本サービスの提供と安全な運用に必要な最小限の情報のみを収集します。主なカテゴリは以下のとおりです。

• アカウント情報：Firebase Authentication を通じて、メールアドレス、表示名、プロフィール画像 URL、ログイン方法（Google、Apple、メール OTP）を取得します。パスワード自体は当社で保持しません。メール OTP は Resend により送信され、通常 10 分以内に失効します。
• クラウド同期メタデータ（有効時のみ）：Firebase Firestore を通じて、会話タイトル、タイムスタンプ、フォルダ、Skill ディレクトリ、Memory テキスト、各種設定、利用額集計などを同期します。メッセージ本文は標準ではクラウドに保存されません。本文を含むのは、お客様が明示的に AES-256 暗号化バックアップを作成した場合のみです。
• 添付ファイル（同期有効時のみ）：画像、PDF などの添付ファイルは Firebase Cloud Storage 上のお客様専用領域へ保存され、マルチデバイス利用を支えます。いつでも削除できます。
• Skill ナレッジベースのファイル：Skill 用ナレッジファイルをアップロードした場合、当社バックエンドを経由して OpenAI Vector Store に保存され、検索強化のために利用されます。原文とベクトルはお客様アカウント専用です。
• 端末・技術情報：IP アドレス（不正利用防止、レート制限、地理的コンプライアンス判断のため）、IP から推定される大まかな地域、端末モデル、OS バージョン、アプリバージョン、言語、タイムゾーン。
• 障害・性能診断情報：Sentry を通じて、未処理例外のスタックトレース、breadcrumb、現在のユーザー識別子（Firebase UID）、端末フィンガープリントを収集します。これは完全匿名ではなく、アカウントと関連付く場合があります。送信を望まない場合は「設定 → プライバシー」から診断送信を無効化できます。
• Oriveo Free の運用記録：無料レイヤー利用時には、Guest Session ID、端末識別トークン、モデル ID、ごとの token 数、通報・クォータ監査ログを保持します。メッセージ本文は標準では保存しませんが、法令順守上の通報確認が必要な場合に限り、限定的にサンプリングし、期間を定めて保持することがあります。
• 管理画面のセキュリティ情報：管理者ログイン時には Cloudflare Turnstile を利用してボット対策を行い、ログイン記録を保持します。

BYOK モードでは、以下のデータはお客様の端末から原則として外に出ません。当社は取得せず、保存せず、内容を見ることもできません。

• お客様が入力した API Key
• OpenAI、Anthropic、Google など第三者 AI プロバイダーとの会話内容
• モデルの生成結果や引用内容
• ローカル添付ファイルの元データ（同期や暗号化バックアップを有効化した場合を除く）
• 会話履歴そのもの（同期や暗号化バックアップを有効化した場合を除く）

BYOK モードでは、リクエストはお客様の端末から選択した AI プロバイダーへ直接送信され、Oriveo サーバーを経由しません。当社はプロキシもミラーリングも行いません。

当社は、適用される GDPR、CCPA/CPRA、PIPL などの法令に従い、以下の目的と根拠に基づいて個人データを取り扱います。

• 本サービスの提供・維持（ログイン、同期、マルチデバイス利用）: 契約履行のための必要性（GDPR 第 6 条 1 項 (b)）
• 障害解析と品質改善（エラーログ、クラッシュ情報、集計利用指標）: サービス改善に関する当社の正当な利益（第 6 条 1 項 (f)）
• 不正利用防止、クォータ制御、安全対策（レート制限、CAPTCHA、異常ログイン検知、Oriveo Free の監査、不正対策）: 正当な利益および法的義務の履行（第 6 条 1 項 (c)）
• Oriveo Free の提供（リクエスト中継、利用量計測、通報対応）: 契約履行のための必要性
• 法令順守対応（裁判所命令、監督当局の要請、データ主体の請求対応）: 法的義務の履行
• 重要なお知らせの送付（サービス変更、セキュリティ事案、重大通知）: 契約履行または正当な利益

当社は以下を行いません。

• 個人データの販売または第三者への賃貸
• 個人データを用いたターゲティング広告や広告プロファイリング
• お客様コンテンツを使った Oriveo 独自 AI モデルの学習

当社は本サービスの提供に必要な範囲で、以下の委託先（sub-processor）と最小限のデータを共有し、必要に応じてデータ処理契約（DPA）を締結しています。

• Google Firebase（Authentication / Firestore / Cloud Storage / Hosting）: アカウント情報、同期データ、添付ファイル。主なデータセンターは米国。
• Sentry（障害・性能監視）: エラースタックと診断データ。
• Resend（メール OTP 配信）: 送信先メールアドレスとワンタイムコード。
• Cloudflare（CDN、DDoS 防御、管理画面の Turnstile CAPTCHA）: リクエストメタデータと IP アドレス。
• OpenAI（Skill ナレッジベース用 Vector Store、および Oriveo Free のルーティング先モデルの一部）: お客様がアップロードしたナレッジファイル、または無料レイヤーの会話。
• お客様が選択した第三者 AI プロバイダー（BYOK モードではお客様端末から直接接続）: OpenAI、Anthropic、Google、DeepSeek、OpenRouter、Groq、Together AI、Fireworks AI、MiniMax、Zhipu、Qwen、SiliconFlow、およびお客様が設定する Relay エンドポイント。各プロバイダーには独自のプライバシーポリシーとデータ処理方針があり、お客様ご自身で確認し順守いただく責任があります。学習への利用停止（opt-out）は各公式コンソールで設定してください。

上記および法令で義務付けられる場合を除き、当社は個人データを第三者へ開示、販売、賃貸、譲渡しません。

Firebase、Sentry、Cloudflare などのクラウド基盤は複数地域で運用されています。お客様がサーバー所在国・地域以外から本サービスを利用する場合、個人データが国境を越えて移転されることがあります。当社は以下の法的仕組みを採用します。

• EEA / 英国 / スイスのお客様：EU 標準契約条項（SCCs）および補完措置に基づく移転
• 中国本土のお客様：個人情報保護法に基づき、必要性を評価したうえで適切に告知
• その他の地域のお客様：各地域法に従った越境移転手続

具体的な移転メカニズムや関連文書の写しをご希望の場合は、[email protected] までご連絡ください。

保管期間：

• アカウント情報：アカウント存続期間中 + 削除後 30 日間の復旧猶予期間
• 同期メタデータ / 添付ファイル / ナレッジベースファイル：お客様が削除するかアカウントを解約するまで
• Oriveo Free の利用記録：最長 180 日
• Oriveo Free の通報対象スナップショット：最長 12 か月、または紛争解決まで
• Sentry の障害ログ：最長 90 日
• 管理画面のログインログ：最長 12 か月
• OTP コード：10 分、または認証完了時点で直ちに失効
• 法令で保存が義務付けられるデータ：各法令が定める期間

安全管理措置：

• 通信時暗号化：クライアントとサーバー間通信には TLS 1.2 以上を使用
• 保存時暗号化：サーバー側データは静止時暗号化を実施。暗号化バックアップは AES-256 によるエンドツーエンド暗号化
• 端末側キー保護：API Key は iOS Keychain / Android Keystore / ブラウザ暗号化ストレージで保護
• アクセス制御：社内アクセスは最小権限原則に従い、機微操作は監査ログに記録
• 漏えい通知：高リスクの個人データ侵害が発生した場合、当社は 72 時間以内を目安にメールまたはアプリ内通知でお知らせし、必要に応じて監督当局へ報告します。

適用法（GDPR、UK GDPR、CCPA/CPRA、PIPL など）に基づき、お客様はご自身の個人データについて以下の権利を有する場合があります。

• アクセス権 / コピー取得権：「設定 → バックアップ → エクスポート」から暗号化 ZIP 形式でデータを取得可能
• 訂正権：アカウント設定から編集、またはメールでの修正依頼
• 削除権：「設定 → アカウント → アカウント削除」からサーバー側の関連データを一括削除（法令上必要なログは保管期間に従います）
• データポータビリティ権：構造化され、一般的で、機械可読な形式での提供
• 処理制限 / 異議申立権：診断送信の停止、同期の無効化、アカウントの利用停止が可能
• 同意撤回権：同意に基づく処理について、将来に向かっていつでも撤回可能
• 自動化された意思決定に服さない権利：当社は法的効果を伴う完全自動意思決定を行っていません。Oriveo Free のクォータ計算は運用上必要な不正防止措置であり、プロファイリングを目的としません。
• 監督当局への申立権：EEA / 英国のお客様は各国当局へ、カリフォルニア州のお客様は州司法長官へ、中国本土のお客様は関係当局へ申立て可能

回答期限：本人確認可能な請求を受領後、当社は 30 日以内を目安に回答します。複雑な請求では、法令に従い 30 日以内の延長を最大 2 回まで行うことがあり、その理由をお知らせします。

Oriveo の公式サイトおよび Web アプリでは、以下の保存技術を利用します。これらは広告ターゲティングやクロスサイト追跡には使用しません。

• 厳格に必要なもの：Firebase Auth のセッション Cookie、CSRF 保護トークン、管理画面用 JWT Cookie
• 機能提供のためのもの：テーマ、言語、レイアウト設定、会話ドラフト、モデルメタデータキャッシュなどをブラウザの IndexedDB 等に保存
• セキュリティ対策：管理画面での Cloudflare Turnstile、人間確認用トークン、Cloudflare の DDoS 防御用トークン

当社は第三者広告 Cookie、クロスサイト追跡ピクセル、第三者解析スクリプトを利用しません。Cookie を削除またはブロックすると、ログイン状態や一部機能に影響することがあります。

本サービスは 13 歳未満のお子様を対象としていません。お住まいの法域でデジタル同意年齢が 16 歳など、より高く定められている場合は、その法定年齢に達している必要があります。法定年齢に達していない方は、保護者の同意と監督のもとでのみ利用できます。

当社は、法定年齢未満のお子様の個人情報を故意に収集しません。保護者の方が、お子様の情報が当社に提供されたと認識した場合は、[email protected] までご連絡ください。確認後、速やかに削除対応を行います。

ポリシー変更：当社は、製品、技術、法令、運用の変更に応じて本ポリシーを改定することがあります。重要な変更がある場合は、施行前にアプリ内通知、メール、または公式サイト上の見やすい場所でお知らせし、「最終更新日」を更新します。変更後に本サービスを継続利用した場合、改定後ポリシーに同意したものとみなされます。同意いただけない場合は、利用を停止し、必要に応じてアカウントを削除してください。

お問い合わせ先：

• プライバシー・データ主体請求：[email protected]
• 一般サポート：[email protected]
• 法務窓口：[email protected]

当社は合理的な期間内での回答に努めます。