プライバシーポリシー

1. はじめに

本サービスは、ユーザーの皆様のプライバシーを尊重し、個人情報の保護を重要な責務と考えています。 本プライバシーポリシー（以下「本ポリシー」）は、本サービスが収集する情報の種類、利用目的、第三者への提供、 保有期間、ユーザーの権利、およびお問い合わせ方法について説明します。

本ポリシーは、本サービスの 利用規約 と一体として適用されます。

本サービスは現在主に日本国内居住者向けに提供されており、個人情報保護法に基づく個人情報の取り扱いを行います。将来、他の地域へのサービス展開に際しては、当該地域の法令（EU GDPR、米国 CCPA 等）に従って対応します。

EU 居住者の方へ: GDPR 第 3 条第 2 項（域外適用）に該当する場合、本サービスは個人情報保護法に基づく権利に加え、 GDPR 相当の権利（アクセス権・削除権・データポータビリティ権・処理制限権・異議申立権等）を提供します。 詳細は第 9 条「ユーザーの権利」および第 13 条のお問い合わせ窓口をご参照ください。

2. 個人情報取扱事業者の情報

本サービスの個人情報取扱事業者は、以下の通りです:

3. 収集する情報

3.1 アカウント情報

• メールアドレス（認証目的、必須）
• パスワード（暗号化ハッシュとして保存、平文は保管しません）
• ニックネーム・ユーザー名（プロフィール）
• アバター画像（プロフィール、任意）
• 生年（同世代フィルター機能用、任意）
• 自己紹介テキスト（任意）

3.2 投稿コンテンツ

• 投稿テキスト
• 添付画像（Exif メタデータは保存前に自動削除されます）
• 指定した過去の年（target_year）
• 場所名（任意、ユーザーが手動入力した場合のみ）
• 紐付けた作品情報（映画・アニメ・書籍・音楽等の作品 ID と表示用メタデータ）
• コメント・リアクション・チャットルームでのメッセージ

3.3 利用状況情報

• アクセスログ（IP アドレス、ブラウザ種別、参照元 URL、アクセス日時）
• 機能利用状況（投稿数、ログイン頻度等の集計指標）
• エラーログ（不具合調査目的）

3.4 収集しない情報

本サービスは、以下の情報を 収集・保存しません:

• 画像の Exif メタデータ（撮影日時・GPS 座標・カメラ機種・撮影者情報等） ─ 投稿時にサーバ側で自動削除します
• GPS 座標・正確な位置情報─ ユーザーが手動入力した場所名（テキスト）のみ保存します
• クレジットカード情報（決済機能未実装）
• マイナンバー・運転免許証等の公的本人確認情報

4. 情報の利用目的

本サービスは、収集した情報を以下の目的のために利用します。

• 本サービスの提供・維持・改善
• ユーザー認証・アカウント管理
• コンテンツの表示・パーソナライズ（同世代フィルター・関連投稿の推薦等）
• 本サービス内でのユーザー間コミュニケーション（コメント・リアクション・チャットルーム）
• 不正利用・スパム・違反行為の検知・防止
• サービスに関する重要なお知らせ・規約変更の通知
• 統計分析（個人を特定しない集計データに限る）
• 法令に基づく対応（裁判所・捜査機関からの要請への対応等）

5. 第三者への提供（sub-processor）

本サービスは、以下の場合を除き、ユーザーの個人情報を第三者に販売・共有しません。

• 業務委託先（sub-processor）: サービス運営に必要な範囲で、以下の委託先に共有します
• 法的要請: 裁判所・捜査機関等からの法令に基づく開示要求がある場合
• 緊急の必要: ユーザー自身または第三者の生命・身体・財産の保護のために緊急に必要な場合
• 公開コンテンツ: ユーザーが本サービス内で「公開」設定で投稿したコンテンツは、他のユーザーに表示されます

5.1 業務委託先（sub-processor）一覧

5.2 外部 API（読取専用、個人情報送信なし）

以下の API から作品情報・画像を取得して表示しています。ユーザーのアカウント情報・投稿コンテンツはこれらに送信されません。（IP アドレス・リクエストヘッダー等は技術的に送信される可能性があります）

• Apple Music API（Apple Inc., アメリカ合衆国）: 音楽情報取得
• TMDB API（The Movie Database, アメリカ合衆国）: 映画・ドラマ情報取得
• Annict API（Annict 運営, 日本）: アニメ情報取得
• Google Books API（Google LLC, アメリカ合衆国）: 書籍情報取得

5.3 越境移転について（個情法 28 条）

上記のうち日本国外に所在する委託先（Vercel / Supabase / Anthropic / Apple / TMDB / Google）への 個人データの提供は、個人情報保護法第 28 条（外国にある第三者への提供の制限）に基づく 同意 をいただいたうえで行います。 本ポリシーへの同意は、これらの越境移転への同意を含みます。

各委託先の外国制度情報・安全管理措置:

6. AI 技術の活用

本サービスは、以下の AI 機能を提供しています:

• 検索補助（自然言語による作品・投稿検索）
• コンテンツ補完（投稿時の作品候補提示等）
• レコメンド（関連投稿・関連作品の表示）

これらの AI 機能の処理には、当サービスが利用する AI API プロバイダの API を使用します。当該 AI API プロバイダとの契約により、ユーザーコンテンツは AI モデルの学習データとして使用されません。この AI 学習不使用の保護は、ユーザーが変更することのできない条件です。

AI 機能は本サービスの一部として提供されているため、個別の機能オフ設定はできません。AI 機能の利用を望まない場合は、該当する機能（検索・レコメンド等）の使用をお控えください。

7. データの保管と保護

• 個人データは Supabase が運営する PostgreSQL データベース（東京リージョン）に保存され、 業界標準の暗号化（保存時暗号化・通信時 TLS 暗号化）で保護されます
• パスワードは復号不可能なハッシュ形式（bcrypt）で保存され、平文は保管されません
• Row Level Security（RLS）により、各ユーザーは原則として自身のデータのみアクセス可能です （公開コンテンツは他のユーザーから閲覧可能）
• 運営側で個人データに直接アクセスできるのは、不具合調査・違反対応・法令対応の必要な範囲に限ります
• 定期的なバックアップを取得し、災害・障害時のデータ保全に努めます

8. データの保有期間

• アカウント情報・投稿コンテンツ: アカウントが有効な期間中、保有します
• 退会後: ユーザーアカウントおよび関連データは速やかに非表示・利用停止となり、合理的な期間内に削除されます。バックアップ等からの完全削除には最大 90 日程度を要する場合があります。
• アクセスログ: 最大 1 年間保管します（法令対応・不正利用調査のため）
• 会計・税務関連データ: 税法上の保存義務に基づき最大 7 年間保管します
• 裁判・紛争・捜査関連データ: 紛争解決まで保管します

9. ユーザーの権利（個人情報保護法 + GDPR）

ユーザーは、個人情報保護法および GDPR（EU 一般データ保護規則）に基づき、以下の権利を有します。

• アクセス権 / 開示請求権: 本サービスが保有するご自身の個人データの開示を請求できます
• 訂正権: 不正確な個人データの訂正・追記を請求できます（一部はプロフィール設定ページから直接訂正可能）
• 削除権（忘れられる権利）: アカウント削除（退会）により、ご自身の個人データは速やかに非表示・利用停止となり、合理的な期間内に削除されます（バックアップ等からの完全削除には最大 90 日程度を要する場合があります）
• 利用停止権: 個人データの利用停止・第三者提供の停止を請求できます
• データポータビリティ権（GDPR Art. 20）: お問い合わせフォームまたはメールにてご請求いただいた場合、合理的な期間内にデータをお渡しします（現在、自動エクスポート機能は開発中です。現時点では手動対応にて承ります）
• 同意撤回権: 越境移転等の同意ベースの処理について、いつでも同意を撤回できます（撤回前の処理の適法性は影響を受けません）
• 監督機関への異議申立権: 個人情報保護委員会（日本）または EU 加盟国のデータ保護機関に異議を申し立てる権利があります

これらの権利を行使される場合は、第 14 条のお問い合わせ窓口までご連絡ください。 本人確認のうえで、原則として 30 日以内に対応します（複雑な請求の場合は最大 60 日まで延長する場合があります）。

10. Cookie・類似技術

本サービスは、以下の目的で Cookie および類似のトラッキング技術（localStorage 等）を使用します:

• 必須 Cookie（認証セッション管理）: ログイン状態の維持・セッション管理（Supabase Auth）。 本サービスを利用するために必須であり、無効にするとログイン等の基本機能が利用できなくなります。
• 機能 Cookie: ユーザー設定（テーマ、表示モード等）の保存
• 分析 Cookie（Google Analytics 4）: サービス改善を目的としたアクセス解析。 ページビュー・利用機能・滞在時間等の匿名化された統計情報を収集します。 Google Analytics の詳細は Google プライバシーポリシーをご参照ください。

Cookie 同意バナーについて: 現時点では Cookie 同意バナーは未実装です。今後、Cookie 同意バナーを実装予定です。 現在は本ポリシーへの同意（本サービスへのアクセス・利用の継続）をもって、上記 Cookie の使用に同意したものとみなします。

ブラウザの設定で Cookie を無効にすることができますが、ログイン等の一部機能が利用できなくなります。 第三者広告 Cookie は使用していません。

11. セキュリティインシデント対応

本サービスは、個人情報の漏洩・滅失・毀損その他のセキュリティインシデントが発生した場合、以下の手順で対応します。

• 監督機関への報告（APPI 26 条）: 個人情報保護法第 26 条に定める「重大な漏洩等」に該当する場合、発覚から 72 時間以内 を目安に 個人情報保護委員会に対して速報を行い、その後確報を提出します。
• ご本人への通知: 漏洩等が発生した個人情報のご本人に対して、速やかに電子メールまたはサービス内通知にてご連絡します。 通知内容には、漏洩した情報の種類・判明した経緯・対応措置・お問い合わせ先を含みます。
• 応急措置・再発防止: インシデントの拡大防止に向けた応急措置を速やかに実施し、原因調査および再発防止策を講じます。

セキュリティに関するご報告・ご懸念は、下記お問い合わせ窓口（ privacy@nostals.com ）までご連絡ください。

12. 児童のプライバシー

本サービスは 18 歳以上 の方を対象としています。18 歳未満の方の個人情報を意図的に収集することはありません。 18 歳未満の方が本サービスにアカウントを作成したことが判明した場合、当該アカウントおよび関連データを速やかに削除します。 18 歳未満のお子様の情報が誤って登録されたことに気付かれた保護者の方は、第 14 条のお問い合わせ窓口までご連絡ください。

13. ポリシーの変更

本ポリシーを変更する場合、本ページにて通知します。重大な変更（収集情報の追加、新たな第三者提供先の追加等）の場合は、 登録メールアドレスにもお知らせし、30 日間の周知期間 を経て効力を生じます。

ただし、法令の改正への対応・誤記の訂正・ユーザーの利益に明らかに資する変更については、 即時効力を生じる場合があります。

14. お問い合わせ窓口

プライバシーに関するお問い合わせ・各種権利行使のご請求は、以下までご連絡ください: