ALTER プライバシーポリシー
1. 基本方針
ALTER (以下「本サービス」) は 習慣継続を観察し、行動の法則を言語化する ことを目的とした個人開発の Web アプリケーションです。本サービスを運営する pon (以下「運営者」) は、ユーザーの個人情報および入力データを丁寧に取り扱い、本ポリシーに基づいて適切に管理します。
- 運営者: pon (ponfreelance.com、屋号)
- 連絡先: nqg14616@nifty.com
- 本ポリシーの対象範囲: alter.ponfreelance.com
運営者の本名・住所は、特定商取引法上の表示請求または個人情報開示請求があった場合、メールにて開示します (法令準拠)。
2. 収集する情報
2.1 ユーザーが入力する情報
- アカウント情報: メールアドレス (Google OAuth 経由を含む)、表示名、キャラクター名
- 日次入力データ: 体重・歩数・運動量・タンパク質・フロー時間・睡眠・気分・副業収益等の数値および主観評価
- 自由記述: 朝/夜の振り返りメモ、自己宣言タスク、AI 出力への feedback コメント
- 設定: 通知時刻、起床目標時刻、外部連携 (GitHub) のトークン
2.2 自動的に取得する情報
- キャラクター進化データ: 入力に基づき本サービスが計算する LV / HP / MP / 各種ステータス
- AI 生成データ: 伴走者コメント、月次取扱説明書、職業判定結果、ビフォーアフター画像
- アクセスログ: IP アドレス、User-Agent、参照元 (Vercel 標準ログ範囲)
- Service Worker / Local Storage: PWA 状態、Web Push subscription、UI 設定
2.3 外部連携で取得する情報 (任意)
- GitHub: コミット数 (アウトプット指標として、ユーザーが連携を有効にした場合のみ)
- 将来予定: HealthKit / Health Connect / あすけん (本サービス Mobile 版で導入時)
3. 利用目的
収集した情報は以下の目的でのみ利用します。
- 本サービスのコア機能の提供: 入力データに基づく AI スコアリング、キャラクター進化、月次レポート、シーズンパス進捗
- AI 伴走者の応答生成: ユーザーの入力を AI モデル (後述 §5) に送信し、観察コメント・法則・励まし等を生成
- 不正な入力の検知と「やさしい確認」: 前日比 10 倍以上 / 5 日連続同値 / 体重急減等を自動検出し、伴走者から修正を提案 (強制修正なし)
- 通知配信: ユーザーが設定した時刻に Web Push でリマインダー送信
- 本人による振り返りの可視化:
/profile/insightsでの 3ヶ月目標進捗・engagement metric 表示 - 本サービスの改善: ユーザー feedback (thumbs up/down + コメント) を品質向上のために運営者が確認
4. AI モデルへのデータ送信
本サービスは以下の AI モデル提供事業者にユーザー入力データを送信し、応答を生成します。送信はリクエストごとに行われ、運営者は モデル提供事業者によるデータの学習目的での利用をオプトアウト しています (各事業者の API 規約に従う)。
| 事業者 | 用途 | データ送信内容 | |---|---|---| | Anthropic (Claude) | 月次取扱説明書、職業判定理由、ビフォーアフター一言、朝/夜コメント | 当該機能に必要な入力データの一部 (氏名・メール等の直接 PII は送信しない) | | Groq | 上記の高速応答経路 (fallback chain) | 同上 | | Open-Meteo | 実天気観測 | 緯度・経度 (β5 では env 固定、Sprint 8 でユーザー別位置可変) |
AI 応答は 推測 / 観察 であり、医療助言・投資助言・法律助言ではありません (利用規約 §5 参照)。
5. 第三者提供
運営者は以下を除き、ユーザーの個人情報を第三者に提供しません。
- 法令に基づく場合 (捜査機関等からの法的請求)
- ユーザーの同意がある場合 (SNS シェア機能でユーザー自身が画像 URL を公開する場合等)
- 本サービスの運営に必要な業務委託先 (インフラ事業者、後述 §6)
6. データ保存先 (業務委託先)
本サービスは以下のクラウドインフラを利用します。各事業者は ISO 27001 / SOC 2 等の認証を取得しており、データ保護に関する基準を満たしています。
| 事業者 | 役割 | データの保存リージョン | |---|---|---| | Supabase | 本サービスのデータベース・認証・ファイルストレージ | ap-northeast-1 (東京) | | Vercel | 本サービスのアプリケーション実行・配信 | グローバル CDN + Tokyo Edge | | Cloudflare | DNS・トンネル | グローバル |
各事業者のデータ取扱いについては、それぞれのプライバシーポリシーを参照してください。
7. Cookie / Local Storage / Service Worker
本サービスは以下のクライアント側ストレージを使用します。
- Cookie: 認証セッション (Supabase Auth)、CSRF トークン等
- Local Storage: UI 設定 (テーマ等)、本サービスが必要とする一時的なキャッシュ
- Service Worker (
/sw.js): Web Push 通知の受信、PWA としてのオフライン補助 - PushManager Subscription: Web Push 用のエンドポイント情報 (ユーザーが通知を有効にした場合のみ)
ブラウザ設定でこれらを無効にすると、本サービスの一部機能が利用できなくなります。
8. データの保管期間
- アカウント情報・入力データ: ユーザーが退会するまで
- ログ情報: 30 日 (Vercel 標準)
- AI 応答履歴: ユーザーが退会するまで (本人による振り返り素材として保持)
9. データの開示・訂正・削除請求
ユーザーは自己の個人情報について、以下の請求を運営者宛のメール (nqg14616@nifty.com) で行えます。
- 開示: 自己の入力データ・AI 応答履歴の全件出力 (JSON 形式)
- 訂正: 表示名・キャラクター名・各種設定の修正は本サービス内で随時可能
- 削除 (退会): アカウントおよび関連データの全削除 (退会後 30 日で完全削除、復旧不可)
請求受領後 14 日以内に対応します。
10. 未成年者の利用
本サービスは満 18 歳以上を対象とします。18 歳未満は保護者の同意のうえご利用ください。
11. 安全管理
- すべての通信は HTTPS (TLS 1.3) で暗号化
- 認証は Supabase Auth (Magic Link + Google OAuth)、パスワード保管は委託先のハッシュ化
- 行レベルセキュリティ (RLS) により他ユーザーのデータへアクセスできない設計
- VAPID 認証付き Web Push、 Cloudflare 経由の DDoS 対策
12. プライバシーポリシーの改訂
本ポリシーは法令変更・サービス機能追加に応じて改訂することがあります。重要な変更は本サービス内通知 (Web Push または /dashboard の SpecialNoticeCard) で告知します。
最終改訂日: 2026-05-23 (下書き) 施行日: β5 配信時に確定 (Sprint 8.B)