プライバシーポリシー

前文

ニューサマー株式会社（以下「当社」）は、当社が提供するAI英会話アプリケーション「KidTalk」（以下「本サービス」）の運営にあたり、利用者（主として児童の保護者。以下「保護者」）及び本サービスを通じて処理されるすべての個人情報の取り扱いについて、以下のとおりプライバシーポリシー（以下「本ポリシー」）を定めます。

本サービスは児童（18歳未満の者。以下同じ）を主たる利用者として設計されていますが、当社との契約関係は保護者との間に成立するものとし、保護者が本ポリシーに同意することをもって、本サービスの利用が可能となります。

当社は、個人情報を適切かつ安全に管理するため、日本の個人情報の保護に関する法律（以下「個人情報保護法」）、EU一般データ保護規則（以下「GDPR」）、米国児童オンラインプライバシー保護法（以下「COPPA」）及びカリフォルニア州消費者プライバシー法（以下「CCPA」）をはじめとする適用法令を遵守します。

第1条（事業者情報及び個人情報保護管理者）

当社の名称及び連絡先は以下のとおりです。

• 法人名: ニューサマー株式会社（New Summer Inc.）
• Data Protection Officer: info@kidtalkapp.com

個人情報の取り扱いに関するお問い合わせ及び各種権利行使の請求は、上記Data Protection Officer（以下「DPO」）宛にご連絡ください。当社は、請求受領後、合理的な期間（原則として30日以内）にご回答します。

第2条（適用範囲）

本ポリシーは、本サービスの利用に関連して当社が取得・処理するすべての個人情報及び準個人情報に適用されます。本サービスは児童向けに設計されていますが、当社との契約主体は保護者とし、保護者による同意及び管理のもとで児童が利用するものとします。

なお、本ポリシーは第三者が運営するウェブサイト、アプリケーション又はサービス（本サービスからリンク先を含む）には適用されません。

第3条（適用法令）

当社は、利用者の所在地及び適用される準拠法に応じ、以下の法令を遵守します。

第4条（取得する個人情報の種類）

当社は、本サービスの提供に必要な範囲に限り、以下の情報を取得します。

1. アカウント情報
   • メールアドレス（保護者のもの）
   • ユーザーID（システム生成）
   • 保護者が任意で登録したプロフィール情報
2. 音声データ
   • 児童による音声入力データ
   • 音声からテキストへの変換データ（Speech-to-Text処理後のテキスト）
   • AI応答生成のために使用されるテキストデータ
3. 利用情報
   • 本サービスの利用回数・利用履歴
   • IPアドレス
   • デバイス情報（OS・機種・バージョン等）
   • アプリケーションのクラッシュログ・診断情報
4. 決済情報

   決済処理は第三者決済事業者であるStripe, Inc.（米国）が行います。当社はクレジットカード番号その他の機密決済情報を直接取得・保存しません。当社が取得するのは、Stripeが発行するトークン及びサブスクリプション状態に係る情報に限られます。

第5条（利用目的）

当社は、取得した個人情報を以下の目的に限り利用します。利用目的の範囲を超えて個人情報を利用する場合は、事前に保護者の同意を取得します。

• 本サービスの提供及び運営（AI応答生成、Speech-to-Text処理、Text-to-Speech処理を含む）
• 利用者認証及びアカウント管理
• サービス品質の維持・改善（統計的・匿名化された分析データに基づくもの）
• 不正利用の防止及びセキュリティの確保
• 利用者からの問い合わせ対応及びカスタマーサポート
• 法令上の義務の履行及び権利の行使
• 料金の請求・収納管理

第6条（処理の法的根拠：GDPR第6条・第9条）

EU/EEA居住者に係る個人データの処理は、以下の法的根拠に基づきます。

第7条（音声データの特別取り扱い）

音声データは、本サービスにおける特に機微性の高い情報として、以下のとおり厳格に取り扱います。

• リアルタイム処理：音声入力はリアルタイムでSpeech-to-Text処理（Google Cloud Speech-to-Text等）に送信されます。
• 最小保存の原則：原音声データは原則として保存しません。やむを得ず一時的に保存する場合も、処理完了後速やかに（通常数秒から数分以内に）削除します。
• 第三者送信の明示：音声データはAI処理のためにGoogle Cloud等の外部クラウドサービスに送信される場合があります。当該第三者との間では、適切なデータ処理委託契約（DPA）を締結しています。
• 目的外利用の禁止：音声データをAI応答生成以外の目的（例：第三者への販売、広告ターゲティング等）に利用しません。

第8条（児童の個人情報の取り扱い：COPPA準拠）

本サービスは13歳未満の児童を主たる対象とするため、米国Children's Online Privacy Protection Act（COPPA）の要件を遵守します。

1. 保護者の同意

   当社は、13歳未満の児童から個人情報を収集・処理する前に、当該児童の保護者から検証可能な明示的同意（Verifiable Parental Consent）を取得します。同意取得の方法、撤回手続き及び撤回後の効果については、当社の別途定める同意管理手続きに従います。

2. 保護者の権利

   保護者は、当社に対し以下の権利を行使することができます。

   • 収集した児童の個人情報の開示請求
   • 収集した児童の個人情報の訂正・補完請求
   • 収集した児童の個人情報の削除請求
   • それ以上の収集・利用の停止請求

   権利行使は、info@kidtalkapp.com（DPO宛）に書面（電磁的方法を含む）にてご請求ください。当社は本人確認後、合理的な期間内に対応します。

3. 必要最小限の収集

   当社は、本サービスの提供に必要な個人情報のみを収集します（データ最小化の原則）。児童に関する情報は、利用者の氏名、顔写真等の直接識別情報を収集しません。

第9条（第三者提供）

当社は、以下に定める場合を除き、個人情報を第三者に提供しません。

• 委託先への提供：本サービスの運営に必要な業務（クラウドコンピューティング、決済処理等）を委託する際、必要最小限の範囲で委託先に提供します。委託先との間では、個人情報保護に関する契約を締結します。
• 法令に基づく提供：裁判所、捜査機関その他の公的機関から法令に基づく要請があった場合。
• 保護者の同意に基づく提供：保護者から事前の明示的同意を取得した場合。
• 事業承継：合併、会社分割、事業譲渡その他の事由により事業が承継される場合（承継先においても本ポリシーと同等の保護が確保される場合に限る）。

主要な処理委託先は以下のとおりです（詳細は別途公開する処理委託先一覧を参照）。

• Google LLC (Google Cloud): 音声処理（STT/TTS）、クラウドインフラ
• Stripe, Inc.: 決済処理

第10条（国際データ移転）

本サービスにおける個人データの処理は、日本国外（主として米国）に所在するサーバ及び処理委託先において行われる場合があります。当社は、かかる国際データ移転に際し、以下の保護措置を講じます。

• EU/EEA居住者のデータ：欧州委員会が定める標準契約条項（Standard Contractual Clauses, SCC）の締結
• 英国居住者のデータ：英国ICOが承認した国際データ移転契約（IDTA）の締結
• その他の地域：個人情報保護法に基づく外国にある第三者への提供に係る手続きの履行

なお、当社が利用するGoogle Cloud及びStripeはいずれも、当該国際移転に適用されるセキュリティ認証（ISO 27001等）を取得しており、適切な保護水準が確保されています。

第11条（データの保存期間）

当社は、利用目的の達成に必要な限度においてのみ個人情報を保存します。主要なデータの保存期間は以下のとおりです。

第12条（セキュリティ管理措置）

当社は、個人情報の漏えい、滅失又は毀損の防止その他の個人情報の安全管理のために、以下の措置を講じます。

1. 技術的安全管理措置
   • 通信の暗号化（TLS 1.2以上）
   • 保存データの暗号化（AES-256相当）
   • アクセスログの記録及び監視
   • 脆弱性スキャン及びペネトレーションテストの定期実施
2. 組織的安全管理措置
   • 最小権限の原則に基づくアクセス制御
   • 個人情報取扱者に対する定期的な教育・訓練
   • 個人情報取扱規程の策定及び運用
   • インシデント対応手順（Incident Response Plan）の整備
3. 物理的安全管理措置
   • データセンターにおける入退室管理
   • 機器・記録媒体の適正廃棄

セキュリティインシデントが発生した場合、当社は適用法令の定める期間内に監督機関及び影響を受けるデータ主体に対して通知します。

第13条（ユーザーの権利）

保護者（及びEU/EEA居住者を代理する児童のデータ主体）は、以下の権利を有します。

権利行使の請求は、info@kidtalkapp.com（DPO宛）にご連絡ください。当社はご請求受領後30日以内に対応します（合理的な理由がある場合は60日まで延長可）。EU/EEA居住者の方は、所轄の監督機関（Supervisory Authority）に苦情を申し立てる権利もあります。

第14条（保護者同意の管理）

本サービスの利用開始にあたり、保護者は以下の事項に対する明示的同意を提供する必要があります。

• 児童の音声データの収集及びAI処理への利用
• 本サービスの提供に必要なクラウドサービス（Google Cloud等）への送信
• 本サービスに用いるAI技術（大規模言語モデル等）の利用
• 本ポリシー全体の内容

同意は、保護者がいつでも撤回することができます。同意の撤回は本サービスの将来の利用に影響を与える場合があります。撤回の方法については、info@kidtalkapp.com（DPO宛）にご連絡ください。

第15条（Cookieその他のトラッキング技術）

本サービスは、以下の目的においてCookieその他のトラッキング技術（以下「Cookie等」）を使用する場合があります。

• セッション管理及びログイン状態の維持（必須Cookie）
• サービスの利用状況の分析（分析Cookie：保護者の同意を条件とする）
• 不正アクセスの検知・防止（セキュリティCookie）

広告目的のCookie及び第三者の行動追跡Cookie（Third-party Tracking Cookie）は使用しません。Cookie等の設定は、デバイスのブラウザ設定から変更することができます。ただし、必須Cookieを無効化した場合、本サービスの一部機能が使用できなくなる可能性があります。

第16条（ポリシーの改定）

当社は、法令の改正、サービスの変更その他の事由により、本ポリシーを改定することがあります。重要な変更を行う場合は、本サービス内の通知又は登録されたメールアドレスへの通知により、変更内容及び効力発生日を事前にお知らせします（原則として効力発生日の30日前までに通知）。

改定後の本ポリシーへの同意は、効力発生日以降に本サービスを継続して利用することにより成立するものとします。重要な変更については、保護者の再同意を求める場合があります。

第17条（準拠法及び管轄）

本ポリシーの解釈及び適用は、日本法に準拠します。本ポリシーに関する紛争については、日本の裁判所を管轄裁判所とします。ただし、GDPRその他の強行法規が適用される場合は、当該法規に従います。

第18条（お問い合わせ）

本ポリシーに関するご質問、個人情報の取り扱いに関するご相談、各種権利行使のご請求については、以下の窓口にご連絡ください。

• 個人情報管理窓口（DPO）: info@kidtalkapp.com
• 対応言語: 日本語・英語
• 対応時間: 平日 9:00〜18:00 JST
• 回答目標期間: 原則30日以内