プライバシーポリシー
Thetawave AI プライバシーポリシー
最終更新日:2026年5月9日
本プライバシーポリシーは、デラウェア州法人である Thetawave AI, Inc.(以下「Thetawave」「当社」「私たち」または「我々」といいます)が、当社のウェブサイト(https://thetawave.ai)、モバイルアプリケーション、および関連するサービス(以下「本サービス」といいます)をお客様がご利用になる際に、どのように情報を収集、利用、開示および保護するかを説明するものです。
本サービスをご利用いただくことで、お客様は本ポリシーに記載された取扱いに同意するものとします。同意されない場合は、本サービスをご利用にならないでください。本ポリシーは当社の利用規約に組み込まれています。
重要なお知らせ
- 当社はお客様のユーザーコンテンツを用いてAIモデルの学習を行いません。 お客様がアップロードするノート、ドキュメント、音声、画像その他の素材は、Thetawaveのモデルの学習に使用されることはなく、また当社の第三者AIおよび文字起こしプロバイダーに対しても、お客様の入力をモデル学習に使用しないよう契約上義務付けています。第5条をご参照ください。
- 当社は本サービス上で第三者広告を表示しません。また、CCPA(カリフォルニア州消費者プライバシー法)で定義される「販売(sale)」に該当するような形で、お客様の個人情報を金銭的対価のために販売することもありません。
- グローバルユーザーについて。 本サービスは米国から運営されています。当社は、EU/UK/スイス(GDPR)、日本(APPI)、韓国(PIPA)、香港(PDPO)、台湾(PDPA)、カナダ(PIPEDA)、および米国(CCPA/CPRA および各州法)における該当するデータ保護法令を遵守します。地域別の権利については第7条および第12条をご参照ください。
目次
- 当社が収集する情報
- 情報の利用方法
- 処理の法的根拠(EEA/UK/スイス)
- 情報の共有方法
- ユーザーコンテンツのAI処理
- クッキー、トラッキング技術、プッシュ通知
- 国際的なデータ移転
- データの保存期間
- データセキュリティ
- 児童のプライバシー
- お客様のプライバシー権利 — グローバル概要
- 地域別の権利および通知
- 12.1 欧州経済領域、英国、スイス(GDPR)
- 12.2 カリフォルニア州(CCPA/CPRA)
- 12.3 その他の米国各州
- 12.4 日本(APPI)
- 12.5 韓国(PIPA)
- 12.6 香港(PDPO)
- 12.7 台湾(個人資料保護法)
- 12.8 カナダ(PIPEDA)
- 12.9 その他の法域
- 権利の行使方法
- Do-Not-Track 信号への対応
- モバイルアプリのプライバシー開示(App Store/Google Play)
- 第三者リンクおよびサービス
- 本ポリシーの変更
- お問い合わせ
1. 当社が収集する情報
当社は次の3つのカテゴリーの情報を収集します。
1.1 お客様が提供する情報
- アカウント情報: 氏名、メールアドレス、パスワード(ハッシュ化して保存)、プロフィール設定、および第三者IDプロバイダー(例:Google、Apple)でサインインされた場合は、当該プロバイダーが当社と共有する基本的なプロフィールデータ。
- サブスクリプションおよび支払い情報: ウェブ経由のご購入については、Stripeが処理する請求情報(当社は取引確認情報およびカード番号の下4桁を受領しますが、クレジットカード番号の全桁は保存しません)。モバイルアプリ内課金については、AppleまたはGoogleからの取引確認情報。
- コミュニケーション: お客様がサポート(メール経由)にお送りいただくメッセージ、フィードバック、アンケートへの回答。
- ユーザーコンテンツ: お客様が本サービスを通じてアップロード、作成または生成されるノート、ドキュメント、音声録音、画像、動画その他の素材。お客様のユーザーコンテンツは「センシティブ」(例:学生の学業記録、音声録音)とみなされる場合があり、その場合はそのように取り扱われます — 第5条および第12条をご参照ください。
ユーザーコンテンツに含まれる第三者の個人情報。 お客様のユーザーコンテンツに第三者に関する個人情報(例:ノートに記載されたクラスメイトの氏名、講義録音における教授の声)が含まれる場合、お客様が当該情報の管理者として行為するものとし、当該情報を当社と共有するために必要な同意その他の適法な根拠を有していることを表明するものとします。当社は、本ポリシーおよび当社の利用規約第6.4条および第9条に従い、お客様に本サービスを提供する目的でお客様に代わってのみ、当該第三者情報を処理します。
1.2 自動的に収集される情報
お客様が本サービスをご利用になる際、当社および当社の分析プロバイダーは以下を自動的に収集します。
- デバイスおよび技術データ: IPアドレス、ブラウザの種類およびバージョン、オペレーティングシステム、デバイス識別子(OSレベルで無効化されていない場合のモバイル広告識別子を含む)、画面サイズ、言語、タイムゾーン。
- 利用データ: 訪問したページ、利用した機能、クリック、滞在時間、リファラルURL、本サービス内での検索クエリ、IPアドレスから導き出される概略位置情報。
- 診断データ: クラッシュレポート、エラーログ、パフォーマンス指標。
1.3 第三者から取得する情報
- IDプロバイダー: Googleサインイン、Appleサインイン等をご利用の場合、お客様が承認された基本的なプロフィール情報を当社は受領します。
- 決済処理事業者: Stripe、AppleおよびGoogleは、購入を実行するために必要な範囲で取引データを当社と共有することがあります。
- サービスプロバイダー: 当社の分析、エラー追跡、カスタマーサポートツールは、お客様による本サービスの利用方法に関する集計データおよびイベントレベルのデータを共有します(第4条参照)。
当社は、データブローカーから個人情報を購入することはありません。また、広告ネットワークから個人情報を受領することもありません。
2. 情報の利用方法
当社は上記の情報を以下の目的で利用します。
- 本サービスの提供、運営、維持および保護(アカウントの認証、デバイス間のコンテンツ同期、取引の処理を含む)。
- お客様の入力に応じたAI出力の生成(第5条参照)。
- アカウント、取引、重要なポリシー変更、および(お客様の同意を得てまたは法律で認められる場合)製品アップデートに関するご連絡。
- カスタマーサポートの提供およびお問い合わせへの対応。
- 不正行為、悪用、セキュリティインシデント、および当社利用規約違反の検知、調査、防止。
- 本サービスの分析および改善(集計利用分析を含む)。
- 法的義務の遵守および当社利用規約の執行。
- お客様の同意を得て、収集時に開示するその他の目的。
当社は、人による審査なしにお客様に対して法的または同様に重要な影響を生じさせる自動化された意思決定のために、お客様の情報を利用することはありません。
マーケティングコミュニケーションおよびオプトアウト。 当社がマーケティングまたは販促目的のコミュニケーションを送信する場合(お客様の同意を得てまたは法律で認められる場合)、お客様はいつでも以下の方法でオプトアウトできます。
- マーケティングメール内の「配信停止(unsubscribe)」リンクをクリックする。
- アカウント設定で通知設定を切り替える。または
- contact@thetawave.ai までメールを送信する。
取引関連およびアカウント関連のコミュニケーション(例:セキュリティ警告、サブスクリプションの請求通知、重要なポリシー変更)は、本サービスの提供および当社の法的義務の遵守に必要であるため、アカウントが有効な間はオプトアウトすることはできません。
3. 処理の法的根拠(EEA、UK、スイス)
お客様が欧州経済領域、英国またはスイスにお住まいの場合、当社は以下の法的根拠に基づきお客様の個人データを処理します。
| 目的 | 法的根拠 |
|---|---|
| お客様への本サービスの提供(お客様の入力に対するAI推論を含む) | 契約の履行(Art. 6(1)(b) GDPR) |
| 決済処理および不正防止 | 契約の履行、法的義務、正当な利益 |
| サービスのセキュリティおよび悪用防止 | ユーザーおよび本サービスの保護に関する正当な利益 |
| 製品分析および改善 | 正当な利益、必須でないクッキーについての同意 |
| マーケティングコミュニケーション | 同意(いつでも撤回可能) |
| 法的要請への対応 | 法的義務 |
| ユーザーコンテンツに含まれる「特別カテゴリ」のデータの処理(該当する場合) | お客様の明示的な同意(Art. 9(2)(a)) |
お客様は、正当な利益に基づく処理に異議を申し立てる権利を有します — 第12.1条をご参照ください。
4. 情報の共有方法
当社は、契約上の守秘義務およびデータ保護義務に拘束される以下のカテゴリーの受領者に対してのみ、お客様の情報を共有します。
4.1 サービスプロバイダー(サブプロセッサー)
当社は、当社に代わって本サービスを運営するために第三者のサービスプロバイダーと契約しています。これらのプロバイダーは、当社にサービスを提供する目的でのみお客様の情報を利用することが許され、適切な守秘義務およびセキュリティ義務を遵守する必要があります。以下のカテゴリーは現時点での当社のサブプロセッサー構成を反映するものであり、ベンダーの変更に伴ってこのリストは変更されることがあります。
| カテゴリー | 目的 | 現在の主要ベンダー |
|---|---|---|
| クラウドホスティングおよびデータベース | 当社のバックエンドの運用、ならびにアカウントデータおよびユーザーコンテンツの保存 | Supabase(PostgreSQL、認証、ストレージ);クラウドインフラプロバイダー |
| AI推論(LLM) | お客様の入力からAI出力(ノート、要約、フラッシュカード、クイズ、学習チャット)を生成 | OpenAI、Anthropic、Google(第5条参照) |
| 音声文字起こし | 音声ユーザーコンテンツ(例:講義録音)を、後段のAI処理用にテキストへ変換 | Soniox, Inc.、Deepgram, Inc. |
| ウェブ決済処理 | ウェブサイト経由で購入されたサブスクリプションの処理 | Stripe, Inc.(https://stripe.com/privacy) |
| モバイルアプリ内課金およびサブスクリプション管理 | App Store/Google Play での購入処理および照合 | Apple Inc.、Google LLC、RevenueCat, Inc. |
| 製品分析 | 本サービスの利用状況の把握 | Mixpanel, Inc. |
| エラー追跡および診断 | 問題の検知およびデバッグ | Sentry(Functional Software, Inc.) |
| カスタマーサポート | メールベースのお問い合わせへの対応 | メールインフラ(現時点で第三者のチケット管理ツールは使用していません) |
サブプロセッサーの変更通知。 当社が重要なサブプロセッサーを追加または交代する場合、当社は、変更が発効する少なくとも14日前に本ポリシーを更新します。有効な有料サブスクリプションをご利用のユーザーに対しては、加えてメールまたはアプリ内メッセージで通知します。お客様が新しいサブプロセッサーに異議をお持ちの場合、変更発効前にアカウントを解約することができ、適用法により求められる場合は日割り計算による返金を請求することができます。
4.2 その他の開示
- 法令遵守および安全。 当社は、(a) 適用法、法的手続または政府の要請を遵守するため、(b) 当社の利用規約を執行するため、(c) Thetawave、ユーザーまたは公衆の権利、安全または財産を保護するため、または (d) 不正行為、セキュリティもしくは技術的問題を検知、防止または対処するために必要であると善意で信じる場合に、情報を開示することがあります。
- 事業譲渡。 Thetawaveが合併、買収、資金調達、組織再編または資産譲渡に関与した場合、お客様の情報が当該取引の一部として移転されることがあります。当社は、所有権または個人情報の利用に変更があった場合は、お客様に通知します(例:メールおよび/または本サービス上の目立つ通知による)。
- お客様の同意による場合。 お客様の指示に従い、当社は他の関係者と情報を共有することがあります。
4.3 当社が行わないこと
- 当社は金銭的対価のためにお客様の個人情報を販売しません。
- 当社はクロスコンテキスト行動ターゲティング広告のためにお客様の個人情報を第三者と共有しません(当社はそのような広告を一切行っていません)。
- 当社はAIまたは文字起こしプロバイダーがお客様のユーザーコンテンツでモデル学習することを許可しません(第5条)。
CCPA上の「販売」/「共有」 — 防御的注記。 カリフォルニア州 CCPA は「販売」および「共有」を広く定義しています。当社の分析、AI、文字起こしまたはエラー追跡のサブプロセッサーへの開示が CCPA/CPRA の下で「販売」または「共有」と解釈されうる範囲において、当社は当該活動をオプトアウト可能なものとして扱い、技術的に可能な範囲で( Global Privacy Control(GPC) を含む)オプトアウト信号を尊重します。カリフォルニア州における追加の権利については第12.2条をご参照ください。
5. ユーザーコンテンツのAI処理
本条では、お客様の入力およびユーザーコンテンツがAIモデルとどのように関わるかを説明します。これは本サービスの根幹に関わるものであり、必ずお読みください。
5.1 AI推論および文字起こしの仕組み
お客様がAI機能(例:ノート生成、PDFの要約、フラッシュカード作成)をご利用になると、お客様の入力(ユーザーコンテンツまたはその抜粋を含む可能性があります)は、応答を生成するために当社の第三者AIプロバイダー(現時点では OpenAI、Anthropic、Google)のいずれかに送信されます。お客様が音声(例:講義録音)をアップロードされると、当該音声はまず当社の 文字起こしプロバイダー(Soniox、Deepgram) のいずれかに送信されてテキストに変換され、その後、上記のAIプロバイダーで処理されます。
応答はお客様に返され、お客様のユーザーコンテンツに関連付けてお客様のThetawaveアカウントに保存されます。AIプロバイダーおよび文字起こしプロバイダーは、第5.3条に記載のとおり処理中に入力および出力を一時的に保持することがありますが、お客様のユーザーコンテンツおよびAI生成出力の永続的な記録は、これらのプロバイダーではなくお客様のThetawaveアカウント内に保管されます。
5.2 お客様のコンテンツでの学習を行わないこと
Thetawaveは、お客様のユーザーコンテンツでAIモデルや機械学習モデルの学習を行いません。当社は、AIおよび文字起こしの各プロバイダーから契約上の「学習しない」および「保存期間を限定する」旨のコミットメントを得ています。 具体的には:
- OpenAI: 当社はOpenAI APIを利用しています。OpenAIのAPIデータ利用ポリシーに従い、OpenAIはAPI入力または出力をモデル学習に使用しません。
- Anthropic: 当社はAnthropic APIを利用しています。Anthropicの商用利用規約に従い、Anthropicは API 経由で送信される入力または出力をモデル学習に使用しません。
- Google: 当社はGoogle AI/Gemini APIを、Googleが当社の有料API利用に係るコンテンツでモデル学習を行うことを許可しない条件で利用しています。
- Soniox: 当社は Soniox の商用APIを、Sonioxが当社の送信する音声コンテンツでモデル学習を行うことを許可しない条件で利用しています。
- Deepgram: 当社は Deepgram の商用APIを、Deepgramが当社の送信する音声コンテンツでモデル学習を行うことを許可しない条件で利用しています。
当社がAIまたは文字起こしのプロバイダーを変更する、またはこれらプロバイダーを規律する条件が重要な変更を受けた場合、当社は本ポリシーを更新します。処理のためにこれらのプロバイダーに送信されることをお望みでない情報は、本サービスにアップロードしないでください。
5.3 AI/文字起こしプロバイダーにおける永続的保存なし(プロバイダーが定める制限を超えて)
AIおよび文字起こしのプロバイダーは、安全、悪用監視および運用上の目的で、自社のプライバシーノーティスに従い、入力および出力を一時的に保持することがあります。当社は、可能な場合は当該保持を最小限に抑えるエンタープライズ/API階層の構成(例:ゼロデータリテンションまたは短期保存モード)を利用しています。
5.4 非識別化および集計データ
当社は、製品分析、セキュリティおよびサービス改善の目的で、非識別化または集計化されたデータ(合理的にはお客様と紐付けられない形態のもの)を利用することがあります。当社は業界標準の非識別化技術(例:直接識別子の除去、集計、その他、当該情報が個人と合理的に関連付けられないようにする技術的措置)を用い、当社から非識別化データを受領するいかなる当事者に対しても再識別を試みることを契約上禁じています。
6. クッキー、トラッキング技術およびプッシュ通知
6.1 クッキーおよび類似技術
当社および当社のサービスプロバイダーは、本サービスを運営するためにクッキー、ピクセル、ローカルストレージ、ソフトウェア開発キット(SDK)および類似の技術を使用します。当社はクロスサイト行動ターゲティング広告のためにクッキーを使用することはありません。法律で要求される場合(EEA、UK、スイス、日本、韓国における必須でないクッキーの場合を含む)、必須でないクッキーを設置する前に、当社はクッキーバナーを通じてお客様の同意を求めます。クッキーの設定は、クッキーバナーまたはブラウザ設定から管理いただけます。
当社が使用する主なクッキーおよび類似技術は次のとおりです。
| 名称/パターン | 種別 | 目的 | プロバイダー | 概略の保存期間 |
|---|---|---|---|---|
sb-*(認証トークン) | 厳密に必要 | お客様のセッションの認証およびログイン状態の維持 | Supabase | セッション/最長1年 |
| CSRF/偽造防止トークン | 厳密に必要 | クロスサイトリクエストフォージェリの防止 | Thetawave | セッション |
cookie_consent | 厳密に必要 | クッキーバナーでの選択を記憶 | Thetawave | 1年 |
theme、locale | 機能性 | UI設定(例:ダークモード、言語)の記憶 | Thetawave | 1年 |
mp_* | 分析(必要な場合はオプトイン) | 製品分析 — 機能利用状況の測定および本サービス改善 | Mixpanel | 最長1年 |
| Sentry セッションタグ | 厳密に必要 | デバッグのためにエラーレポートとセッションを関連付け | Sentry | 最長30日 |
クッキーの主要なカテゴリーを追加または変更した場合、当社はこの表を更新します。
6.2 プッシュ通知
お客様が当社のモバイルアプリでプッシュ通知をオプトインされた場合、当社は、デバイス固有のプッシュトークン(iOSの場合は Apple Push Notification service(「APNs」)、Androidの場合は Firebase Cloud Messaging(「FCM」)から提供)を専ら以下を配信する目的で収集および利用します。
- サービス関連の通知(例:文字起こし完了、お客様が設定した学習リマインダー)。
- アカウント関連の通知(例:セキュリティアラート)。
- お客様の追加同意がある場合は、製品アップデートに関する随時の通知。
プッシュ通知はいつでもデバイスの通知設定からオフにすることができます。プッシュ通知をオフにしても本サービスのその他の部分には影響しません。
7. 国際的なデータ移転
Thetawaveは米国を拠点とし、当社のサーバーおよび当社のサービスプロバイダーの一部は米国およびその他の国に所在します。お客様が本サービスをご利用になると、お客様の個人情報は米国およびその他の国に移転、保存、処理されます。これらの国は、お客様が居住する国とは異なるデータ保護法を有する場合があります。
当社は国際的な移転を保護するため以下の安全管理措置に依拠しています。
- EEA/UK/スイス: 当社のサブプロセッサーとの間で、欧州委員会が承認した標準契約条項(「SCCs」)(およびUK Addendum/スイス相当)を結び、移送中および保管中の暗号化、アクセス制御、(該当する場合)移転影響評価で補完しています。当社は現時点でEU-US Data Privacy Framework(「DPF」)の認証を取得しておらず、SCCsを主たる移転メカニズムとして用いています。
- 日本: 越境移転についてAPPIにより求められる場合、当社はお客様の同意を取得するか、または同等の安全管理措置(受領者との間のSCC同等の契約条項を含む)に依拠します。
- 韓国: 海外への個人情報移転についてPIPAにより求められる場合、当社はPIPA第28条の8で求められる開示を行い、該当する場合はお客様の同意を取得します。
- 香港、台湾、カナダ: 当社は、受領者がそれぞれPDPO、PDPAおよびPIPEDAと整合する契約上の義務に拘束されることを確保します。
本サービスをご利用いただくことにより、お客様は、上記のとおりお客様の情報が国際的に移転されることをご理解いただいたものとします。
8. データの保存期間
当社は、本サービスを提供するために必要な期間および本ポリシーに記載された目的のために必要な期間、個人情報を保存します。ただし、法律によりこれより長い保存期間が義務付けられている場合を除きます。
| データのカテゴリー | 保存期間 |
|---|---|
| アカウント情報 | アカウントが有効である間。アカウント削除後30日以内に削除(バックアップを除く) |
| ユーザーコンテンツ | アカウントが有効である間。お客様がコンテンツまたはアカウントを削除した後30日以内に削除 |
| バックアップ | 削除後最長90日保持し、その後完全に削除 |
| 支払いおよび請求記録 | 税務、会計および監査義務を遵守するため7年間保持 |
| カスタマーサポートの通信 | 解決後最長3年 |
| 診断/ログデータ | 最長12か月 |
| 非識別化または集計データ | 無期限に保持される場合があります(お客様と紐付けることはできません) |
お客様は、第13条に記載のとおり、いつでもより早期の削除を要求することができますが、限定的な例外(例:法律により保存が要求される場合)に従います。
9. データセキュリティ
当社は、お客様の情報を保護するために設計された以下を含む管理的、技術的および物理的な安全管理措置を実施しています。
- 移送中(TLS)および保管中の暗号化。
- 当社の従業員に対するアクセス制御および最小権限の原則。
- 安全なソフトウェア開発の実践およびコードレビュー。
- サブプロセッサーに対するベンダーセキュリティレビュー。
- ロギングおよびモニタリング。および
- インシデント対応手順。
いかなるセキュリティ対策も完全ではなく、当社は絶対的な安全性を保証することはできません。
漏えい通知。 当社が、お客様の情報に影響を与える個人データの漏えいを認知した場合、当社は適用法により求められるとおり、お客様および所管監督機関に通知します。具体的には:
- GDPR/UK GDPR/FADP: 認知後72時間以内に(実行可能な場合)監督機関に通知し、影響を受ける個人の権利および自由に対する高いリスクがある場合は、不当な遅滞なく当該個人に通知します。
- 日本 APPI(第26条): APPIで定める方法および期限により、速やかに個人情報保護委員会(PPC)および影響を受ける個人に通知します。
- 韓国 PIPA(第34条): 影響を受ける個人に遅滞なく通知し、1,000人以上の個人に影響を与える漏えいまたはセンシティブ情報に関する漏えいについては、24時間以内にPIPCに通知します。
- 米国各州法: 適用される各州の漏えい通知法により求められる期限および手続に従って通知します。
- その他の法域: 適用法に従って通知します。
10. 児童のプライバシー
本サービスは13歳未満の児童を対象としていません。当社は、米国においては13歳未満の児童から、また居住国におけるデジタル同意の最低年齢未満の児童から(例:スペインでは14歳、フランスでは15歳、ドイツでは16歳)、知り得る形で個人情報を収集することはありません。
13歳から17歳の方(または居住地の成人年齢未満の方)は、保護者または法定後見人の関与および同意がある場合に限り、本サービスをご利用いただけます。
COPPA(児童オンラインプライバシー保護法)および同等の法律に基づき、保護者がどのように検証可能な保護者の同意を提供できるか(およびその撤回方法)の詳細については、利用規約 第2.2条をご参照ください。
該当年齢未満の児童から、検証された保護者の同意なく個人情報を収集したことが判明した場合、当社はできるだけ早くこれを削除します。お子様が同意なく個人情報を提供したと考えられる保護者の方は、contact@thetawave.ai までお問い合わせください。
学校および教育者が学生とともに本サービスをご利用になる場合:COPPA、FERPA、GDPR、APPI、PIPAおよび同等の法律により求められる同意の取得、ならびに当該法律の下での適切な権限者としての役割は、ご自身の責任となります。
11. お客様のプライバシー権利 — グローバル概要
お住まいの地域により、お客様には以下の権利が認められる場合があります。
- アクセス: 当社が保有するお客様の個人情報の内容を知り、その写しを受領する権利。
- 訂正: 不正確または不完全な情報を訂正する権利。
- 削除(「忘れられる権利」): お客様の情報の削除を請求する権利。
- ポータビリティ: 一定の情報をポータブル形式で受領する権利。
- 制限/異議申立て: 一定の処理を制限し、または異議を申し立てる権利。
- 同意の撤回: お客様が与えた同意を撤回する権利。
- 「販売」/「共有」/ターゲティング広告のオプトアウト: 該当する場合にオプトアウトする権利。
- 監督機関への苦情の申立て。
当社は、合理的に可能な範囲で、お住まいの地域にかかわらず、これらの権利を尊重します。地域別の詳細については第12条を、権利の行使方法については第13条をご参照ください。
12. 地域別の権利および通知
12.1 欧州経済領域、英国、スイス(GDPR/UK GDPR/FADP)
お客様がEEA、UKまたはスイスにお住まいの場合、お客様には、それぞれGDPR(一般データ保護規則)、UK GDPR、およびスイス連邦データ保護法(FADP)の下で、第11条に記載された権利が認められます。お客様は加えて以下の権利を有します。
- お客様の地域のデータ保護監督機関に苦情を申し立てる権利(EEAについては https://edpb.europa.eu/about-edpb/about-edpb/members_en にリストがあり、UKについてはICOが https://ico.org.uk/、スイスについてはFDPICが https://www.edoeb.admin.ch にあります)。
当社の処理の法的根拠は第3条に記載しています。
EU 代理人(GDPR 第27条)。 当社の処理の性質、範囲、文脈および目的の評価に基づき、また当社のEEA個人データの処理がGDPR第9条に基づく特別カテゴリのデータまたは第10条に基づく刑事事件記録データに関して「大規模」な処理に該当しないため、当社はGDPR第27条に基づくEU代理人を選任していません。EEA のユーザーは、GDPRに関連するご質問について contact@thetawave.ai に直接ご連絡いただけ、当社は適用法に従い対応します。当社は、ユーザーベースおよび処理活動の進展に伴いこの判断を再評価します。
12.2 カリフォルニア州(CCPA/CPRA)
お客様がカリフォルニア州の居住者である場合、CPRA(カリフォルニア州プライバシー権利法)により改正された CCPA(「CCPA/CPRA」)の下で記載された権利が認められます。
当社が収集する個人情報のカテゴリー
過去12か月間に、当社は次のカテゴリーの個人情報(カリフォルニア州民法典第1798.140条で定義)を収集しました。
| カテゴリー | 例 | 収集の有無 | 販売の有無 | 共有(クロスコンテキスト行動ターゲティング広告)の有無 |
|---|---|---|---|---|
| A. 識別子 | 氏名、メール、IPアドレス、デバイスID、アカウント名 | あり | なし | なし |
| B. 顧客記録 | 請求先住所、支払い情報 | あり | なし | なし |
| C. 保護対象の属性 | 年齢(提供される場合)、国 | 限定的 | なし | なし |
| D. 商業情報 | サブスクリプション履歴、取引記録 | あり | なし | なし |
| E. 生体情報 | (アップロードされた場合、音声ユーザーコンテンツ内の音声特徴量) | アップロードされた場合 | なし | なし |
| F. インターネット活動 | 利用データ、本サービスでの操作 | あり | なし | なし |
| G. 位置情報 | IPからの概略位置情報 | あり | なし | なし |
| H. 感覚データ | ユーザーコンテンツ内の音声、画像、動画(アップロードされた場合) | アップロードされた場合 | なし | なし |
| I. 職業/雇用 | 収集していません | なし | — | — |
| J. 教育情報 | ユーザーコンテンツ内の学習関連内容(ノート、学習素材) | あり | なし | なし |
| K. 推論情報 | 利用状況から導かれる嗜好および学習パターン | あり | なし | なし |
| L. センシティブ個人情報 | アカウント認証情報、本サービス内の通信の正確な内容 | あり | なし | なし |
カリフォルニア州居住者としてのお客様の権利
- 当社が収集した個人情報の内容、ならびにその利用および共有の方法を知る権利。
- 法的例外に従って削除を請求する権利。
- 不正確な個人情報を訂正する権利。
- 「販売」または「共有」をオプトアウトする権利 — 当社は、CCPA/CPRAで定義される意味でのクロスコンテキスト行動ターゲティング広告のためにお客様の個人情報を「販売」または「共有」しませんが、技術的に可能な範囲で(Global Privacy Control(GPC)を含む)オプトアウト信号を尊重します。
- 本サービスの提供に必要な範囲にセンシティブ個人情報の利用を制限する権利。
- 権利を行使したことによる差別を受けない権利。
「Shine the Light」(カリフォルニア州民法典第1798.83条)
カリフォルニア州居住者は、ダイレクトマーケティング目的での第三者への個人情報の開示に関する情報を請求することができます。当社はそのような開示を行っていません。
12.3 その他の米国各州
バージニア州(VCDPA)、コロラド州(CPA)、コネチカット州(CTDPA)、ユタ州(UCPA)、テキサス州(TDPSA)、オレゴン州(OCPA)、モンタナ州(MTCDPA)、アイオワ州(ICDPA)、テネシー州(TIPA)、デラウェア州(DPDPA)、ニュージャージー州(NJDPA)、ニューハンプシャー州(NHPA)、メリーランド州(MODPA)、ミネソタ州(MCDPA)、インディアナ州(INCDPA)、ネブラスカ州(NDPA)、ロードアイランド州(RIDPA)またはケンタッキー州(KCDPA)にお住まいの場合、お客様は上記と同様の権利(州により、アクセス、訂正、削除、ポータビリティ、ターゲティング広告、「販売」、および一定のプロファイリングからのオプトアウトを含みます)を有します。法律で求められる場合、当社が請求を拒否した際に、お客様は異議を申し立てる権利を有します — 第13条をご参照ください。
お客様はまた、ご自身に代わって請求を行う授権代理人を指定する権利を有することがあります。当社は、授権代理人による請求を実行する前に検証を求めます。
12.4 日本(個人情報保護法/APPI)
お客様が日本にお住まいの場合、当社は 個人情報の保護に関する法律(APPI) に従ってお客様の個人情報を取り扱います。
- 利用目的は第2条に記載のとおりです。当社は、APPIで認められる場合を除き、お客様の同意なくこれらを超える目的でお客様の個人情報を利用しません。
- 越境移転: 第7条に記載のとおり、お客様の情報は米国その他の国に移転されます。本サービスをご利用いただくことにより、お客様はAPPI第28条に従い当該移転に同意するものとします。当社は、ご請求に応じて、受領国のデータ保護制度および当社が講じている安全管理措置に関する情報を提供します。
- お客様の権利: お客様は、当社が保有するお客様の個人情報(保有個人データ)について、開示、訂正、追加、削除、利用停止、第三者提供の停止を請求し、ならびに写しの提供を求める権利を有します。
- 個人情報取扱事業者: お客様の個人情報を取り扱う個人情報取扱事業者は Thetawave AI, Inc. です。連絡先:contact@thetawave.ai。
- 漏えい通知: APPI 第26条に基づき、該当する漏えい等が発生した場合、当社は個人情報保護委員会(PPC)および影響を受ける本人に通知します。
- 苦情: 当社が懸念事項を解決できない場合、お客様は日本の個人情報保護委員会(PPC)に相談することができます。
12.5 韓国(개인정보 보호법/PIPA)
お客様が韓国にお住まいの場合、当社は 個人情報保護法(PIPA) および関連法令に従ってお客様の個人情報を取り扱います。
- 収集および利用の目的: 第2条に記載のとおり。
- 収集する項目: 第1条に記載のとおり。
- 保存期間: 第8条に記載のとおり。
- 越境移転(PIPA 第28条の8): お客様の個人情報は、第4条に記載のAIプロバイダー、文字起こしプロバイダー、ホスティングプロバイダーその他のサブプロセッサーに対し、米国その他の国に移転されることがあります。当社は、求められる場合は当該移転についてお客様の同意を得て、PIPAで求められる開示を行います。
- お客様の権利: アクセス、訂正、削除、処理停止、および同意の撤回。PIPA第35条に基づき、当社は、アクセスおよび訂正の請求に対し10日以内(合理的に必要な場合は追加の10日延長可能)に対応します。
- プライバシー責任者/개인정보 보호책임자: contact@thetawave.ai までご連絡ください。
- 漏えい通知(PIPA 第34条): 当社は影響を受ける個人に遅滞なく通知し、1,000人以上の個人またはセンシティブ情報に関わる漏えいの場合は、24時間以内にPIPCに通知します。
- 苦情: お客様は、個人情報保護委員会(PIPC、개인정보보호위원회)または韓国インターネット振興院(KISA)(プライバシー苦情センターを含む。privacy.go.kr/118)に苦情を申し立てることができます。
12.6 香港(個人資料(私隱)條例/PDPO)
お客様が香港にお住まいの場合、当社は 個人資料(私隱)條例(PDPO)および6つのデータ保護原則に従ってお客様の個人データを取り扱います。お客様は、ご自身の個人データへのアクセスおよび訂正を請求する権利を有します。請求は contact@thetawave.ai までお願いします。苦情は個人資料私隱專員公署(PCPD) に申し立てることができます。
12.7 台湾(個人資料保護法/PDPA)
お客様が台湾にお住まいの場合、当社は 個人資料保護法(PDPA) に従ってお客様の個人情報を取り扱います。お客様は、ご自身の個人情報について、照会、写しの請求、補足または訂正、収集/処理/利用の停止の請求、および削除の請求を行う権利を有します。請求は contact@thetawave.ai までお願いします。求められる場合、当社は個人情報の国際的な移転前にお客様の同意を取得します。
12.8 カナダ(PIPEDA)
お客様がカナダにお住まいの場合、当社は 個人情報保護および電子文書法(PIPEDA) および適用される州法(例:ケベック州法第25号)に従ってお客様の個人情報を取り扱います。お客様は、アクセス、訂正および同意の撤回の権利を有します。苦情は Office of the Privacy Commissioner of Canada(https://www.priv.gc.ca/)に申し立てることができます。
12.9 その他の法域
当社は、上記に明示的に記載されていなくても、お客様の居住地に適用されるデータ保護法を尊重します。お客様が、適用される法律(例:ブラジル LGPD、オーストラリア Privacy Act、インド DPDP Act、UAE PDPL その他)が及ぶ法域にお住まいの場合、権利に関する請求は contact@thetawave.ai までお願いします。当社は適用法に従い対応します。
13. 権利の行使方法
上記の権利を行使するには:
- 件名を「Privacy Request」として contact@thetawave.ai までメールにてご連絡いただくか、
- 当社が提供するアプリ内プライバシーコントロールをご利用ください。
お客様の情報を保護するため、当社はお客様の本人確認(通常はアカウントに関連付けられたメールアドレスの管理を確認することによる)を必要とすることがあります。授権代理人をご利用の場合、当社は授権の証明を求めることがあります。
当社は、適用法により求められる期間内に、検証可能な請求に対応します。具体的には:
| 法律 | 対応期限 |
|---|---|
| GDPR/UK GDPR | 1か月。複雑または多数の請求の場合は最大2か月延長可能 |
| CCPA/CPRA | 45日。合理的に必要な場合は追加の45日延長可能 |
| その他の米国各州プライバシー法 | 各法令で求められるとおり(通常 45 日または 60 日) |
| 韓国 PIPA | 10日。追加の10日延長可能 |
| 日本 APPI | 不当な遅滞なく対応。当社は30日以内の対応を目指します |
| その他の法域 | 適用法により求められるとおり |
当社は、権利の行使を理由としてお客様を差別しません。
当社が請求を拒否した場合、当社はその理由を説明し、該当する場合、お客様は当社の決定に異議を申し立てる権利を有します。異議を申し立てるには、当社の応答メールに60日以内にご返信ください。異議が拒否された場合、お客様はデータ保護監督機関または司法長官に苦情を申し立てることができます。
14. Do-Not-Track 信号への対応
ほとんどのブラウザは「Do Not Track」(DNT)信号を提供しています。DNT信号には業界標準の解釈が存在しないため、本サービスは現在DNT信号に応答していません。ただし、当社は、法律で要求されるオプトアウト信号(例:該当する場合の Global Privacy Control(GPC))は尊重します。
15. モバイルアプリのプライバシー開示(App Store/Google Play)
本ポリシーに加えて、当社はAppleおよびGoogleが要求するプラットフォームの仕組みを通じてプライバシー開示を行います。
- Apple App Store のプライバシー栄養ラベルおよび iOS Privacy Manifest(
PrivacyInfo.xcprivacy) は、Appleが要求する形式で、iOSアプリケーションが収集するデータのカテゴリーおよびその利用方法を記述します。 - Google Play Data Safety フォームは、Googleが要求する形式で、Androidアプリケーションが収集および共有するデータのカテゴリー、ならびに当社が遵守するセキュリティ慣行を記述します。
これらのフォームの開示は、本ポリシーと整合することを意図しています。プラットフォーム開示と本ポリシーの間に意図しない齟齬が生じた場合、本ポリシーが優先し、当社はプラットフォーム開示を整合させるために更新作業を行います。
16. 第三者リンクおよびサービス
本サービスには、第三者のウェブサイトまたは統合機能(例:IDプロバイダー、決済処理事業者、AIプロバイダー)へのリンクが含まれることがあります。本ポリシーはそれらの第三者には適用されません。それらに情報を提供される前に、当該第三者のプライバシーポリシーをご確認いただくことをお勧めします。
17. 本ポリシーの変更
当社は本プライバシーポリシーを随時更新することがあります。冒頭の「最終更新日」は最新版を反映します。重要な変更を行う場合、当社は変更が発効する少なくとも14日前に(または適用法で求められる場合はより早期に)、メールまたは本サービス上の目立つ通知によりお客様に通知します。サブプロセッサーに影響する重要な変更も、第4.1条の通知要件に従います。発効日後の本サービスの継続的な利用は、変更への同意を構成します。
18. お問い合わせ
プライバシーに関するご質問、ご請求または苦情:
Thetawave AI, Inc. Attn: Privacy Email: contact@thetawave.ai Website: https://thetawave.ai
Thetawave AI は、お客様のプライバシーの保護およびお客様のデータの取扱いに関する透明性に努めています。本ポリシーに不明な点がございましたら、お気軽にお問い合わせください — 喜んでお手伝いいたします。