プライバシーポリシー
本ポリシーは、Calmauria(以下「Calmauria」「当社」「私たち」といいます)が、 calmauria.com のウェブサイトおよび関連するサービス(以下「本サービス」といいます)の利用者の個人データを、 EU規則2016/679(GDPR(EU一般データ保護規則))およびイタリア立法令196/2003(立法令101/2018による改正を含む)に 従ってどのように取り扱うかを説明するものです。
Calmauriaは、AIを活用した感情面のサポートおよびウェルネスのためのサービスです。 医療サービスではなく、診断・セラピー・治療を提供するものではなく、医師や心理士(心理の専門家)による 助言に代わるものでもありません。
1. データ管理者
データ管理者はCR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauriaであり、その登記上の所在地はNõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estoniaです。ご自身のデータに関するご要望は、[email protected] 宛にご連絡ください。
2. 当社が取り扱うデータの種類
- アカウントデータ:メールアドレス、氏名(任意)、パスワード(暗号学的ハッシュとしてのみ保存)、成人であることの確認。
- セッションデータ:選択したトピック、最初の簡単な説明、モード(音声/電話)、選択した音声、セッションの時間帯および所要時間。
- 会話内容:Auriaとのセッション中にお話しになった内容および対応する応答。この内容には、GDPR第9条に定める特別カテゴリーのデータ(特に健康および心理的ウェルビーイングに関するデータ)が含まれる可能性があります。
- 決済データ:Stripeが直接取り扱います。当社はカード番号を処理・保存せず、取引識別子、金額、決済ステータスおよび請求先メールアドレスのみを受け取ります。
- 技術データ:IPアドレス、デバイスおよびブラウザの種類、本サービスの運用および保護に必要な技術ログ・セキュリティログ。
3. 処理の目的および法的根拠
- 本サービスの提供(アカウント、セッション、決済):法的根拠は契約の履行(GDPR第6条第1項(b))です。
- 会話内容およびセッション間メモリーの処理(特別カテゴリーのデータ):法的根拠はお客様の明示的な同意(GDPR第9条第2項(a))であり、いつでも撤回できます。
- セキュリティ、不正利用の防止および危機的状況への対応:正当な利益(第6条第1項(f))および、該当する場合には生命に関わる利益の保護(第9条第2項(c))。
- 決済に関する税務・会計上の義務:法的義務(第6条第1項(c))。
- サービスに関する連絡(確認通知、セキュリティ通知など):契約の履行および正当な利益。
4. セッション間メモリー
お客様が個別かつ任意の同意を与えた場合に限り、Auriaは会話の暗号化された要約を保持し、後続のセッションで 前回の続きから再開できるようにします。この同意は、アカウント画面から、または当社宛に書面で連絡することにより、 いつでも撤回できます。撤回の時点以降、メモリーは使用されなくなり、要約は削除されます。
5. データの保護方法
機微な内容(セッションの文字起こしおよび要約)は、AES-256-GCMアルゴリズムを用いてアプリケーションレベルで暗号化されており、暗号鍵はデータベースとは別に管理されています。 パスワードは鍵導出関数(scrypt)により保護されています。当社は、機密性・完全性・可用性を確保するため、 適切な技術的および組織的措置を講じています。
6. プロバイダーおよびデータ処理者
本サービスの提供にあたり、当社は、それぞれ適切な契約上の保護措置のもとでデータ処理者として行動するプロバイダーを利用しています。
- Stripe — 決済
- Neon — データベース
- LiveKit — リアルタイム音声・映像伝送
- Anam — ビデオアバター(現在は無効の機能)
- Cartesia — 音声合成
- Deepgram — 音声の文字起こし
- Anthropic — 応答を生成する人工知能モデル
一部のプロバイダーは、欧州経済領域(EEA)外でデータを処理する場合があります。その場合、移転はGDPR第44条以下に 定める適切な保護措置(特に標準契約条項(SCC))に基づいて行われます。技術的に可能な限り、当社は、EU域内での データ保管(データレジデンシー)を提供し、かつお客様のコンテンツを自社モデルの学習に使用しないことを契約上 約束するプロバイダーを優先しています。
7. 自動化された意思決定
本サービスは、応答の生成に人工知能を使用するとともに、並行して、各発話を分析してリスクの兆候 (自殺念慮、自身または他者への危険など)を検知する自動セーフティ分類器を使用しています。この処理は お客様に法的効果を生じさせるものではなく、その唯一の目的はお客様の安全です。当社はマーケティング目的の プロファイリングを行いません。
8. データの保存期間
- アカウントデータ:契約関係の継続期間中、およびアカウントが有効である限り。
- 文字起こしおよび要約:お客様の同意がある場合に限り保持します。メモリーに同意しない場合、内容はセッション終了後に保持されないか、当社の保存ポリシーに定める期間内に削除されます。
- 決済データおよび税務書類:法令で定められた期間。
- セキュリティログ:セキュリティ目的に厳密に必要な期間。
9. 未成年者
本サービスは、成人(18歳以上)のみを対象としています。当社は、未成年者のデータを故意に収集することはありません。 利用者が未成年者である可能性を示す兆候を検知した場合、当社はセッションを終了し、専用の支援窓口をご案内します。 未成年者が当社にデータを提供したとお考えの場合はご連絡ください。当該データを削除いたします。
10. 危機的状況への対応
Calmauriaは緊急事態に対応するものではありません。生命に関わるリスクの兆候がある場合、Auriaは会話を中断し、 利用者を直ちに人による支援(緊急通報番号および相談窓口)へ誘導します。差し迫った危険がある場合は、 112(またはお住まいの地域の緊急通報番号)に電話してください。
11. お客様の権利
データ主体として、お客様はGDPR第15条から第22条に定める以下の権利をいつでも行使できます。
- 自身のデータへのアクセスおよびその写しの取得
- 不正確なデータの訂正
- 消去(「忘れられる権利」)
- 処理の制限および処理に対する異議申立て
- データポータビリティ
- 同意のいつでも可能な撤回(撤回前に行われた処理の適法性には影響しません)
権利を行使するには、[email protected] 宛にご連絡ください。法令が定める期間内に回答いたします。
12. 監督機関への苦情申立て
お客様は、イタリアのデータ保護監督機関(Garante per la protezione dei dati personali、www.garanteprivacy.it) または居住するEU加盟国の監督機関に苦情を申し立てる権利を有します。
13. 変更
当社は、本ポリシーを随時更新することがあります。変更は、該当する更新日とともに本ページに掲載されます。
米国居住者向けの追加通知 — 消費者健康データ(Consumer Health Data)
本セクションは米国居住者に適用されます。Auriaとの会話の内容は、ワシントン州My Health My Data Actをはじめとする 米国の一部の州法において「消費者健康データ(consumer health data)」に該当する場合があります。当該データについて:
- 当社は、お客様の明示的な同意がある場合に限り、かつ本サービスをお客様に提供する目的のためにのみ、収集・処理します。
- 当社は、消費者健康データを販売せず、広告目的で共有することもありません。
- お客様は、[email protected] 宛に連絡することにより、アクセス、削除および同意撤回の権利をいつでも行使できます。
- 当該データは、第5条に記載のとおり、アプリケーションレベルの暗号化により保護されています。
注:本翻訳は便宜のために提供される参考訳です。日本語版とイタリア語版との間に相違がある場合は、強行法規たる 消費者保護法が許容する範囲内で、イタリア語版が優先されます。本ポリシーは細心の注意を払って作成されていますが、 個別の法的助言に代わるものではありません。公開ローンチの前に、資格を有する弁護士によるレビューおよび データ保護影響評価(DPIA)の実施を推奨します。