プライバシーポリシー

本サービスのアカウントを作成、またはサービスを利用することにより、本プライバシーポリシーおよび 利用規約 に同意したものとみなされます。同意いただけない場合は、本サービスをご利用いただけません。

NoraPocket（以下「本サービス」）は、以下の情報を収集します。

• アカウント情報（メールアドレス）※パスワードはハッシュ化して保存され、平文では保持しません
• アップロードされたファイル（画像、PDF、Word、Excel、音声）
• AI処理のためにユーザーが入力または選択したデータ（テキスト、チャット内容、ファイル内容、画像、PDF、音声の文字起こし、レコード、テンプレート、スキル実行に必要なデータ、構造化データ、分析結果）
• 利用ログ（アクセス日時、操作履歴）

• サービスの提供・改善
• AIによる構造化抽出、文字起こし、分析、提案、チャット応答、スキル実行
• カスタマーサポート

本サービスは以下の外部サービスに業務委託としてデータ処理を委託しています。いずれもサービス提供に必要な範囲でのみデータを共有し、第三者への販売・転売は行いません。

• Anthropic, PBC（米国） — Claude API。ファイルの構造化抽出、Noraチャット、分析・提案、タイプ自動生成、スキル実行に使用します。送信されるデータは、ユーザーがAI機能で入力または選択したテキスト、チャット内容、ファイル内容、画像、PDF、音声の文字起こし結果、レコード、テンプレート、スキル実行に必要なデータです。iOSアプリでは、これらのデータをAnthropicに送信する前に、アプリ内でユーザーの許可を取得します。API経由で送信されたデータはモデル学習には使用されません（API利用規約に基づく）。処理完了後のデータ保持は最大30日間（不正利用検知目的）。 Anthropicプライバシーポリシー
• Groq, Inc.（米国） — Whisper API（whisper-large-v3）。アップロードされた音声ファイルの文字起こしに使用します。送信されるデータは音声ファイル本体（最大25MB）と任意で言語ヒントです。iOSアプリでは、音声をGroqに送信する前にアプリ内でユーザーの許可を取得します。送信データは Groq の利用規約・プライバシーポリシーに従って取り扱われます。最新のデータ取扱いポリシー（学習利用の有無、データ保持期間等）については Groq のポリシーを直接ご確認ください。 Groqプライバシーポリシー
• Supabase, Inc.（米国法人 / 東京リージョン保管） — 認証およびデータベース（構造化データの保管）。データは東京リージョン（ap-northeast-1）に暗号化して保管。Supabase 自体が AI モデル学習目的でユーザーデータを利用することはありません。
• Cloudflare, Inc.（米国） — R2 オブジェクトストレージ。ユーザーがアップロードしたファイル本体（画像・PDF・Word・Excel・音声等）および AI 処理の中間出力ファイルを暗号化して保管します。Cloudflare が処理する情報を AI モデル学習目的で利用することはありません。 Cloudflareプライバシーポリシー
• Google LLC（米国） — Google Sheets API・Google Drive API。ユーザーが明示的に連携を許可した場合に限り、スプレッドシートの作成・読み書き、およびアプリが作成したファイルへのアクセスに使用します。アクセストークンは暗号化して保管し、ユーザーはいつでも連携を解除できます。本サービスが取得した Google データを、Google・Anthropic その他いかなる外部 LLM のモデル学習目的でも使用することはありません。 Googleプライバシーポリシー
• Vercel, Inc.（米国） — アプリケーションのホスティング・配信。アクセスログを処理。Vercel が処理するデータを AI モデル学習目的で利用することはありません。
• Sentry（米国） — エラー監視。アプリケーションエラー発生時の技術的なデバッグ情報を収集。個人を特定する情報は最小限に制限。Sentry が収集する情報を AI モデル学習目的で利用することはありません。
• Stripe, Inc.（米国） — Web 経由の有料プランの決済処理および請求管理。クレジットカード情報は当社のサーバーには保存されず、Stripe 側で PCI DSS 準拠のもと処理されます。当社は Stripe から決済成否、サブスクリプション状態、メールアドレス等の必要最小限の情報のみ受領します。Stripe が処理する情報を AI モデル学習目的で利用することはありません。 Stripeプライバシーポリシー
• Apple Inc.（米国） — iOS アプリ経由で App Store In-App Purchase をご利用の場合、決済処理および請求管理は Apple が行います。当社は Apple App Store Server Notifications V2 を通じて、決済成否、サブスクリプション状態、トランザクション ID 等の必要最小限の情報のみ受領します。クレジットカード情報・Apple ID 等は当社サーバーには保存されません。 Appleプライバシーポリシー
• PostHog, Inc.（米国） — Web アプリでの利用イベント分析および機能フラグ評価。送信先は us.i.posthog.com（米国）。送信内容は以下を含みます: ユーザー ID（Supabase 発行の UUID）、ログイン後はメールアドレス、所属組織 ID、ページビュー（`$pageview`）、自動キャプチャされたクリック・フォーム送信イベント、`env` / `app` 等の文脈情報。永続化のためブラウザの localStorage および Cookie（PostHog ドメイン配下、識別子保持目的）を利用します。広告配信・第三者への販売・AI モデル学習目的での利用はありません。本サービスは法務ページ（/terms、/privacy 等）の一部にも PostHog 計測を読み込みます。 PostHogプライバシーポリシー

本サービスは、上記外部サービスを業務委託先として利用しており、いずれもサービス提供に必要な範囲でのみデータを共有します。当社は各委託先と、当社が遵守する保護水準と同等以上のセキュリティ・プライバシー保護義務を契約上課したうえで委託しており、改正個人情報保護法（2022年4月施行）における第三者提供の例外（業務委託）として行います。第三者への販売・転売は一切行いません。

越境移転について: 上記委託先は米国法人を含むため、ユーザーデータは日本国外（主に米国）に移転されます。Anthropic（米国）・Groq（米国）・Vercel（米国）・Sentry（米国）・Stripe（米国）・Apple（米国 / iOS IAP 該当時）・PostHog（米国）・Cloudflare（米国法人 / R2 のリージョン設定は Auto）・Google（米国）・Supabase（米国法人だが保管リージョンは東京 ap-northeast-1）を業務委託先として利用しています。

移転先国（米国）の個人情報保護制度について: 米国には日本の個人情報保護法に相当する単一の連邦包括法は存在せず、HIPAA（医療）/ GLBA（金融）等の分野別連邦法と各州法（カリフォルニア州 CCPA / CPRA 等）により規律されています。詳細は個人情報保護委員会の「外国における個人情報の保護に関する制度等の調査」資料をご参照ください。

移転先における保護のための措置: 当社は各委託先との業務委託契約において、目的外利用の禁止、機密保持、安全管理措置、再委託の制限、契約終了時のデータ返還または消去等を義務づけています。これらの措置により、当社が遵守する保護水準と同等以上の保護が確保されるよう努めています。当該越境移転に同意いただいたうえで本サービスをご利用ください。

ユーザーの構造化データは Supabase（AWS）上に暗号化して保管され、サーバーは東京リージョン（ap-northeast-1）を使用します。ユーザーがアップロードしたファイル本体（画像・PDF・Word・Excel・音声等）は Cloudflare R2 上に暗号化して保管されます。アカウント削除時、および当社都合のサービス終了時には、関連するデータを合理的に可能な範囲で速やかに消去します（サービス終了時の消去手順および消去前のアクセス猶予期間は 利用規約 第14条に従います）。

当社は現時点でデータベースに対するポイントインタイムリカバリ（PITR）等の即時復旧を伴うバックアップ契約を締結していません。そのため、外部障害、操作ミス、外部攻撃、天災等によるデータの滅失・破損について、完全な復旧は保証できません。当社は個別のデータ取り出しサポートを原則として提供しないため、重要なデータはサービス内のダウンロード機能およびアカウントデータ一括エクスポート機能（JSON 形式）を用いて、ユーザー自身で随時バックアップを取得することを強く推奨します。

当社の故意または重大な過失によりユーザーデータが滅失・破損した場合の対応は、 利用規約 第10条・第15条に従います。

保管期間: 各データの保管期間は以下のとおりです。

• アカウント情報・ユーザー作成データ（ファイル、レコード、テンプレート、スキル設定、AI 処理結果等）: アカウント有効中は保管。アカウント削除後は合理的に可能な範囲で速やかに（原則として 30 日以内に）消去します。サービス終了時の取り扱いは利用規約 第14条に従います
• 利用ログ・アクセス履歴・操作ログ: 不正利用防止および品質改善のため最長 12 か月保管
• クラッシュ・エラーデバッグ情報（Sentry）: 最長 90 日保管
• 分析イベント・識別子（PostHog）: PostHog の標準保管期間（最長 7 年、利用イベントは最長 1 年）に従います。詳細は PostHog のポリシーをご確認ください
• 決済関連の情報（Stripe / Apple）: 各社の保管期間および日本の電子帳簿保存法・税法等に基づく保管期間（請求書類は7年間等）に従います

• データのエクスポート（サービス内のダウンロード機能および認証ユーザー向けのアカウントデータ一括エクスポート機能 (JSON 形式) を用いて、ユーザー自身で実施いただきます。当社は個別のデータ取り出しサポートを原則として提供しません）
• アカウントの削除（全データの消去を含む。設定画面または support@norabit.dev へのご連絡で受け付けます）
• AIデータ共有への同意撤回（iOSアプリでは設定画面から撤回可能）
• データ処理への同意撤回（アカウント削除により実行）

アカウント削除および各種同意撤回は、設定画面またはお問い合わせより受け付けます。

EEA / GDPR 適用域・英国に居住する利用者は、現地法令に基づくアクセス・訂正・削除・処理制限・データポータビリティ等の権利を有します。権利行使は support@norabit.dev までご連絡ください。

本サービスは以下の Cookie および類似技術を使用します。

• 認証 Cookie（必須）: ログイン状態の維持。セッション終了時に削除されます。
• 分析 Cookie および localStorage（PostHog）: Web アプリおよび一部の法務ページで利用イベント分析・ページビュー計測・機能フラグ評価のために PostHog ドメイン配下の Cookie および localStorage を使用します。識別子保持目的で、広告配信目的では使用しません。詳細は本ポリシー第4条 PostHog の項をご確認ください。
• 第三者向けの広告配信目的の Cookie・トラッカーは一切使用しません。

本ポリシーは必要に応じて改定することがあります。改定後のポリシーは本ページに掲載した時点で効力を生じます。

• 運営: 合同会社NoraBit（NoraBit LLC）
• お問い合わせ: support@norabit.dev