プライバシーポリシー(個人情報保護方針)
Nande株式会社(以下「当社」)は、cheQ(以下「本アプリ」)の提供にあたり、ユーザーの個人情報の保護を重要な責務と認識し、個人情報の保護に関する法律(以下「個人情報保護法」)およびその他の関連法令・ガイドラインを遵守します。
第1条(事業者情報)
| 事業者名 | Nande株式会社 |
|---|---|
| 代表者 | 高師 雅一 |
| 個人情報保護管理者 | 高師 雅一 |
| 連絡先 | hello@cheq.fun |
第2条(取得する個人情報の項目・取得方法)
当社は、以下の個人情報を、それぞれに記載する方法により取得します。
| 情報の種類 | 具体的な項目 |
|---|---|
| アカウント情報 | X(旧 Twitter)アカウント情報(ユーザー ID、ハンドル名、表示名、プロフィール画像、自己紹介文)。オンボーディング時にユーザーの同意を得た上で、推し推薦のために X 上の公開投稿(リポスト・いいね・メンション)を一時的に参照する場合があります(保存はしません)。または Apple Sign In によるアカウント情報(ユーザー ID)。Apple Sign In のメールアドレスは認証処理にのみ使用され、当社はアプリ内で表示・保存しません。またはメールアドレスとパスワードによる認証情報。パスワードは Supabase Auth によりハッシュ化して保存され、当社が平文を閲覧することはありません |
| チェキ画像データ | ユーザーがスキャンして取り込んだ写真 |
| メタデータ | チェキに付与される被写体の名称、イベント名、撮影日、タグ、メモ |
| 課金情報 | サブスクリプション状態、プラン種別、購入日時(決済情報自体は Apple が管理し、当社は保持しません) |
| 端末情報 | OS バージョン、デバイスモデル、アプリバージョン、言語設定 |
| 利用状況データ | スキャン回数、画面遷移、機能利用状況(Firebase Analytics により自動収集) |
| エラー情報 | クラッシュログ、スタックトレース、発生端末情報(Sentry により自動収集) |
| 位置情報 | ユーザーがイベント情報として任意入力した場合のみ。GPS 等による自動取得は行いません。ただし Firebase Analytics が IP アドレスから国・地域を推定し、匿名の統計データとして集計します |
第3条(利用目的)
個人情報保護法第21条に基づく公表
当社は、取得した個人情報を以下の目的の範囲内で利用します。
- 本アプリにおけるアカウントの作成、認証および管理(X OAuth 2.0、Apple Sign In、メールアドレス + パスワードによる認証を含む)
- チェキ画像の保管、表示、端末内での高画質化処理(超解像)・遠近補正・色味調整
- チェキ画像の自動タグ付け(被写体名、イベント名、撮影日等の自動推定)。処理のためチェキ画像およびメタデータを外部 AI サービス(Google Gemini)に送信します。Gemini が利用できない場合のフォールバックとして OpenAI を使用します。送信されたデータは処理完了後に破棄され、AI モデルの学習には使用されません
- イベント名の自動提案。X 上の公開投稿を参照し、外部 AI サービス(OpenAI)を用いてイベント名を推定します。送信されたデータは処理完了後に破棄されます
- 被写体の顔認識機能の提供(処理方法はプラットフォームにより異なります。詳細は第4条をご覧ください)
- 不適切画像の自動検出およびモデレーション(Google Cloud Vision SafeSearch API によるサーバー側判定を行います。画像データは判定のために Google LLC に送信されます)
- サブスクリプションの管理および課金状態の同期
- 不正利用、不正アクセスの検知および防止
- サービスの品質向上、利用状況の統計分析(個人を特定しない形で集計)
- 障害対応、カスタマーサポートの提供
- 利用規約違反への対応
- X プロフィール情報(自己紹介文・表示名)および公開投稿(リポスト・いいね・メンション)の解析による推しの自動推薦(オンボーディング時、ユーザーの同意を得た場合に限る。投稿データは推薦処理完了後に破棄し、保存しません)
- 法令に基づく対応
第4条(顔認識処理)
本アプリの被写体認識機能について、以下のとおり定めます。
- チェキ画像に写る被写体の自動認識・提案は、原則として端末内で処理されます。処理方法を変更する場合は、事前にユーザーに通知します。
- 認識精度はユーザー自身のコレクション(過去にタグ付けしたチェキ)に基づいて向上します。
- 顔認識データはマーケティング、広告、プロファイリング、第三者への提供には一切使用しません。
第5条(肖像・写真データの取り扱い)
チェキ画像には被写体およびユーザー本人の肖像が含まれます。当社は以下の AI 処理を自動的に行います。
| 処理 | 内容 |
|---|---|
| 高画質化 | 端末内での超解像処理およびアンシャープマスクによるノイズ低減・鮮鋭化(画像はサーバーに送信されません) |
| 遠近補正・色味調整 | エッジ検出による矩形検出、白枠キャリブレーション |
| 自動タグ付け | チェキ画像を外部 AI サービス(Google Gemini 2.5 Flash)に送信し、被写体名・イベント名・撮影日等を自動推定します。Gemini が利用できない場合のフォールバックとして OpenAI GPT-4.1 Mini を使用します。ユーザーは結果を修正・削除できます |
| 被写体認識 | 端末内 AI 処理による被写体の自動提案(詳細は第4条) |
| モデレーション | 性的コンテンツの自動検出およびフラグ付け(Google Cloud Vision SafeSearch API によるサーバー側判定。画像データは判定のために Google LLC に送信されます) |
- 処理結果をサービス品質向上の参考とする場合がありますが、統計情報として集計し、個人を特定する形では利用しません。
- ユーザーの画像を広告、マーケティング素材、AI モデルの学習データとして使用することはありません。
- 被写体本人から削除要請があった場合、当社は速やかに調査の上、当該画像の削除等の措置を講じます。
第6条(自動意思決定およびプロファイリング)
本アプリでは、以下の自動意思決定処理が行われます。
| 処理 | 目的 | 影響 |
|---|---|---|
| 不適切画像検出 | 性的コンテンツの自動検出(Google Cloud Vision SafeSearch API) | タイムライン投稿の事前ブロック |
| 自動タグ付け | 外部 AI サービス(Gemini 2.5 Flash)による被写体名・イベント名・撮影日の自動推定 | メタデータの自動入力(ユーザーが修正・削除可能) |
| 被写体認識 | チェキに写る被写体の自動提案(端末内処理) | メタデータの自動入力(ユーザーが修正可能) |
| 推しレコメンド | X プロフィール(自己紹介文・表示名)からの推し推薦 | オンボーディング時の推し候補表示(ユーザーが選択・変更可能) |
ユーザーは、以下の権利を有します。
- 異議申立権: 自動意思決定の結果(特にモデレーション判定)に対して異議を申し立てることができます。
- 人間による再審査請求権: 自動意思決定の結果について、当社担当者による人的再審査を要求できます。
- 説明を受ける権利: 自動意思決定に使用されたロジックの概要について説明を求めることができます。
上記の権利行使は、hello@cheq.fun にご連絡ください。
第7条(第三者提供)
個人情報保護法第27条に基づく公表
当社は、以下の場合を除き、あらかじめユーザーの同意を得ることなく個人情報を第三者に提供しません。
- 法令に基づく場合(個人情報保護法第27条第1項各号)
- 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
第8条(業務委託先)
個人情報保護法第25条に基づく委託先の監督
当社は、サービス提供に必要な範囲で、以下の業務委託先に個人情報の取り扱いを委託します。委託先の選定にあたっては、個人情報を適切に管理できる事業者を選定し、契約等により適切な監督を行います。
| 委託先 | 委託業務 | 所在国 |
|---|---|---|
| Amazon Web Services, Inc. | 画像保管(S3)、画像処理(Lambda)、コンテンツ配信(CloudFront) | 米国(データは東京リージョン) |
| Supabase, Inc. | データベース管理、ユーザー認証、Edge Functions 実行 | 米国(データは東京リージョン) |
| Google LLC(Firebase) | アプリ利用状況分析(Analytics) | 米国 |
| Functional Software, Inc.(Sentry) | エラー監視、クラッシュレポート収集 | 米国 |
| RevenueCat, Inc. | サブスクリプション管理、購入状態同期 | 米国 |
| Apple Inc. | アプリ配信、App 内課金決済、Apple Sign In によるユーザー認証 | 米国 |
| X Corp | OAuth 2.0 によるユーザー認証、プロフィール情報の取得 | 米国 |
| Google LLC(Gemini, Cloud Vision API) | チェキ画像からの自動タグ生成(Gemini 2.5 Flash による被写体名・イベント名・撮影日の推定)、不適切画像判定(Cloud Vision SafeSearch) | 米国 |
| OpenAI, Inc. | チェキ画像の自動タグ生成(Gemini フォールバック時、GPT-4.1 Mini を使用)、イベント名の自動提案(GPT-4.1 Nano を使用) | 米国 |
上記委託先はいずれも、EU-US Data Privacy Framework への参加、Standard Contractual Clauses(SCC)の締結、またはこれに準ずる体制により、国際的なデータ移転における個人情報の保護を確保しています。
第9条(安全管理措置)
当社は、個人情報の漏えい、滅失またはき損を防止するため、以下の安全管理措置を講じています。
(1)組織的安全管理措置
- 個人情報保護管理者の設置
- 個人情報の取り扱いに関する規程の整備・運用
- 漏えい等の事案に対応する報告連絡体制の整備
(2)技術的安全管理措置
- チェキ画像のエンドツーエンド暗号化(AES-256-GCM)。暗号鍵はユーザーの端末で管理され、当社を含む第三者は画像の内容を閲覧できません
- 通信の暗号化(TLS 1.2 以上)
- 保管データの暗号化(AES-256、S3 サーバーサイド暗号化)
- 署名付き URL によるアクセス制御(有効期限付き)
- 全データベーステーブルへの行レベルセキュリティ(RLS)の適用
- モデレーション関連フィールド(is_flagged、blur_image_key)のユーザー書き込み保護
- JWT トークンによるユーザー認証、API アクセス制御
- Edge Functions におけるオーナー検証、入力検証、エラー情報の非公開化
- Webhook のタイミングセーフ比較による検証
(3)物理的安全管理措置
- データの保管は AWS 東京リージョン(ap-northeast-1)のデータセンターにて行い、当該データセンターは ISO 27001、SOC 2 等の認証を取得しています
第10条(保有個人データに関するユーザーの権利)
個人情報保護法第32条〜第39条に基づく権利
ユーザーは、当社が保有する自己の個人情報について、以下の権利を行使できます。
- 利用目的の通知請求(法第32条): 自己の個人情報の利用目的の通知を求めることができます
- 開示請求(法第33条): 自己の個人情報の開示を求めることができます
- 訂正・追加・削除請求(法第34条): 個人情報の内容が事実でない場合、訂正等を求めることができます
- 利用停止・消去請求(法第35条): 利用目的の達成に必要な範囲を超えて取り扱われている場合等、利用停止・消去を求めることができます
- 第三者提供停止請求(法第35条第5項): 第三者提供の停止を求めることができます
- データポータビリティ: 当社が提供する方法により、自己のデータのエクスポートを請求できます。データエクスポートの請求は、hello@cheq.fun までご連絡ください。当社は合理的な期間内に対応いたします。
上記請求は、hello@cheq.fun にご連絡ください。本人確認の上、法令に定める期間内に対応いたします。なお、法令の定めにより請求に応じられない場合は、その旨を理由とともにお知らせします。
アプリ内で可能な操作
- アカウント削除: 「設定」>「アカウント削除」から実行できます。削除時に、画像データ、メタデータを含むすべての個人情報が不可逆的に削除されます
- データの非公開性: コレクションは全て非公開です。ユーザーのチェキ画像やメタデータが他のユーザーに表示されることはありません
第11条(データの保管期間)
- アカウント存続期間中: 全データを保管します
- アカウント削除時: 即時に全個人情報を削除します。ただし、法令上の保存義務がある場合は、当該法令の定める期間に限り保管します
- サービス終了時: 終了通知後 30 日間のデータ取得期間を設けた後、全データを削除します
第12条(未成年者の利用)
- 本アプリは 17 歳未満の方のご利用を想定しておりません。17 歳未満の方が個人情報を提供されたことが判明した場合、当社は速やかに当該情報を削除します。
- 保護者の方は、お子様の個人情報について、第10条に定める権利を代理で行使できます。
第13条(Cookie・トラッキング技術・外部送信)
改正電気通信事業法第27条の12に基づく外部送信規律への対応
本アプリは Web ブラウザベースの Cookie を使用しません。以下の SDK がユーザーの端末から外部サーバーへデータを送信します。
| SDK | 送信先 | 送信される情報 | 利用目的 | オプトアウト |
|---|---|---|---|---|
| Firebase Analytics | Google LLC(米国) | 画面遷移、イベント、端末情報、IP アドレスに基づく国・地域(IDFA は収集しません) | 利用状況の統計分析 | iOS の「設定」>「プライバシーとセキュリティ」>「分析」から制限可能 |
| Sentry | Functional Software, Inc.(米国) | クラッシュログ、エラー情報、端末情報 | 障害対応、品質改善 | オプトアウト不可(サービス品質維持に必要) |
| RevenueCat | RevenueCat, Inc.(米国) | 購入レシート、サブスクリプション状態、匿名ユーザー ID | サブスクリプション管理・課金状態の同期 | オプトアウト不可(課金管理に必要) |
| X OAuth 2.0 | X Corp(米国) | プロフィール情報(表示名・自己紹介文)、公開投稿(リポスト・いいね・メンション)※投稿データは推薦処理後に破棄 | ユーザー認証、推しの自動推薦 | X との連携はオンボーディング時にユーザーが明示的に許可した場合のみ。投稿データの参照を希望しない場合はスキップ可能 |
| Google Gemini 2.5 Flash | Google LLC(米国) | チェキ画像(base64)、関連ツイートテキスト | 自動タグ生成(被写体名・イベント名・撮影日の推定)— 主要 AI サービス | オプトアウト不可(スキャン機能の中核機能) |
| Google Cloud Vision API | Google LLC(米国) | チェキ画像(SafeSearch 判定のため) | 不適切画像の判定 | オプトアウト不可(安全性確保に必要) |
| OpenAI API | OpenAI, Inc.(米国) | チェキ画像(Gemini フォールバック時、GPT-4.1 Mini)、関連ツイートテキスト(GPT-4.1 Nano) | 自動タグ生成のフォールバック、イベント名の自動提案 | オプトアウト不可(スキャン機能の中核機能) |
| Apple Sign In | Apple Inc.(米国) | Apple ユーザー ID(メールアドレスは認証処理にのみ使用し、アプリ内で保存・表示しません) | ユーザー認証 | Apple でのログインを選択しない場合はデータ送信なし |
| Supabase Auth(メール認証) | Supabase, Inc.(米国) | メールアドレス、パスワード(ハッシュ化して保存) | ユーザー認証 | メールでのログインを選択しない場合はデータ送信なし |
本アプリは広告識別子(IDFA)を収集せず、アプリ横断のトラッキングを一切行いません。そのため、App Tracking Transparency(ATT)の許可ダイアログは表示されません。Firebase Analytics は端末内の匿名識別子のみを使用し、他社アプリとのデータ共有は行いません。
第14条(漏えい等の事案が発生した場合の対応)
個人情報の漏えい、滅失またはき損が発生し、またはそのおそれがあることを知った場合、当社は以下の対応を行います。
- 事案の迅速な調査および原因の究明
- 被害の拡大防止のための必要な措置
- 個人情報保護委員会への速報(発見後 72時間以内)
- 個人情報保護委員会への確報(発見後 30日以内)
- 影響を受けるユーザーへの速やかな通知(72時間以内を目標)
- 再発防止策の策定および実施
第15条(プライバシーポリシーの変更)
- 当社は、法令の改正、サービス内容の変更その他の事由により、本ポリシーを変更することがあります。
- 重要な変更(収集項目の追加、利用目的の変更、第三者提供先の追加等)を行う場合は、変更の効力発生日の 14 日前までに当社が適切と判断する方法(本サービス上の掲示、ウェブサイトへの掲載、メール等)により告知します。
- 変更後の本ポリシーは、本ページに掲載した時点で効力を生じます。
- 本ポリシーの変更履歴は本ページ末尾に記載します。
第16条(商標注記)
- 「チェキ」「instax」「INSTAX」は富士フイルム株式会社の登録商標です。
- 本アプリは富士フイルム株式会社の提供するサービスではなく、同社との提携、協賛、承認その他の関係は一切ありません。
- その他、本アプリ内に記載されている会社名、製品名、サービス名は、各社の商標または登録商標です。
第17条(苦情・相談窓口)
個人情報の取り扱いに関する苦情・相談は、以下の窓口にて受け付けます。
| 窓口 | Nande株式会社 個人情報相談窓口 |
|---|---|
| メール | hello@cheq.fun |
| 対応時間 | 原則として、受付後 10 営業日以内に回答いたします |
「チェキ」「instax」「INSTAX」は富士フイルム株式会社の登録商標です。本アプリは富士フイルム株式会社とは一切関係がありません。