プライバシーポリシー

最終更新: 2026年5月3日

Kotoba（以下「本サービス」）は、タイ王国の 個人情報保護法 (PDPA, B.E. 2562 / 2019) および日本の個人情報保護法に準拠して ユーザーの個人情報を取り扱います。本ポリシーは、本サービスがどのような情報を収集し、 どのように利用するかを説明します。

1. 取得する情報

• メールアドレス: ログイン用の Magic Link / OTP コード送信のために収集します。
• 学習履歴: カードごとの正答・誤答・復習タイミング・FSRS 計算結果。 学習体験のパーソナライズと進捗の可視化に利用します。
• デバイス情報: 同期処理のために、デバイス識別子（端末固有の匿名 ID）を ログイン毎に再生成して保存します。個人を特定する情報は含みません。
• 購入履歴: デッキ購入時の取引情報（決済プロバイダから受領）。 クレジットカード番号など決済情報そのものは本サービスに保存されません。

2. 利用目的（PDPA §24 法的根拠）

• 本サービスの提供（契約履行）
• 学習進捗の表示およびパーソナライズ（同意に基づく処理）
• 不正利用の防止およびシステム改善（正当な利益）
• 法令に基づく対応（法的義務）

3. 第三者提供

本サービスは、以下の業務委託先を除き、ユーザーの個人情報を第三者に提供しません。

• Supabase Inc. — データベース・認証基盤（米国、Singapore リージョン）
• Stripe, Inc. — 決済処理（米国、Phase 1 後半より導入予定）

これらは Standard Contractual Clauses 等を通じて適切なデータ保護を確保しています。

4. 保管期間

アカウントが有効である間、または法令により保管が義務付けられている期間、保持します。 アカウント削除リクエスト後は、原則として 30 日以内にすべての個人データを削除します （バックアップからの完全削除は最大 90 日）。

5. ユーザーの権利（PDPA §30〜§37）

ユーザーは以下の権利を有します:

• 自己の個人情報へのアクセス・コピー取得
• 不正確な情報の訂正
• 個人情報の削除（「忘れられる権利」）
• 処理の制限・異議申し立て
• 同意の撤回（撤回前の処理の合法性には影響しません）

これらの権利を行使するには、アプリ内「設定」→「アカウント削除」を利用するか、 下記窓口までご連絡ください。

6. データセキュリティ

通信は TLS により暗号化され、データベース内の認証情報はハッシュ化されています。 また、Row Level Security (RLS) により他ユーザーのデータへのアクセスを技術的に防止しています。

7. Cookie および類似技術

Web 版では、ログイン状態の保持のためにブラウザの localStorage を使用します。 広告目的の Cookie は使用しません。

8. 子どものプライバシー

本サービスは 13 歳未満のユーザーを対象としていません。13 歳未満であることが判明した場合、 速やかにアカウントを削除します。

9. ポリシーの変更

本ポリシーは法令改正やサービス変更に応じて改定される場合があります。重要な変更時は アプリ内またはメールで通知します。

10. お問い合わせ・データ管理責任者

Towaidee
Email: [email protected]

タイ国内のユーザーは、PDPC（Personal Data Protection Committee, タイ）への苦情申立も可能です。

← トップに戻る