はじめに
Monstera AI へようこそ!Monstera AI LLC(以下「Monstera AI」、「当社」といいます)は、monstera.club プラットフォームを運営しております。お客様の信頼は当社にとって最も重要です。当社はお客様の個人のプライバシーおよびデータセキュリティの保護に全力で取り組んでおります。本プライバシーポリシーは、お客様が当社のサービス(monstera.club ウェブサイトおよび関連するすべてのサービスを含む)をご利用になる際に、当社がお客様の情報をどのように収集、使用、保管、共有および保護するかについて、明確かつ透明な方法でご説明することを目的としております。当社のサービスをご利用になる前に、本ポリシーを注意深くお読みいただき、内容をご理解くださいますようお願いいたします。
1. 当社が収集する情報
当社のサービスを提供および最適化するために、以下の種類の情報を収集いたします。
1.1. お客様が直接提供する情報
1.1.1. アカウント情報
お客様が Monstera AI アカウントにご登録される際、当社はお客様のユーザー名(またはニックネーム)およびメールアドレスを収集いたします。お客様のパスワードは一方向ハッシュ化された上で保管されます。詳細については第7条をご参照ください。
1.1.2. Bot 設定情報
お客様が AI Bot インスタンス(当社では「ロール」と呼称しております)を作成または設定される際、そのロールの名称、対象となるライブ配信プラットフォーム、チャンネル/ルームID、および任意で AI ニックネームとカスタムプロンプトをご提供いただきます。
1.1.3. プラットフォームアカウント認証情報
お客様の AI Bot が第三者プラットフォームにログインし、お客様に代わって操作を行えるようにするため、当社は以下の2つの方法のいずれかにより、プラットフォームアクセス認証情報を収集および保管いたします。 * **OAuth 認可(推奨):** OAuth に対応したプラットフォームについては、業界標準の OAuth 2.0 を使用して安全に認可トークンを取得いたします。お客様はプラットフォームの公式認可フローを通じて、当社のサービスがお客様のアカウントにアクセスすることを明示的に認可し、当社はそれにより発行されたアクセストークンおよびリフレッシュトークンを保管いたします。 * **Cookie ベースの認証:** OAuth にまだ対応していないプラットフォームについては、お客様が提供し認可されたプラットフォームアカウントの Cookie を保管いたします。 当社はこの種の情報の極めて高い機密性を十分に認識しております。そのため、すべての認証情報(OAuth トークンおよび Cookie)は、データベースに保存される前にアプリケーション層で暗号化されます。詳細については第7条「データセキュリティ」をご参照ください。
1.1.4. 支払いおよび取引情報
お客様がサブスクリプションのご購入、仮想通貨の取得、コードの引き換え、またはその他の取引を当社プラットフォーム上で行われる際、当社はお客様の取引履歴およびアカウント残高の変動を記録いたします。なお、クレジットカード情報等のお支払い情報は、第三者の決済サービスプロバイダーによって直接処理されます。当社はお客様の完全な決済カード情報を当社のサーバーに保管することはございません。
1.1.5. お問い合わせ情報
お客様がお問い合わせフォームまたはメールを通じて当社にご連絡いただいた際、当社はお客様が提供された情報を収集いたします。
1.2. お客様が当社のサービスをご利用になる際に自動的に収集される情報
1.2.1. デバイスおよびログ情報
お客様が当社のウェブサイトにアクセスされた際、当社はIPアドレス、ブラウザの種類、オペレーティングシステム、アクセス時刻、および当社ウェブサイト上でのお客様のアクティビティログを含む技術情報を自動的に記録いたします。この情報は主に Vercel(当社のホスティングプロバイダー)および Cloudflare Turnstile(当社のヒューマン認証サービス)を通じて収集され、サービスの安全性の確保、トラフィック分析、およびレート制限の実施に使用されます。
1.2.2. ウェブサイト分析およびパフォーマンス監視
当社のウェブサイトのパフォーマンスとコンテンツを継続的に改善し、お客様に高速で快適かつ有用な閲覧体験をお届けするため、当社は匿名かつ集計された統計データを分析する必要がございます。当社は、このカテゴリで収集されるすべてのデータが個人を特定できないことをお約束いたします。
分析の目的
これらの統計データは主に以下の目的で使用されます。
- サービスの最適化:全体的なユーザートラフィックとその出所(例:訪問者がどの国から来ているか)を分析し、当社のインフラストラクチャおよびサービスパフォーマンスを最適化すること。
- コンテンツの改善:どのページや機能が最も人気があるかを把握し、お客様にとって最も価値のあるコンテンツにリソースを集中すること。
- 技術的互換性:訪問者が使用するブラウザおよびデバイスの種類を集計し、異なるプラットフォームにおける当社ウェブサイトの互換性と表示品質を確保すること。
使用ツール
当社が主に使用するツールは以下の通りです。
- Vercel Analytics & Speed Insights:匿名かつ集計されたウェブサイトトラフィックデータおよびフロントエンドパフォーマンス指標の収集に使用されます。
- Google Analytics:ウェブサイトのトラフィック分析にのみ使用されており、すべての広告トラッキング機能(広告のパーソナライズ等)は無効化されております。
1.2.3. ユーザーエクスペリエンス改善プログラム
当社のサービスにおけるお客様の体験のあらゆる細部を真に改善するため、当社は信頼できる技術パートナーの支援を受けた「ユーザーエクスペリエンス改善プログラム」を設立しております。
プログラムの目的
本プログラムは2つの主要な目標の達成を目指しております。第一に、ユーザーがページとどのように対話しているかを視覚的に理解し、デザイン上の潜在的な不便さを発見・改善すること。第二に、技術的な問題が発生した際に、当社のエンジニアが追跡困難なプログラムエラー(Bug)を再現・特定することを支援し、サービスの安定性と信頼性を向上させることです。
プライバシー保護措置
当社はお客様のプライバシーを最優先事項として取り扱います。フォームに入力されたテキストやパスワード等、潜在的に機密性の高い情報はすべて、記録される前にお客様のデバイス上で自動的に除去またはマスキングされ、送信されることはございません。
データの関連付けについて
より効果的なサポートとパーソナライズされた体験を提供するため、ログイン済みのユーザーについては、この「非識別化処理済み」の対話データを内部アカウント識別子と関連付けております。匿名の訪問者については、ブラウザ内のランダム識別子を使用して全体的な傾向を把握しております。
当社の約束
当社は、本プログラムで収集されるすべてのデータが、当社の製品およびサービスの改善のためにのみ使用されることを厳粛にお約束いたします。広告目的で使用されることは一切なく、マーケティング目的で第三者と共有されることも一切ございません。
お客様の管理権
お客様の参加は完全に任意です。お客様はアカウント設定からいつでも本プログラムからオプトアウトすることができ、その選択がお客様のサービスへのアクセスに影響を与えることは一切ございません。
1.3. お客様の AI Bot がお客様に代わって処理する情報
基本原則
AI Bot はお客様のために稼働する自動化エージェントです。Bot が処理するすべてのライブ配信データ(チャット、音声、映像)の所有権および管理権はお客様に帰属いたします。当社は、お客様が設定されたサービス機能を提供するために必要な、リアルタイムの自動化された技術処理のみを行います。
データ処理の目的
Bot はライブ配信データ(チャット、音声、映像を含む)をリアルタイムで処理し、お客様の設定に基づいて適切な AI インタラクションを生成することのみを目的としております。
データの保管
ライブ配信セッションからの音声および映像ストリームはリアルタイムで処理され、原本の形式で永久に保管されることはございません。セッション間の AI の継続性を実現するため、当社は2種類の派生データを維持しております。短期コンテキストウィンドウ(直近の会話履歴、自動的に消去)および長期圧縮メモリ(AI がパーソナライゼーションのために保持する重要な情報、静止時暗号化)です。いずれもお客様がアカウント設定からいつでも完全に削除することが可能です。サービスインタラクションのメタデータを含む可能性のある運用ログは、システムの信頼性とセキュリティのために保持され、自動ローテーションおよび定期的なクリーンアップの対象となります。
第三者との共有
AI 機能を実現するため、お客様のカスタムプロンプトおよび処理済みの匿名化されたライブ配信コンテンツの要約が、当社が提携する第三者の大規模言語モデル(LLM)サービスプロバイダーに送信される場合がございます。当社は厳格な基準に基づいてパートナーを選定し、技術力とデータセキュリティの両面において高い水準を満たすことを確認しております。
AI メモリおよびパーソナライゼーション
よりパーソナライズされた、文脈に即した体験を提供するため、当社の AI はお客様のライブ配信セッションに関する文脈理解を構築・保持する場合がございます。これには、インタラクションの傾向、会話パターン、およびユーザー指定の設定が含まれます。この情報は、セッション間のサービスの継続性を維持するために当社のデータベースに保管される場合がございます。お客様はアカウント設定または当社へのご連絡を通じて、いつでもこのデータの削除を要求することができます。
2. 当社によるお客様情報の利用方法
当社はお客様の情報を主に以下の目的で使用いたします。
- サービスの提供および維持:お客様のアカウントの作成・管理、お客様が設定した AI Bot の運用。
- 取引の処理:お客様のプラン購入およびチャージコードの引き換えリクエストの処理。
- 体験のパーソナライズ:お客様のご利用状況およびフィードバックに基づくサービスの最適化・改善。
- セキュリティの保護:詐欺や不正利用の防止、ならびにレート制限やヒューマン認証等によるサービスおよび他のユーザーの安全の保護。
- お客様とのコミュニケーション:アカウント認証、パスワードリセット、サービスの更新情報、およびカスタマーサポートに関するメールの送信。
4. 国際データ移転
当社のサービスはグローバルなクラウドインフラストラクチャに基づいております。そのため、お客様の個人情報は、お客様の国または地域外に所在するサーバーに移転、保管、および処理される場合がございます。これらの地域のデータ保護法は、お客様の管轄区域のものと異なる場合がございます。お客様の情報がどこで処理されるかにかかわらず、当社は本プライバシーポリシーに従って取り扱いを行います。当社のインフラストラクチャプロバイダーは、該当する国際データ移転について、EU標準契約条項(SCC)を組み込んだデータ処理契約(DPA)を維持しており、当社はお客様のデータが十分に保護されるよう必要な技術的措置を講じております。
6. お客様の権利と選択肢
お客様はご自身の個人情報について管理権を有しております。
アクセスおよび訂正:お客様はいつでもプロフィールページにログインし、お名前等の情報にアクセスおよび変更することができます。
データの削除:お客様はアカウント設定のセルフサービスオプションからいつでもアカウントを削除することができます。お客様のアカウントは即座に無効化され、アカウントに関連するすべての個人情報および設定データは30日以内に完全に削除されます(法律で別途定められている場合を除く)。
メールの配信停止:マーケティングメールに含まれる配信停止リンクを使用して、いつでも当社のマーケティングメールの受信を停止することができます。
法的要請:当社がお客様のアカウントに関する政府または法的なデータ要請を受領した場合、法律で許可される範囲内で、情報を開示する前にお客様に通知いたします。
7. データセキュリティ
お客様の信頼は最も重要です。当社はデータセキュリティを真摯に受け止め、お客様の情報を保護するために多層防御(Defense-in-Depth)システムを設計しており、一部のコンポーネントが侵害された場合でも、お客様のコアとなる機密データの安全を確保いたします。
7.1. パスワードセキュリティ
当社はソルト付きハッシュアルゴリズム(bcrypt)を使用して、お客様のログインパスワードを一方向暗号化して保管しております。これはお客様の元のパスワードが当社のデータベースに平文で保管されることは決してないことを意味します。当社の内部エンジニアでさえ、お客様の元のパスワードを閲覧または復元することはできません。最悪の場合、データベースがアクセスされたとしても、攻撃者が取得できるのは不可逆なハッシュ値のみです。
7.2. プラットフォームアカウント認証情報のセキュリティ
これは当社のセキュリティ設計の中核です。すべてのプラットフォームアクセス認証情報(OAuth トークンおよび Cookie)は、データベースとは独立して保管される高強度のアプリケーション層鍵を用いた AES-256-GCM アルゴリズムで暗号化されます。これはつまり、当社のデータベースサーバーが完全に侵害されたとしても、攻撃者が取得できるのは意味のない暗号化された文字列のみであり、お客様の元の認証情報にアクセスすることはできないことを意味します。復号化操作は厳格に認証されたインメモリ環境でのみ実行され、お客様の第三者プラットフォーム上のアカウントに対して最大限の保護を提供いたします。 OAuth ベースのプラットフォームについては、トークンの有効期限やプラットフォームのアカウント設定からいつでもアクセスを取り消す機能など、プラットフォームに組み込まれたセキュリティ機能の恩恵も受けております。
7.3. 通信のセキュリティ
当社は、お客様のブラウザと当社のサーバー間、および当社のサービスと第三者サービス間のすべてのネットワークデータ通信を暗号化するために、業界標準の TLS/SSL を使用し、データが通信中に傍受または改ざんされることを防止しております。
7.4. サービス間通信のセキュリティ
当社のシステム内で異なるサーバーに分散されたマイクロサービス間のすべての内部API呼び出しは、鍵ベースのメッセージ認証コード(HMAC-SHA256)により保護されております。各リクエストには時限付き署名が含まれており、リクエストの偽造、リプレイ攻撃、および不正な内部サービスアクセスを効果的に防止いたします。
7.5. 定期的な見直し
当社はデータの収集、保管、および処理の実務を定期的に見直し、最新のセキュリティ基準およびベストプラクティスに適合していることを確認しております。
8. データの保持
当社はお客様の個人情報を、本ポリシーに記載された目的を達成するために合理的に必要な期間、または適用される法律により要求もしくは許可される期間に限り保持いたします。具体的な保持期間は、データの性質および収集目的により異なる場合がございます。
- お客様のアカウントが有効である限り、当社はお客様のアカウント情報および設定データを保持いたします。
- お客様がアカウントの削除を要求された場合、当社は合理的な期間(例:30日)内にお客様の個人識別情報を安全に削除いたします。ただし、特別な事情がある場合を除きます。
- 財務および法的義務(税務、会計、または不正防止の要件等)を遵守するため、一部の取引記録はお客様のアカウント閉鎖後数年間保持される場合がございます。
- お客様のデータは、バックアップサイクルが終了しバックアップデータが安全に上書きされるまで、当社のバックアップシステムに限定的な期間保持される場合がございます。
- AI が生成したコンテキストメモリデータは、お客様のアカウントが有効である限り保持される場合があり、法律で別途定められている場合を除き、アカウント削除時に削除されます。
9. 児童のプライバシー
当社のサービスは13歳未満のお子様を対象としておりません。
当社は13歳未満のお子様から故意に個人識別情報を収集することはございません。お客様が保護者であり、お子様が同意なく当社に個人情報を提供したことが判明した場合は、直ちに当社までご連絡ください。
当社が保護者の同意なくお子様の個人情報を収集していたことが判明した場合、当社は直ちに当該情報をサーバーから削除するための措置を講じます。
10. 本プライバシーポリシーの変更
当社は、サービスの変更や法的要件の更新を反映するため、本プライバシーポリシーをいつでも改定する権利を留保いたしますので、定期的にご確認くださいますようお願いいたします。
非実質的な変更(誤字の訂正や書式の調整等)については、本ページ上部の「最終更新日」のみを更新いたします。
本ポリシーに重要な変更を加える場合、当社は変更が有効となる前に、以下の方法のうち1つまたは複数により、お客様に明確な通知を行います。
- 当社ウェブサイト上の目立つ場所への告知の掲載;
- お客様のご登録メールアドレスへの通知メールの送信;
- 次回お客様が当社サービスにログインされた際の更新案内の表示。
変更が有効となった後もお客様が当社のサービスを継続してご利用になった場合、改定後のプライバシーポリシーに完全に同意し、これを承諾したものとみなされます。
11. お問い合わせ
本プライバシーポリシーに関してご質問、ご意見、またはご懸念がございましたら、以下の方法で当社までご連絡ください。