プライバシーポリシー
最終更新日:2026年4月17日
Career Coach AI(以下「当社」)はお客様のプライバシーを尊重し、個人データの保護に努めます。本ポリシーは、当社が収集するデータの内容、収集目的、利用方法、共有先、およびお客様がこれらに対して有する権利を説明するものです。本ポリシーのいずれかの部分に同意できない場合は、当サービスをご利用にならないでください。
1. 管理者
Career Coach AI は、当ウェブサイトおよびアプリケーションを通じてお客様が提供する個人データの管理者です。本ポリシーに関するご質問、または権利の行使については、privacy@careercoach.ai までご連絡ください。
2. 収集する情報
当社は以下の方法で情報を収集します:
- お客様が提供するアカウント情報:メールアドレス、表示名、パスワードハッシュ、認証プロバイダ識別子。
- お客様がアップロードまたは生成するプロフィールおよび履歴書のコンテンツ:履歴書テキスト、職歴、学歴、スキル、カバーレター、面接録音およびその書き起こし。
- ご購入時の決済情報:氏名、請求先住所、購読ステータス、支払い方法のメタデータ(カード情報は Stripe が直接処理し、当社は生のカード番号を受け取りません)。
- 利用テレメトリ:閲覧ページ、利用機能、IP からの概算地理情報、ブラウザおよびデバイスのメタデータ、パフォーマンス指標。
- コミュニケーション:サポートへのメッセージ、フィードバック、メール設定。
3. データの利用目的
当社は以下の目的でのみ、GDPR 第6条の適法な根拠に基づきデータを処理します:
- ご要望のサービス提供のため(契約、第6条(1)(b)):アカウント作成、履歴書分析、AI 面接練習、カバーレター生成、請求。
- サービスの改善および保護のため(正当な利益、第6条(1)(f)):エラー監視、不正防止、レート制限、集計プロダクトアナリティクス。
- アナリティクスおよびマーケティングのため(同意、第6条(1)(a)):同意バナーで該当カテゴリを承諾された場合に限ります。
- 法的義務の履行のため(第6条(1)(c)):税務記録、当局からの合法的要求への対応。
4. 再委託先およびサードパーティサービス
当社はサービス運営のために、信頼できる少数の再委託先に依拠しています。各社は自社のプライバシーポリシーを公開しており、該当する場合には当社に代わる処理を規律するデータ処理契約(DPA)を締結しています。最新のリストは下記に掲載されており、当社の内部登録と同期されています。再委託先の追加・変更・削除の都度、更新されます。
以下の再委託先が Career Coach AI の運営を支えています。いずれも、当社が指定する目的に利用を限定する書面契約のもとでお客様のデータを処理します。
認証
| ベンダー | 目的 | 共有データ | 地域 | 法的根拠 | リンク |
|---|---|---|---|---|---|
| Google Firebase (Authentication + Firestore) | User authentication, account management, and primary application database (profile, CV metadata, interview sessions). | email, display name, account identifiers, CV content, usage metadata | グローバル | 契約 | プライバシーポリシー·DPA |
インフラ
| ベンダー | 目的 | 共有データ | 地域 | 法的根拠 | リンク |
|---|---|---|---|---|---|
| Vercel | Application hosting, edge compute, and CDN delivery. | IP address, request metadata, HTTP headers | グローバル | 契約 | プライバシーポリシー·DPA |
| Upstash (Redis) | Rate limiting and ephemeral cache (sliding-window counters, short-TTL keys only). | hashed user identifiers, request counters | グローバル | 正当な利益 | プライバシーポリシー |
AI・機械学習
| ベンダー | 目的 | 共有データ | 地域 | 法的根拠 | リンク |
|---|---|---|---|---|---|
| OpenAI | Large-language-model inference for CV analysis, interview simulation, cover-letter generation, and other AI features. OpenAI does not use API inputs to train models per their API data policy. | CV content, interview transcripts, user-provided text prompts | 米国 | 契約 | プライバシーポリシー·DPA |
決済
| ベンダー | 目的 | 共有データ | 地域 | 法的根拠 | リンク |
|---|---|---|---|---|---|
| Stripe | Subscription billing and payment processing. Card details are captured by Stripe directly — we never receive or store raw card numbers. | email, billing address, payment method metadata, subscription status | グローバル | 契約 | プライバシーポリシー·DPA |
メール
| ベンダー | 目的 | 共有データ | 地域 | 法的根拠 | リンク |
|---|---|---|---|---|---|
| Resend | Transactional email delivery (password reset, subscription receipts, weekly career report). | email address, email content metadata | 米国 | 契約 | プライバシーポリシー·DPA |
モニタリング
| ベンダー | 目的 | 共有データ | 地域 | 法的根拠 | リンク |
|---|---|---|---|---|---|
| Sentry | Error monitoring, performance tracing, and session replay (all text and form inputs masked, all media blocked — replays capture only visual layout). | error stack traces, browser metadata, IP address (scrubbed when possible), masked session replay (layout/interactions without text content) | EU/EEA | 正当な利益 | プライバシーポリシー·DPA |
アナリティクス
| ベンダー | 目的 | 共有データ | 地域 | 法的根拠 | リンク |
|---|---|---|---|---|---|
| PostHog | Product analytics — understand feature usage and identify UX friction. | event metadata, anonymized user identifier, page paths | 米国 | 同意 | プライバシーポリシー·DPA |
| Google Analytics 4 | Aggregate traffic and conversion analytics. Runs under Google Consent Mode v2 — no analytics cookies until you accept. | anonymized IP, page views, event counts | グローバル | 同意 | プライバシーポリシー |
| Meta (Facebook) Pixel | Conversion measurement and retargeting for paid marketing campaigns. Loaded only after marketing-consent is granted. | page views, conversion events, hashed email (where provided) | グローバル | 同意 | プライバシーポリシー |
5. 国際的なデータ移転
当社の再委託先の一部は欧州経済領域外、特に米国に所在します。データが EEA 外へ移転される場合、当社は欧州委員会の標準契約条項(2021/914)に依拠し、該当する場合には EU-US データプライバシー枠組みおよび技術的・組織的セーフガード(転送時の暗号化、アクセス制御、地域内処理が可能な場合はその利用)を併用します。お客様のデータに適用される移転メカニズムの写しを請求できます。
6. データの保存期間
当社はサービス提供および法的義務の履行に必要な期間のみデータを保存します:
- 有効なアカウントのデータ:アカウントが有効である限り保存。
- 削除されたアカウント:主要システムから30日以内に消去し、残存するバックアップは90日のローリング周期で消去。
- 履歴書および面接コンテンツ:アカウント削除時、またはご請求に応じてそれ以前に消去。
- 請求記録:税務・会計上の要件に従い7年間保存。
- サポートとのやり取り:最後のやり取りから24か月間保存。
7. GDPR 上の権利(EEA、英国、スイス)
EEA、英国、スイスにお住まいの方は、GDPR/UK GDPR/FADP に基づき以下の権利を有します:
- アクセス権 — データの写しを請求する権利。
- 訂正権 — 不正確または不完全なデータを訂正する権利。
- 消去権(「忘れられる権利」) — 優先する法的根拠がない場合に削除を求める権利。
- 処理制限権 — 紛争解決まで特定の利用を停止する権利。
- データポータビリティ権 — 構造化され機械可読な形式でデータを受領する権利。
- 異議申立権 — 正当な利益に基づく処理またはダイレクトマーケティングへの異議。
- 同意撤回権 — いつでも撤回可能、撤回前の適法処理には影響しません。
- 苦情申立権 — お住まいの地域の監督機関への申立権。
8. CCPA/CPRA 上の権利(カリフォルニア州居住者)
カリフォルニア州居住者は、カリフォルニア州消費者プライバシー法(CPRA による改正版)に基づき、さらに以下の権利を有します:
- 当社が収集、利用、開示、および販売または共有する個人情報を知る権利。
- 当社が収集した個人情報の削除を求める権利。
- 不正確な個人情報の訂正を求める権利。
- 個人情報の販売または共有をオプトアウトする権利。当社は個人データを販売しません。コンテキスト横断の行動広告は「共有」として扱い、マーケティング Cookie カテゴリを拒否することでオプトアウトできます。
- 機微な個人情報の利用を制限する権利。
- 権利行使時の差別を受けない権利。
9. AI の正確性と限界
Career Coach AI は履歴書フィードバック、面接質問、カバーレターその他の出力を生成するために大規模言語モデルを用います。これらの出力は確率的であり、誤りや欠落、偏りを含む可能性があります。応募、法的文書、重要な意思決定に利用する前に、AI 生成コンテンツを必ず確認・検証してください。当社は AI 出力の正確性、完全性、または特定目的への適合性を保証しません。
10. 子どものプライバシー
本サービスは16歳未満の子どもを対象としていません。当社は16歳未満の子どもから知りつつ個人データを収集することはありません。確認済みの保護者の同意なく16歳未満の子どもからデータを収集したと判明した場合、削除します。子どもがデータを提供したとお考えの場合は privacy@careercoach.ai までご連絡ください。
11. セキュリティ
当社は業界標準の技術的・組織的対策を講じています:転送時の暗号化(TLS 1.2+)、識別子および資格情報の保存時暗号化、ロールベースのアクセス制御、最小権限のサービスアカウント、レート制限、および継続的な監視。完全に安全なシステムはありません。お客様の個人データが漏えいした場合、法令の要求に応じてお客様および所管監督機関に通知します。
12. 本ポリシーの変更
当社はサービス、法的要件、または再委託先の関係の変更を反映するため、本ポリシーを更新することがあります。重要な変更は効力発生の少なくとも30日前にメールまたはアプリ内通知でお知らせします。上記「最終更新日」は直近の改訂日を示します。