プライバシーポリシー

1. 当社が収集する情報

1.1 アカウント情報

アカウントを作成する際、当社はお客様の氏名、メールアドレス、およびパスワード（安全なハッシュとして保存されます）を収集します。有料プランにご登録される場合、当社は決済処理業者（Stripe）を通じて請求情報を収集します。当社は、サーバー上にクレジットカード番号全体を保存することはありません。

1.2 API利用データ

当社は、タイムスタンプ、アクセスされたエンドポイント、応答コード、リクエスト量、お客様のAPIキー識別子を含むAPIリクエストを自動的に記録します。このデータは、レート制限、課金、分析、およびサービス改善に使用されます。

1.3 デバイスおよびブラウザ情報

お客様が当社のウェブサイトを訪問された際、当社はIPアドレス、ブラウザの種類とバージョン、オペレーティングシステム、参照元URL、訪問ページ、ページ滞在時間、その他の診断データを収集する場合があります。

1.4 クッキーおよび類似技術

当社は、セッションの維持、設定の記憶、利用状況の分析のためにクッキーおよび類似のトラッキング技術を使用します。詳細については、当社のクッキーポリシーをご覧ください。

2. お客様の情報の使用方法

当社は、収集した情報を以下の目的で使用します：

• 本サービスの提供、運営、および維持
• 取引の処理および定期購読の管理
• APIレート制限および利用枠の監視および実施
• 取引メールの送信（アカウント確認、請求書、セキュリティ警告）
• 本サービス改善のための利用パターンの分析
• 技術的問題、詐欺、または乱用の検出、防止、対処
• お問い合わせおよびサポートリクエストへの対応
• 法的義務の遵守

当社は、お客様の個人情報を第三者に販売しません。当社は、法的効果を生じさせる自動化された意思決定またはプロファイリングのためにお客様のデータを使用しません。

3. 処理の法的根拠（GDPR）

お客様が欧州経済領域（EEA）に所在する場合、当社は以下の法的根拠に基づいてお客様の個人データを処理します：

• 契約の履行：お客様が要求された本サービスを提供するために必要な処理（アカウント管理、APIアクセス、請求）。
• 正当な利益：お客様の権利が当社の利益を上回らない場合の分析、不正防止、サービス改善。
• 同意：お客様が明示的な同意を与えた場合（例：マーケティングメール、必須でないクッキー）。
• 法的義務：処理が適用法により要求される場合。

4. データ共有および第三者

当社は、説明された目的のためにのみ、以下のカテゴリーの第三者とお客様の情報を共有する場合があります：

4.1 決済処理業者

当社は、決済処理にStripeを使用しています。お客様が有料プランに登録されると、お客様の決済情報は直接Stripeに送信され、同社のプライバシーポリシーに準拠します。

4.2 分析サービス

当社は、ユーザーが当社のウェブサイトとどのように対話しているかを理解するために、Google AnalyticsおよびMicrosoft Clarityを使用しています。これらのサービスは、閲覧されたページ、セッション時間、一般的な地理的位置などのデータを収集する場合があります。データは可能な限り集約され匿名化されます。

4.3 インフラストラクチャープロバイダー

お客様のデータは、業界標準のセキュリティ認証を維持するクラウドインフラストラクチャープロバイダーでホストされます。当社は、すべてのプロバイダーが適用されるデータ保護法に準拠してデータを処理することを保証します。

4.4 法的要件

当社は、法律、規制、法的手続き、または政府の要請により必要とされる場合、または当社の権利、安全、または財産を保護するために、お客様の情報を開示することがあります。

5. クッキーおよびトラッキング

当社は、認証およびセッション管理のために必須のクッキーを使用し、本サービス改善のために任意の分析クッキーを使用しています。お客様はブラウザの設定を通じてクッキーの設定を制御できます。包括的な概要については、当社のクッキーポリシーをご参照ください。

6. データの保管とセキュリティ

当社はお客様のデータのセキュリティを真剣に受け止めており、以下を含む適切な技術的および組織的措置を実施しています：

• 転送中（TLS/HTTPS）および保存時のデータ暗号化
• 安全なパスワードハッシュ化（bcrypt）
• ハッシュ化された保存によるAPIキー認証
• 定期的なセキュリティ監査および依存関係の更新
• アクセス制御および最小権限の原則
• 暗号化されたデータベースバックアップ

当社はお客様のデータを保護するよう努めていますが、いかなる送信または保存方法も100％安全ではありません。当社は絶対的なセキュリティを保証することはできませんが、セキュリティ慣行を継続的に改善するよう努めています。

7. データ保持期間

当社は、以下のガイドラインに従ってお客様のデータを保持します：

• アカウントデータ：お客様のアカウントが有効である限り保持されます。アカウント削除リクエストから30日以内に削除されます。
• API利用ログ：運用目的で90日間保持された後、集約され匿名化されます。
• 請求記録：適用される税法および財務規制で要求される期間（通常7年間）保持されます。
• 分析データ：傾向分析のために集約・匿名化された形式で無期限に保持されます。

8. お客様の権利（GDPR）

お客様がEEA、英国、または同様のプライバシー法を持つ管轄区域に所在する場合、お客様は以下の権利を有します：

• アクセス権：当社が保持するお客様に関する個人データのコピーを要求する権利。
• 訂正権：不正確または不完全なデータの訂正を要求する権利。
• 消去権：お客様の個人データの削除を要求する権利（「忘れられる権利」）。
• 制限権：当社がお客様のデータの処理を制限することを要求する権利。
• データポータビリティ権：お客様のデータを構造化された機械可読形式（JSONまたはCSV）で受け取る権利。
• 異議申立権：ダイレクトマーケティングを含む正当な利益に基づく処理に異議を申し立てる権利。
• 同意撤回権：処理が同意に基づいている場合、いつでも撤回することができます。

これらの権利を行使するには、support@inciapi.comまでご連絡ください。当社は30日以内に対応します。お客様には、お住まいの地域のデータ保護当局に苦情を申し立てる権利もあります。

9. カリフォルニア州プライバシー権（CCPA）

お客様がカリフォルニア州の居住者である場合、カリフォルニア州消費者プライバシー法（CCPA）はお客様に追加の権利を提供します：

• 知る権利：当社がお客様について収集した個人情報のカテゴリーおよび具体的な項目の開示を要求する権利。
• 削除する権利：お客様の個人情報の削除を要求する権利。
• オプトアウトする権利：当社は個人情報を販売しません。これが変更された場合、当社は「個人情報を販売しない」リンクを提供します。
• 非差別：当社は、お客様がCCPA権利を行使したことを理由に差別することはありません。

CCPA権利を行使するには、support@inciapi.comまでご連絡ください。

10. 国際的なデータ転送

お客様の情報は、お客様の居住国以外の国に転送され、処理される場合があります。これらの国には、お客様の管轄区域とは異なるデータ保護法がある場合があります。当社が個人データを国際的に転送する際には、欧州委員会が承認した標準契約条項（SCC）またはその他の法的に認められた転送メカニズムを含む、適用法に従った適切な保護措置を実施します。

11. 児童のプライバシー

本サービスは、13歳未満（EEAでは16歳未満）の児童を対象としていません。当社は、児童から故意に個人情報を収集することはありません。児童が当社に個人データを提供したことが判明した場合、当社は速やかに削除します。児童が当社に個人情報を提供したと思われる場合は、support@inciapi.comまでご連絡ください。

12. 適用法およびデータ管理者の管轄

データ管理者は、スペインに設立されたautónomo（個人事業主）です。本プライバシーポリシーはスペイン法およびEU GDPR（Regulation 2016/679）に準拠します。データ保護に関する苦情は、スペインデータ保護当局（Agencia Española de Protección de Datos — AEPD、www.aepd.es）に提出できます。紛争の管轄裁判所は、スペインのカナリア諸島の裁判所です。

13. 本ポリシーの変更

当社は、本プライバシーポリシーを随時更新する場合があります。当社は、改訂された「最終更新」日付とともに本ページに更新されたポリシーを掲載することにより、重要な変更をお客様に通知します。重要な変更の場合、当社は登録されたメールアドレスに通知を送信することもあります。変更が発効した後にお客様が本サービスを使用し続けることは、更新されたポリシーへの同意を構成します。

14. お問い合わせ

本プライバシーポリシーに関するご質問やご懸念がある場合、またはプライバシー権を行使したい場合は、お問い合わせください：