プライバシーポリシー

1. はじめに・データ管理者

EMORA AI（以下「EMORA」「当社」）は、本プラットフォームで処理する個人データの管理者です。GDPR、CCPA、韓国個人情報保護法（PIPA）を含む適用法令に従い、お客様のプライバシーを保護することをお約束します。

データ管理者：EMORA AI｜プライバシー問い合わせ：administrator@tryemora.com｜データ保護責任者（DPO）：administrator@tryemora.com 電話: +82-10-5170-5136.

2. 収集する情報

当社は以下のカテゴリの個人データを収集します：

• アカウント情報：メールアドレス、ユーザー名、パスワードハッシュ（bcrypt）、生年月日、アカウント作成日。
• プロフィール情報：表示名、アバター画像、自己紹介、言語設定、年齢確認ステータス。
• ご利用情報：作成キャラクター、チャットメッセージ、生成メディア、GEM残高・取引履歴、ミッション・チェックイン記録。
• 決済情報：Toss Payments Co., Ltd. 経由の取引識別子（カード決済・口座振替・モバイル決済を含む；カード・口座情報はToss Paymentsが独占保管し、当社は原本カード番号を保存しません）。
• 技術情報：IPアドレス、ブラウザ・デバイス種別、セッショントークン、エラーログ、リクエストメタデータ。
• 年齢確認情報：生年月日確認と確認タイムスタンプ。
• 連絡情報：サポートへのメールおよび安全報告。

3. 処理の法的根拠（GDPR第6条）

GDPRが適用される場合、当社は以下の法的根拠に基づき個人データを処理します：

• 契約（第6条(1)(b)）：アカウント作成、チャット提供、GEM取引、決済処理。
• 正当な利益（第6条(1)(f)）：不正防止、プラットフォームセキュリティ、サービス改善、安全監視。
• 法的義務（第6条(1)(c)）：CSAM義務報告（NCMEC/IWF）、法執行機関への協力、財務記録保管。
• 同意（第6条(1)(a)）：任意クッキー、マーケティング。同意はいつでも撤回できます。

4. 情報の利用目的

• EMORAプラットフォームおよびAIキャラクターチャットサービスの提供とパーソナライズ。
• 決済処理およびGEMサービスクレジット残高の管理。
• 管轄区域の法令に基づく年齢確認。
• 安全監視、コンテンツモデレーション、法定報告義務への対応。
• 技術的問題の診断、AIの品質向上、不正行為防止。
• トランザクションメール（アカウント・決済）および任意のサービス更新情報の送信。

5. 情報の共有・開示

当社はお客様の個人データを販売・貸与・取引しません。以下の場合のみ共有します：

• Toss Payments Co., Ltd.：決済処理（カード・口座振替・モバイル決済）および不正防止。決済識別子のみ（カード・口座情報はToss Paymentsが独占保管）。保持：電子商取引法に基づき5年間。
• xAI / Grok：AIテキストおよび画像生成（api.x.ai）
• Vercel（ホスティング）：米国のサーバーでリクエストログおよびエッジ関数を処理。
• Supabase / AWS東京（データベース）：全ユーザーデータをAWS ap-northeast-1（東京）に保存。ファイルストレージを含む。
• 法執行機関：法律、裁判所命令、または人の安全保護のために必要な場合。
• NCMEC CyberTipline・IWF：適用法に基づき確認されたCSAMを義務的に報告。

当社は広告その他商業目的で第三者にお客様の個人データを販売しません。

6. 国際データ転送

お客様のデータは以下の国で処理される場合があります：

• 大韓民国：当社の主要運営主体。
• 日本（AWS ap-northeast-1 / Supabase東京）：主要データベースストレージ。
• 米国（Vercel）：サーバーレスホスティングおよびエッジ配信。
• 必要な場合、転送は欧州委員会が承認した標準契約条項（SCC）により保護されます。

7. データ保持期間

• アカウント情報：アカウント有効期間中保持。削除後90日の猶予期間を経て完全削除。
• チャットログ・AI生成メディア：作成日から12ヶ月後に削除。
• 決済記録：財務法規制に従い7年間保持。
• 安全ログ・CSAMに関する記録：適用法により3年間保持。
• バックアップスナップショット：実削除後30日以内に削除。

8. GDPRに基づく権利

EEA、英国、またはスイス在住の方は以下の権利を有します：

• アクセス権：個人データのコピー請求。
• 訂正権：不正確・不完全なデータの修正。
• 消去権（忘れられる権利）：法定保持義務を条件とした削除請求。
• 制限権：特定状況における処理の制限。
• ポータビリティ権：構造化された機械可読形式でのデータ受領。
• 異議申立権：正当な利益に基づく処理への異議。
• 自動化された意思決定：法的効果を有する完全自動化意思決定の対象とならない権利。
• 苦情申立：各国監督機関（ICO、CNIL、BfDI等）への苦情申立。

権利行使はadministrator@tryemora.comまで。30日以内に対応します。

9. CCPA権利（カリフォルニア州）

カリフォルニア州居住者はCCPAに基づき以下の権利を有します：

• 知る権利：収集された個人情報のカテゴリおよび具体的項目の開示請求。
• 削除権：収集された個人情報の削除請求。
• 訂正権：不正確な個人情報の修正請求。
• 非差別権：権利行使による差別を受けない権利。
• CCPAリクエストはadministrator@tryemora.comへ。45日以内に対応します。

10. 韓国個人情報保護法（PIPA）

当社は韓国個人情報保護法（PIPA）を遵守しています。

• 収集項目：メール、ユーザー名、パスワード（bcryptハッシュ）、生年月日、IPアドレス、決済識別子。
• 収集目的：アカウント管理、サービス提供、安全法規遵守。
• 保持期間：第7条に記載の期間（財務記録は関連法令に基づき5年間）。
• 問い合わせ：administrator@tryemora.com｜個人情報保護責任者：administrator@tryemora.com

11. クッキー

• 必須クッキー：認証（セッショントークン）およびセキュリティ（CSRF）。無効化不可。
• 機能クッキー：言語設定（ロケールクッキー）。任意だが推奨。
• トラッキングクッキー、広告クッキー、第三者分析クッキーは使用しません。

12. 子どものプライバシー (COPPA / GDPR-K)

EMORAは13歳未満（EEAでは16歳未満）のお子様から意図的に個人データを収集しません。13歳（EEAでは16歳）未満の場合、保護者の確認可能な同意なしに当サービスをご利用いただかないようお願いします。該当年齢以下のお子様の個人データを保護者の同意なく収集したことが判明した場合、速やかにそのデータを削除します。保護者はadministrator@tryemora.comまでご連絡ください。

13. セキュリティ

• 転送中のデータはTLS 1.2/1.3で暗号化されます。
• 保存中のデータはデータベースレベルでAES-256暗号化されます。
• パスワードはユーザーごとのソルトを含むbcryptでハッシュ化されます。
• お客様の権利に影響するデータ漏洩が発生した場合、GDPRに従い72時間以内にお客様および関連監督機関に通知します。

14. お問い合わせ

プライバシーに関するお問い合わせは以下の担当チームまで：

• 一般問い合わせ：administrator@tryemora.com
• プライバシー要請（GDPR/CCPA/PIPA）：administrator@tryemora.com
• データ保護責任者：administrator@tryemora.com
• 法務・DMCA：administrator@tryemora.com
• 安全・CSAM報告：administrator@tryemora.com
• CCPAリクエスト：administrator@tryemora.com