プライバシーポリシー

最終更新: 2026-04-29

ドラフト — 弁護士レビュー未完了

本ポリシーは Kagura Memory Cloud の初版ドラフトであり、弁護士による最終レビューは未完了です。memory.kagura-ai.com の一般公開に先立ち、透明性を確保するため公開しています。弁護士レビュー完了後に更新し、重要な変更は下記「本ポリシーの変更」に記載の方法で通知します。

はじめに

Kagura Memory Cloud(以下「本サービス」「当社」)は、下記「データ管理者」節に明記する事業者が運営する AI メモリープラットフォームです。本プライバシーポリシーは、当社が収集する個人情報、収集目的、保管と保護の方法、およびお客様の権利について説明します。

本ポリシーは、EU 一般データ保護規則(GDPR)、日本の個人情報保護法(APPI)、および米カリフォルニア州消費者プライバシー法(CCPA / CPRA)のうち、お客様に適用されるものに準拠して記述しています。当社はデータ最小化、目的制限、透明性の原則に従います。

データ管理者

管理者: {{TBD: DATA_CONTROLLER}}

住所: {{TBD: DATA_CONTROLLER_ADDRESS}}

プライバシーに関する問い合わせ窓口: privacy@kagura-ai.com

準拠法: 日本法。本ポリシーは日本の個人情報保護法(APPI)の適用を受けます。EU / 英国居住者の GDPR 上の権利、カリフォルニア州居住者の CCPA / CPRA 上の権利を制限するものではありません。

別途データ保護責任者(DPO)は指名していません。上記の管理者がすべての問い合わせ窓口です。

収集する個人情報

サービス運営に必要な情報のみを収集します:

本人識別・認証情報 — OAuth(Google または GitHub)でサインインする際: メールアドレス、プロバイダーの数値ユーザー ID (sub claim、GitHub の場合は github_user_id)、表示名(任意)、アバター URL(任意)、および GitHub の場合はログインハンドル。再サインイン時に同じアカウントに紐付けるため、認証プロバイダー識別子 (google / github) も保存します。

パスワード認証情報 — 初期管理者アカウント専用: ログイン ID とパスワードハッシュ(bcrypt)。MFA 用の任意 TOTP シークレット。パスワードを平文で保管することはありません。

セッション情報 — HttpOnly, SameSite=Strict Cookie (kagura_session) による不透明なセッション識別子と、Redis 上の対応エントリ。7 日またはログアウト時に自動失効します。

サインアップ許可リスト — 管理者が任意の「admin 可設定サインアップゲート」を有効化している場合、登録を許可した GitHub 数値ユーザー ID、追加時のユーザー名、source (manual / 将来の github_sponsors)、状態 (active / grace / revoked)、追加した管理者を保存します。照合は不変の数値 ID で行い、ユーザー名変更で許可が失われることはありません。

メモリーデータremember() API / MCP プロトコル / Web UI を通じて保存する要約、コンテキスト、本文、タグ、メタデータ。メモリー内容に関するデータ管理者はお客様であり、当社はサービス契約に基づき代理で処理します。

利用・技術情報 — API リクエスト数、機能使用カウンター、レートリミット計上(クォータ運用のため);送信元 IP アドレス、User-Agent(セキュリティ・濫用検出・障害切り分けのため);構造化アプリケーションログ。

内部観測指標

検索品質を監視し、ランキングシステムのドリフトを検出するため、メモリーから派生した日次の統計指標を収集しています。本データはメモリー本文と同等の法的保護の下で取り扱います。

目的 — ワークスペース内コンテキストごとの BM25 IDF 分布の日次監視。検索品質のドリフト検出およびランキングモデル更新の判断材料に用います。

データ項目 — 希少語トークンのハッシュ表現(mmh3 32-bit 整数ハッシュ)とその文書頻度。ワークスペース内のコンテキスト単位でスコープ化されます。生のトークン本文は保存しません。ソースコード上のテーブル名は bm25_idf_drift_log です。

法的分類 — 本データは GDPR 第 4 条 5 項および前文 26 項に基づく仮名化された個人データ(pseudonymous personal data)として取り扱います。ハッシュ値自体は不透明ですが、当社は管理者として元のメモリー本文とハッシュの両方を保持しているため、合理的な手段による再識別が可能です。したがって本データは GDPR の保護対象に含まれ、メモリー本文と同等の法的保護の下で取り扱います。

保持期間 — 最長 90 日。下記「データ保持期間」も参照してください。

削除請求への連動 — お客様が削除請求(GDPR 第 17 条 / APPI)を行使された場合、これらの観測記録もメモリー本文と同じ連動削除の対象となります。下記「お客様の権利」を参照してください。

利用目的 (APPI 第 21 条 / GDPR Art. 6)

以下の根拠に基づいて個人情報を処理します:

契約の履行 (GDPR Art. 6(1)(b)) — サービス提供に必要な処理: アカウント作成、セッション管理、メモリー保存・検索、クォータ運用、サブスクリプション請求。

正当な利益 (Art. 6(1)(f)) — セキュリティ監視、濫用検出、システム診断、キャパシティ計画のための匿名集計分析。いつでも上記連絡先に異議を申し立てることができます。

法的義務 (Art. 6(1)(c)) — 日本の税法が要求する請求・税務関連記録の保管。

同意 (Art. 6(1)(a)) — 将来の任意機能(製品アップデートメール等)のために予約。現時点で同意に基づく処理は行いません。変更時は明示的に同意を取得し、いつでも撤回可能とします。

APPI 第 21 条に基づく「利用目的の通知」として、上記処理目的を本項に包括的に明示しています。

データの利用方法

サービス提供 — メモリーの保存・索引・検索、ハイブリッド検索・Neural Memory 機能、クォータ・レートリミット運用。

認証・アクセス制御 — サインイン時の本人確認、セッション維持、ロールベース・ワークスペース権限の適用。

セキュリティ — 濫用検出、インシデント調査、不正トラフィックの遮断。

サポート・障害対応 — 報告された問題の診断、サービス信頼性の維持。

サービス改善 — キャパシティ計画と機能開発のための匿名集計分析。

絶対に行わないこと — 個人情報の販売、メモリー内容の AI モデル学習への利用、広告主への共有、トラッキング・マーケティング Cookie の使用。

データの保管とセキュリティ

通信時の暗号化 — デバイスと本サービス間の全通信は TLS 1.3 で保護。

保存時の暗号化 — 機微な認証情報(TOTP シークレット、将来のサードパーティ API トークン等)はアプリケーション層で Fernet(AES-128-CBC + HMAC-SHA256)により暗号化してから DB に書き込みます。DB ボリュームとオブジェクトストレージはインフラ層で暗号化。

データストア — 構造化データは PostgreSQL、ベクトル埋め込みは Qdrant、セッショントークンは Redis に保管。

アクセス制御 — 厳格なロールベースアクセス制御 (system admin / workspace owner/admin/member/viewer、コンテキスト単位のメンバーシップ)。本番インフラへの管理アクセスは上記のデータ管理者に限定し、全操作を記録。

バックアップ — 災害復旧のため暗号化 DB バックアップを最長 30 日保持。

監視 — 可用性・セキュリティ監視のための構造化ログとインフラメトリクス。

データ保持期間

保持期間は Kagura Memory Cloud のソースコード backend/src/config/retention.py に定義された値と一致します。コードの値が変わった場合は本ポリシーも更新します。

Working memory — 最終アクセスから 30 日で自動削除。ただしコードに記載された昇格基準(アクセス 3 回以上 / 作成 7 日以上 / 重要度 0.7 以上 / 2 クライアント以上からアクセス)を満たすと Persistent memory に昇格します。

Persistent memory — プランに応じて保持:

  • Free プラン: 最終アクセスから 90 日で削除。
  • Pro / Enterprise プラン: プランが有効な限り無期限。

セッション記録 — 7 日。Redis で自動失効。

サインアップ許可リストのエントリactive 状態の間は保持。管理者が取り消した場合、または(将来のリリースで)スポンサーシップが失効した場合、30 日間の grace 状態を経て revoked 状態に遷移し、次回のクリーンアップで削除。

システムログ — 最長 90 日、その後削除または匿名化。

内部観測指標 — 検索品質モニタリング用データ(BM25 IDF drift logs)は最長 90 日保持。詳細および法的分類は前掲の「内部観測指標」を参照してください。

暗号化バックアップ — 最長 30 日、その後削除。

請求・税務記録 — 日本の税法が要求する期間(現行 7 年)、アカウント削除後も保持。

削除されたアカウント — アカウント削除時、個人情報は 30 日以内に主要ストレージから、さらに 90 日以内にバックアップからローテーションに応じて消去します。請求・税務記録のみ例外。

お客様の権利

GDPR、APPI、および CCPA / CPRA のうち適用されるものに基づき、以下の権利があります:

開示請求(アクセス権) — 当社が保有する個人データのコピー、およびメモリー内容のエクスポート。

訂正請求 — 不正確・不完全なデータの訂正。表示名、ロケール、タイムゾーンはプロフィールから直接編集可能。その他の項目は要請により対応。

削除請求 — アカウントと関連する個人情報の完全削除(内部観測指標も同じ連動削除の対象)。下記連絡先から請求できます。

データポータビリティ — メモリー内容をマシン可読な形式で受け取る。

処理制限 — 特定のデータ処理の一時停止。

異議申立 — 正当な利益に基づく処理への異議。

同意撤回 — 同意に基づく処理(現時点では該当なし)の撤回。

苦情申立 — データの取り扱いに不備があると判断された場合、日本の個人情報保護委員会(PPC)または EU 居住者は所在地のデータ保護機関に苦情を申し立てることができます。当社が先に対応する機会をいただけると幸いです。

EU 標準(GDPR Art. 12(3))に合わせ、原則として請求から 1 ヶ月以内に回答します。これは APPI の「遅滞なく」基準も同時に満たします。複雑な請求は最大 2 ヶ月延長する場合があり、その際は事前にお知らせします。

国際データ移転

主たる保管場所は日本です。後述の第三者サービスを利用する関係で、運用上の理由(例: CDN)により一部データが日本国外で処理されることがあります。日本 / EEA 外への移転は、必要に応じて標準契約条項 (SCCs) または十分性認定に基づいて実施します。利用者データを意図的に日本国外に保管することはありません。

第三者サービス

サービス運営のため以下の第三者サービスを利用します。必要最小限の情報のみを渡し、各サービスの機能に必要な範囲を超えるデータ共有は行いません。

GitHub (github.com) — OAuth サインイン、およびサインアップ許可リスト用のスポンサーシップ参照(将来リリース)。GitHub プライバシー: GitHub Privacy Statement

Google (google.com) — OAuth サインイン。Google プライバシー: Google Privacy Policy

クラウドインフラ — コンピュート、DB、オブジェクトストレージ、CDN。プロバイダー変更時はステータスページで告知します。

大規模言語モデルプロバイダー — OpenAI、Anthropic、Google AI、およびローカル Ollama は、お客様が明示的に該当機能(埋め込み、リランク、要約等)を利用した場合にのみ呼び出されます。リクエスト内容の取り扱いは各プロバイダーのプライバシーポリシーに従います。必要最小限のデータのみを渡し、モデル学習への使用を許諾していません。

決済処理(将来) — Stripe によるサブスクリプション請求。実装時に本ポリシーに Stripe DPA 参照を追記します。

データ保護基準を満たすプロバイダーを選定し、利用を最小限に保ちます。

Cookie

サービス運営に必要な Cookie のみを使用します:

  • kagura_session — HttpOnly, Secure, SameSite=Strict。認証維持に必須。7 日またはログアウトで失効。GDPR ePrivacy ルール上、厳密に必要な Cookie であり同意バナーは不要。

分析・広告・クロスサイトトラッキング Cookie は使用しません。これが変わる場合、非必須 Cookie の設定前に同意バナーを追加し、本節を更新します。

子どものプライバシー

本サービスは 16 歳未満(GDPR Art. 8)または日本の民法で法定代理人同意が必要な年齢に達していない方を対象としていません。該当年齢に満たない方からの個人情報収集を意図していません。該当する場合は速やかにお知らせください。削除対応します。

自動意思決定

お客様に法的または重大な影響を及ぼす自動意思決定 / プロファイリング(GDPR Art. 22)は行いません。クォータ運用・レートリミットは純粋な技術的制御であり、お客様個人について推論するものではありません。

本ポリシーの変更

本ポリシーは随時更新する可能性があります。重要な変更時には:

  • 本ページ冒頭の「最終更新」日付を更新します。
  • 登録メールアドレスに通知します(変更内容に応じて)。
  • サービス内に目立つ告知を掲載します。

重要な変更の発効日以降も継続してサービスを利用された場合、変更後のポリシーに同意したものとみなします。同意されない場合、発効日前にアカウントを削除できます。

連絡先

本プライバシーポリシーに関するお問い合わせ、または権利行使の請求:

GDPR / APPI / CCPA に基づく請求は件名に明記してください。適切にルーティングします。