FightConnect プライバシーポリシー

合同会社Formless（以下「当社」）は、FightConnect（以下「本サービス」）の提供にあたり、ユーザーの個人情報を以下のとおり取り扱います。本サービスをご利用いただくことで、本ポリシーに同意いただいたものとみなします。

1. 取得する個人情報

当社は、本サービスの提供にあたり以下の情報を取得します。

1-1. アカウント情報

• 氏名
• メールアドレス
• パスワード（bcryptによるハッシュ値として保存。平文では保存しません）
• 電話番号（二要素認証に使用）
• アバター画像
• Google アカウント情報（Google OAuth連携を利用した場合）

1-2. 健康・トレーニング関連データ（AI Health機能）

• 体組成データ（体重、体脂肪率等）
• 食事データ
• トレーニングデータ
• 体の写真
• AIチャットにおける会話履歴

1-3. 決済情報

• クレジットカード情報等の決済情報は、Stripe, Inc. が直接取得・管理します。当社のサーバーにはカード番号等の決済情報は保存されません。
• レッスン履歴、サブスクリプション情報、キャンセル履歴

1-4. 自動取得情報

• IPアドレス
• User-Agent（ブラウザ・端末情報）
• リクエストID（システムトレーシング用）
• Google Analytics によるアクセスログ・行動データ

2. 利用目的

• 本人確認およびアカウント管理
• 二要素認証（SMS）によるセキュリティ強化
• レッスンの予約・決済・サブスクリプション管理
• AI Health機能によるパーソナライズされた健康・トレーニングアドバイスの提供
• メールによる通知・お知らせの送信
• 不正アクセスの検知・防止
• エラー監視・サービスの安定運用
• アクセス解析・サービス改善
• カスタマーサポート対応

3. 外部サービスへのデータ提供

本サービスでは、以下の外部サービスを利用しており、各サービスに対して必要な範囲で個人情報を提供します。各サービスにおける個人情報の取り扱いは、各社のプライバシーポリシーに従います。

4. AI機能におけるデータの取り扱い

本サービスのAI Health機能では、ユーザーが入力したテキスト、体組成データ、食事データ、トレーニングデータをOpenAI社またはAnthropic社のAPIに送信し、AIによるアドバイスを生成します。

• 送信されたデータは、各社のAPI利用規約に基づき処理されます。当社はAPI経由でデータを送信しており、各社のAPIデータ利用ポリシーに基づき、ユーザーの入力データがモデルのトレーニングに使用されないことを確認しています。
• 会話履歴は当社のデータベースに保存され、サービスの継続的な利用に活用されます。
• 体の写真はAI分析のために送信されることがありますが、当社は必要最小限のデータのみを送信します。

5. 本人確認（eKYC）

本サービスでは、トレーナーとして報酬を受け取るユーザーに対し、Stripe Connect経由で本人確認（eKYC）を実施します。本人確認に必要な書類・情報はStripe社が直接取得・管理し、当社のサーバーには保存されません。

一般ユーザーに対する独自のeKYC手続きは実施していません。

6. Cookieの利用

本サービスでは、以下の目的でCookieを使用します。

6-1. 認証Cookie

• JWT（JSON Web Token）をHTTPOnly Cookieとして管理し、アクセストークンおよびリフレッシュトークンを保存します。
• HTTPOnly属性により、JavaScriptからのアクセスを防止しています。
• CSRF（クロスサイトリクエストフォージェリ）保護を実装しています。

6-2. 分析Cookie

• Google Analytics（gtag.js）がアクセス解析のためにCookieを設定します。

ブラウザの設定によりCookieを無効にすることができますが、その場合本サービスの一部機能が利用できなくなる場合があります。

7. 第三者提供

当社は、第3条に記載の外部サービスへの提供を除き、以下の場合を除いてユーザーの個人情報を第三者に提供しません。

• ユーザー本人の同意がある場合
• 法令に基づく場合
• 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

8. データの保持期間

• アカウント情報: アカウントが有効な間、および退会後30日間保持します。
• 健康・トレーニングデータ: アカウントが有効な間保持し、退会時に削除します。
• AIチャット会話履歴: アカウントが有効な間保持し、退会時に削除します。
• 決済履歴: 法令で定められた期間（最大7年間）保持します。
• アクセスログ: セキュリティおよび不正防止の目的で最大1年間保持します。

9. データの安全管理

• パスワードはbcryptによるハッシュ化を行い、平文では保存しません。
• 通信はTLS/SSLにより暗号化されています。
• 認証にはHTTPOnly Cookie + CSRF保護を採用しています。
• シークレット情報はGoogle Cloud Secret Managerで管理し、ソースコードには含めません。
• Sentryへのエラー送信時には、認証ヘッダーおよびCookieをスクラブ（除去）処理しています。

10. 開示・訂正・削除の請求

ユーザーは、個人情報の保護に関する法律に基づき、当社が保有する個人情報について以下の請求を行うことができます。

• 開示請求: 当社が保有するご自身の個人情報の開示を求めることができます。
• 訂正・追加・削除請求: 個人情報の内容が事実でない場合、訂正・追加・削除を求めることができます。
• 利用停止・消去請求: 個人情報が利用目的の範囲を超えて取り扱われている場合、利用停止・消去を求めることができます。

請求手順:

1. 以下のメールアドレスに、件名を「個人情報開示等請求」としてご連絡ください。
2. 本人確認のため、登録メールアドレスからの送信をお願いします。
3. 当社は、請求を受領してから原則30日以内に対応いたします。

連絡先: support@fightconnecting.com

11. アカウントの退会・削除

ユーザーは、本サービスの設定画面からアカウントの退会（無効化）を申請できます。退会後、第8条に定める保持期間の経過をもって、個人データを削除します。

• 退会申請後、アカウントは即時無効化されます。
• 退会後30日間は、データの復元が可能です。
• 30日経過後、個人データは完全に削除されます（法令で保持が義務付けられたデータを除く）。

12. 未成年者の利用

本サービスは18歳未満の方のご利用を想定していません。18歳未満の方が個人情報を提供したことが判明した場合、速やかに当該情報を削除します。

13. ポリシーの変更

当社は、法令の改正、サービス内容の変更、その他の必要に応じて本ポリシーを改訂することがあります。重要な変更を行う場合は、本サービス内の通知またはメールにてお知らせします。変更後のポリシーは、本ページに掲載した時点から効力を生じます。

14. お問い合わせ

本ポリシーに関するお問い合わせは、以下までご連絡ください。