プライバシーポリシー

1. はじめに

Makeup DNA（以下「当社」「私たち」）へようこそ。当社は、お客様の個人情報およびプライバシーの権利を保護することに努めています。本プライバシーポリシーは、お客様が当社のウェブサイト makeupdna.ai、iOSおよびAndroid向けMakeup DNAモバイルアプリ、ならびに関連サービス（以下総称して「本サービス」）をご利用になる際に、当社がどのようにお客様の情報を収集、使用、開示、保管、保護するかについて説明するものです。

本プライバシーポリシーをよくお読みください。本サービスをご利用になることにより、お客様は本ポリシーに記載されたとおりにお客様の情報が収集、使用、開示されることに同意したものとみなされます。本プライバシーポリシーの条項に同意されない場合は、本サービスへのアクセスおよびご利用をお控えください。

2. 収集する情報

当社は、お客様が本サービスとどのようにやり取りされるかに応じて、さまざまな種類の情報を収集します。

2.1 お客様が提供する個人情報

• メールアドレス： アカウント作成時またはクイズ完了時に収集します
• お支払い情報： クレジットカード情報および請求情報は、決済代行業者であるStripeおよびRevolutが直接処理・保管します。当社のサーバーには、お客様のカード番号全体を保存しません。
• 写真およびセルフィー： パーソナライズされたメイクルックを生成するためにお客様が撮影またはアップロードする画像

2.2 クイズ回答データ

パーソナライズされたビューティークイズにご回答いただく際、以下を含む回答内容を収集します。

• 年齢層
• 肌の色合いおよび肌の悩み
• 目の色
• メイクのスキルレベルおよび経験
• メイク習慣および現在お持ちの化粧品
• メイクに関する課題と目標
• メイクのシーンおよびお好みのスタイル
• チュートリアル視聴体験および好み
• メイクに関する快適さのレベルおよび目指すイメージ

2.3 自動的に収集される情報

• IPアドレス： クイズの送信時または本サービスとのやり取り時に収集されます
• ユーザーエージェント： ブラウザの種類、バージョン、およびオペレーティングシステム情報
• デバイス情報： デバイスの種類、画面解像度、およびブラウザの機能
• 利用データ： 閲覧したページ、使用した機能、ページの滞在時間、クリックパターン、およびインタラクションデータ
• リファラルデータ： 参照元URLおよび広告キャンペーン識別子を含む、当社ウェブサイトへのアクセス経路

2.4 Cookieおよびトラッキング識別子

• 認証Cookie： ログインセッションの管理に使用されます
• 広告Cookie： 広告パートナーがお客様のブラウザを識別し、広告クリックを帰属させるために設定されます
• 一時Cookie： アカウント登録フロー（例：クイズ結果とアカウントの紐付け）に使用されます

3. 情報の利用方法

当社は、収集した情報を以下の目的で使用します。

3.1 サービスの提供

• セルフィーとクイズの回答に基づき、AIを使用してパーソナライズされたメイクルックを生成する
• お客様に合わせたメイクチュートリアル、ヒント、および製品推奨を提供する
• セルフィー撮影時に、構図合わせを補助するためデバイス上で顔検出を実行する。この検出は一時的なものであり、お客様のデバイスから外部に送信されることはありません（第4条をご参照ください）。
• ユーザーアカウントの作成および管理を行う
• サブスクリプションの支払い処理および請求管理を行う

3.2 コミュニケーション

• アカウント認証のための確認コードを送信する
• 取引確認および請求書の領収書を送信する
• お客様のサポートに関するお問い合わせおよびカスタマーサービスリクエストに対応する
• 規約やポリシーの変更を含む、本サービスに関する重要な更新をお知らせする

3.3 分析および改善

• 利用傾向やパターンを監視・分析し、本サービスを改善する
• 機能およびユーザーエクスペリエンスの効果を測定する
• 不正取引や不正アクセスを検知、調査、防止する

3.4 広告およびマーケティング

• マーケティングキャンペーンの効果を測定するために広告コンバージョンを追跡する
• 広告最適化およびコンバージョントラッキングのために、ハッシュ化（匿名化）されたメールアドレスをMetaに送信する
• サブスクリプションおよび購入を特定の広告キャンペーンに帰属させる

4. 写真および顔データ

写真およびお客様の顔から得られるあらゆるデータは、機密性の高い個人情報のカテゴリーに該当し、当社は特別な注意を払って取り扱っています。本セクションでは、何が収集され、どのように利用され、誰と共有され、どの程度の期間保持されるかについて、正確に説明します。

4.1 当社が収集する顔データ

• セルフィー写真： お客様がデバイスのカメラで撮影する、またはデバイスからアップロードする静止画一枚です。ご自身の顔を使用する代わりに、あらかじめ用意されたサンプル画像を選択することもできます。当社は動画を記録することはなく、連続的な映像ストリームを取得することもありません。
• 顔の指紋（faceprint）、生体認証テンプレート、顔形状データの不取得： 当社は、faceprint、顔メッシュ（face mesh）、顔埋め込み（face embedding）、顔形状（face geometry）、生体認証識別子、その他お客様の顔から計算される一意のデータを生成、抽出、収集、または保管することはありません。当社は、本人確認、認証、識別、年齢推定、民族推定、感情分析、その他類似の目的にお客様の顔を使用することはありません。
• リアルタイム顔検出（一時的、デバイス上のみ）： セルフィー撮影中、本サービスは構図合わせを補助するためデバイス上で顔検出を実行する場合があります。たとえば、顔の輪郭ガイドを表示したり、顔がフレーム内にあることを確認したりします。この検出はすべてお客様のデバイス上（ウェブではブラウザ内、モバイルではオペレーティングシステム上）で実行され、永続的なデータは生成されず、ディスクに書き込まれることもなく、当社のサーバーや第三者に送信されることもありません。一時的な検出データは、撮影画面が閉じられた瞬間に破棄されます。

4.2 写真の撮影方法

• カメラ撮影： 本サービス内でデバイスのカメラを使用してセルフィーを直接撮影できます。カメラへのアクセスは、オペレーティングシステムまたはブラウザの標準的な権限ダイアログを通じてリクエストされ、いつでもデバイスまたはブラウザの設定から取り消すことができます。
• ファイルアップロード： お客様のデバイスのフォトライブラリから既存の写真をアップロードすることもできます。
• サンプル画像： ご自身の写真を使用されたくない場合は、あらかじめ用意されたサンプル画像を選択して、撮影を完全に省略することもできます。

4.3 写真の処理方法

• デバイス上の顔検出： 4.1に記載のとおり、撮影時のデバイス上の顔検出は一時的なものであり、お客様のデバイスから外部に送信されることはありません。
• AIメイク生成： お客様がセルフィーを送信されると、その写真は暗号化された接続を通じて、当社のAI画像生成プロバイダーであるGoogle Gemini API（Google LLC、米国によって運営）に送信されます。プロバイダーは、パーソナライズされたメイクルックおよびチュートリアルへのフィードバックを返すためにのみ画像を処理します。GoogleのAPI規約により、Gemini APIに送信されたコンテンツがGoogleのモデルの学習に使用されることはありません。
• 保管： お客様のオリジナルのセルフィーおよびAI生成画像は、業界標準の転送中暗号化（TLS）および保管時暗号化を用いて、当社のクラウドストレージインフラ（Supabase Storage、AWS上でホスト）に保管されます。

4.4 当社がお客様の顔データに対して決して行わないこと

• 当社は、お客様の写真または顔関連データを販売、貸与、ライセンス供与、または取引することはありません。
• 当社は、お客様の写真を広告主、広告ネットワーク、アナリティクスプロバイダー、またはデータブローカーと共有することはありません。
• 当社は、自社または第三者のいずれの人工知能モデルの学習にも、お客様の写真を使用することはありません。
• 当社は、本人確認、認証、識別、監視、またはプロファイリングのためにお客様の顔を使用することはありません。
• 当社は、生体認証テンプレート、faceprint、顔形状データ、顔埋め込みを抽出または保管することはありません。
• 当社は、お客様の写真を一般に公開することはありません。他のユーザーが閲覧することはできず、検索エンジンによってインデックスされることもありません。

4.5 保持および削除

• 保持期間： お客様のセルフィーおよびそこから生成されたAI画像は、保存したルックを後から確認できるよう、お客様のアカウントが存続する間、保持されます。アカウントを削除された場合、または写真の削除を具体的にご要望された場合に削除されます。
• デバイス上のデータ： リアルタイム顔検出データはまったく永続化されず、撮影操作の間のみ存在します。
• 削除方法： アプリまたはウェブサイト内でアカウントを削除（プロフィール → アカウントを削除）するか、support@makeupdna.ai までメールでご連絡いただくことで、いつでもすべての写真を削除できます。削除のご要望は速やかに処理されます。

4.6 セキュリティ対策

• 写真は、TLSで暗号化された接続を介して当社のサーバーおよびAIプロバイダーに送信されます。
• 写真は、ストレージプロバイダーにより保管時に暗号化されて保存されます。
• 写真へのアクセスは、お客様のアカウントに紐づいた認証済みリクエストに限定されています。写真は一般にインデックスされることはなく、有効な認証情報なしには取得できません。

5. サードパーティサービスおよびデータ共有

当社は、本サービスの運営に必要な以下のサードパーティサービスとお客様の情報を共有します。

5.1 決済処理

• 事業者： Stripe（Stripe, Inc.、米国）およびRevolut（Revolut Payments UAB、リトアニア）。モバイルアプリでは、アプリ内課金はApple App Store、Google Play、およびRevenueCatを通じて処理されます。
• 共有データ： メールアドレス、お支払い方法の詳細、請求先住所、取引金額
• 目的： サブスクリプションの支払い処理および継続課金の管理
• セキュリティ： StripeとRevolutはいずれも、決済セキュリティの最高水準であるPCI-DSSレベル1の認証を取得しています。

5.2 クラウドインフラ

• 事業者： Supabase（Supabase Inc.、米国、データベース・認証・ファイルストレージ）およびVercel（Vercel Inc.、米国、アプリケーションホスティングおよびサーバーレス機能）。
• 共有データ： すべてのアカウントデータ、クイズ回答、写真、認証データ
• 目的： データベースのホスティング、ユーザー認証、安全なファイル保管

5.3 AI処理

• 事業者： Google Gemini API（Google LLC、米国）。パーソナライズされたメイクアップルックおよびチュートリアルへのフィードバック生成のために使用されます。
• 共有データ： お客様のセルフィー写真、AIによって生成された画像、ルック生成に必要なクイズ回答。
• 目的： お客様の写真に基づいてAIによりパーソナライズされたメイクアップルックを生成すること。GoogleのAPI規約により、Gemini APIに送信されたコンテンツがGoogleのモデルの学習に使用されることはありません。
• 注： セルフィー撮影中の顔検出はすべてデバイス上で実行され、外部サーバーにデータが送信されることはありません。当社は、faceprintや生体認証テンプレートを生成または保管することはありません。

5.4 広告およびアナリティクス

• 事業者： コンバージョントラッキングおよび広告最適化のためのMeta PixelおよびMeta Conversions API（Meta Platforms Ireland Ltd.）、集計されたプライバシー配慮型のトラフィック分析のためのVercel Analytics（Vercel Inc.、米国）、ならびにアプリ内プロダクトアナリティクスおよびパフォーマンス監視のためのPostHog（PostHog, Inc.、米国）。TikTok、Google Ads、Google Analyticsのピクセルは使用していません。
• 共有データ： ハッシュ化されたメールアドレス、IPアドレス、ユーザーエージェント、広告クッキー識別子、購入金額、コンバージョンイベント。PostHogプロダクトアナリティクスについては、匿名化されたユーザー識別子（ランダムに割り当てられた内部IDであり、メールアドレスや直接的な個人識別情報は一切含みません）、アプリ内インタラクションイベント、画面表示、パフォーマンス指標を送信します。
• 目的： 広告効果の測定、コンバージョンの追跡、広告配信の最適化、ならびに本サービスの改善を目的としたアプリケーションのパフォーマンスおよび機能利用状況の監視
• 追跡されるイベント： ページビュー、クイズ完了、コンテンツ閲覧、決済開始、サブスクリプション完了、購入、およびアプリ内機能のインタラクション
• PostHogのデータ取り扱い： PostHogに送信されるすべてのデータは、送信前に匿名化されます。お客様の氏名、メールアドレス、写真などの個人を特定できる情報は、一切PostHogに送信されません。データは、アプリケーションの利用状況の把握、技術的問題の特定と解決、およびユーザーエクスペリエンスの全体的な向上のためにのみ処理されます。PostHogはGDPRおよび適用されるデータ保護規制に準拠して運営されています。

5.5 その他の開示

当社は、以下の場合にもお客様の情報を開示することがあります。

• 法的要件： 法律、規制、法的手続き、または政府の要請により求められた場合
• 権利の保護： 利用規約の執行、またはMakeup DNA、当社のユーザー、もしくはその他の者の権利、財産、もしくは安全を保護するため
• 事業譲渡： 合併、買収、資産売却、または倒産手続きに関連する場合。この場合、お客様に通知いたします

6. Cookieおよびトラッキング技術

当社は、お客様による本サービスのご利用に関する情報を収集・追跡するために、Cookieおよび類似のトラッキング技術を使用しています。以下の表は、当社が使用するCookieおよびトラッキング技術をまとめたものです。

Cookieはブラウザの設定から制御できます。ほとんどのブラウザでは、Cookieの拒否、既存のCookieの削除、またはCookieが設定される際の通知を受け取ることができます。なお、必須Cookieを無効にすると、ログイン状態の維持など、本サービスの特定の機能をご利用いただけなくなる場合がありますのでご注意ください。

7. データの保持

当社は、本サービスを提供し、本プライバシーポリシーに記載された目的を遂行するために必要な期間、お客様の個人情報を保持します。具体的には以下のとおりです。

• アカウントデータおよびクイズの回答： アカウントの有効期間中保持されます。アカウント削除の要求に応じて削除されます。
• 写真： アカウントの有効期間中またはお客様が削除を要求されるまで、いずれか早い方まで保持されます。
• 支払い記録： 適用される税法および会計規制で要求される期間（通常最長7年間）保持されます。
• サーバーログおよびアナリティクスデータ： 分析およびセキュリティ目的で最長12か月間保持されます。

データが不要になった場合は、安全に削除されるか、お客様と関連付けられなくなるよう匿名化されます。

8. データセキュリティ

当社は、お客様の個人情報を保護するために、以下を含む適切な技術的および組織的措置を講じています。

• TLS/SSL（HTTPS）を使用した転送中のデータの暗号化
• 業界標準の方法を使用した保管データの暗号化
• Googleサインインおよびメール確認コードに対応した安全な認証
• PCI-DSSレベル1準拠のインフラを通じた決済処理
• 不正なデータアクセスを防止するためのデータベースへのアクセス制御ポリシー
• すべての機密性の高い操作に対するサーバーサイドの検証および認可
• 広告パートナーと共有する前にメールアドレスをハッシュ化

ただし、電子的な送信や保管の方法は100%安全なものではありません。当社はお客様の個人情報の保護に努めますが、その絶対的なセキュリティを保証することはできません。アカウント資格情報のセキュリティを維持する責任はお客様にあります。

9. GDPRに基づくお客様の権利

お客様が欧州経済領域（EEA）、英国、またはスイスに所在する場合、一般データ保護規則（GDPR）および同等の法律に基づき、以下の権利を有します。

• アクセス権： 当社が保有するお客様の個人データのコピーを要求する権利があります。
• 訂正権： 不正確または不完全な個人データの訂正を要求する権利があります。
• 消去権： 一定の法的例外を除き、お客様の個人データの削除（「忘れられる権利」）を要求する権利があります。
• 処理の制限権： 特定の状況において、お客様の個人データの処理を制限するよう要求する権利があります。
• データポータビリティ権： お客様の個人データを構造化された、一般的に使用される機械可読形式で受け取り、他の管理者に転送する権利があります。
• 異議申立権： ダイレクトマーケティング目的の処理または正当な利益に基づく処理について異議を申し立てる権利があります。
• 同意撤回権： 処理が同意に基づいている場合、撤回前の同意に基づく処理の合法性に影響を与えることなく、いつでも同意を撤回する権利があります。
• 苦情申立権： お客様の居住国の監督機関に苦情を申し立てる権利があります。

これらの権利を行使するには、support@makeupdna.ai までお問い合わせください。30日以内にご対応いたします。

10. 処理の法的根拠（GDPR）

当社は、以下の法的根拠に基づいてお客様の個人データを処理します。

• 契約の履行： アカウント作成、クイズ処理、AI画像生成、およびサブスクリプション管理を含む、本サービスをお客様に提供するために必要な処理。
• 同意： AI処理のための写真のアップロードやマーケティングコミュニケーションへのオプトインなど、お客様が明示的な同意を与えた場合。
• 正当な利益： 本サービスの改善、不正防止、およびセキュリティの確保など、当社の正当な事業上の利益のために必要な処理。ただし、これらの利益がお客様の基本的権利を侵害しない場合に限ります。
• 法的義務： 税務記録の保管や法的要請への対応など、適用される法律を遵守するために必要な処理。

11. データの国際移転

当社は米国を拠点とするサービスプロバイダーを利用しているため、お客様の個人データは欧州経済領域外に移転され処理されます。具体的には：

• 米国： Stripe、Supabase、Vercel、Google（Gemini API）は米国のインフラ上でデータを処理します。
• 欧州連合（リトアニア／アイルランド）： RevolutおよびMetaは、主にEU内でデータを処理します。
• カスタマーサポートおよび業務： 当社はリトアニアに所在し、そこからデータにアクセスします。

EEA外にデータを移転する際、当社は各プロバイダーとの間で欧州委員会の標準契約条項（SCC）に依拠し、受領者が認証されている場合はEU-米国データプライバシー枠組み（Data Privacy Framework）で補完しています。導入されている保護措置の写しはお問い合わせいただくことで請求できます。

12. 児童のプライバシー

本サービスは18歳未満の方を対象としていません。当社は、18歳未満の児童から故意に個人情報を収集することはありません。保護者の方で、お子様が当社に個人情報を提供したと思われる場合は、直ちに support@makeupdna.ai までご連絡ください。18歳未満の児童から個人情報を収集したことが判明した場合、当社は速やかにその情報を削除いたします。

13. Do Not Track信号

一部のブラウザには、お客様のオンライン活動の追跡を望まないことをウェブサイトに通知する「Do Not Track」（DNT）機能が含まれています。現在、DNT信号への対応方法に関する普遍的に受け入れられた基準はありません。現時点では、当社はDNT信号に対応しておりませんが、この分野の動向を引き続き注視してまいります。

14. サードパーティリンク

本サービスには、サードパーティのウェブサイトまたはサービスへのリンクが含まれている場合があります。当社は、それらのサードパーティのプライバシー慣行またはコンテンツについて責任を負いません。お客様がアクセスされるサードパーティサイトのプライバシーポリシーをご確認いただくことをお勧めします。

15. 本プライバシーポリシーの変更

当社は、慣行、技術、法的要件、その他の要因の変化を反映するために、本プライバシーポリシーを随時更新することがあります。重要な変更があった場合は、以下の方法でお客様に通知いたします。

• 本ページに新しい「最終更新」日を付した更新済みプライバシーポリシーを掲載する
• 重要な変更について、メールでの通知を送信する（お客様のメールアドレスを把握している場合）

変更が有効になった後も引き続き本サービスをご利用になることで、改訂されたプライバシーポリシーに同意したものとみなされます。