PromptGuard プライバシーポリシー / Privacy Policy
最終更新日 / Last Updated: 2026年3月27日 (March 27, 2026)
本サービスは現在β版として提供しています。正式リリース時に本ポリシーを改定する可能性があります。 This service is currently provided as a beta version. This policy may be revised upon official release.
3行でわかるまとめ / Summary in 3 Lines
- カード情報は保持しません(Stripe経由で処理) / We don't store your card info (processed via Stripe)
- プロンプトはAI分析のみに使用し学習には使いません / Prompts are used only for AI analysis, never for training
- いつでもデータ削除を請求できます / You can request data deletion at any time
正本について / Authoritative Version 本文書は日本語版を正本とし、英語版は参考訳です。解釈に相違がある場合は日本語版が優先します。 The Japanese version of this document is the authoritative version. The English version is provided for reference only.
※ 現在のサービスURLは https://saa-s-build-next.replit.app です。正式ドメインへの移行時にURLを更新します。 Note: The current service URL is https://saa-s-build-next.replit.app. The URL will be updated upon migration to the official domain.
日本語版
1. はじめに
NY-squared(以下「当社」)は、当社が提供するAIプロンプトセキュリティスキャニングサービス「PromptGuard」(以下「本サービス」)におけるお客様の個人情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
本サービスをご利用いただくにあたり、お客様は本ポリシーに同意いただいたものとします。
2. 収集する情報
当社は、以下の情報を収集します。
2.1 お客様が直接提供する情報
| 情報 | 詳細 |
|---|---|
| メールアドレス | アカウント登録・認証(Magic Link)に使用 |
| プロンプトテキスト | セキュリティスキャンのために入力されたテキスト |
| 決済情報 | クレジットカード情報(Stripe経由で処理。当社はカード番号を直接保持しません) |
2.2 自動的に収集する情報
| 情報 | 詳細 |
|---|---|
| スコアリング結果 | AIによるセキュリティ診断の結果データ |
| 利用ログ | スキャン実行日時、スキャン回数、機能利用状況 |
| デバイス情報 | ブラウザ種類、OS、IPアドレス(アクセスログとして) |
2.3 収集しない情報
当社は、氏名、住所、電話番号、生年月日などの情報は収集しません。
3. 利用目的
当社は、収集した情報を以下の目的で利用します。
- 本サービスの提供・運営: プロンプトのセキュリティスキャン実行、スコアリング結果の表示・保存
- アカウント管理: ユーザー認証、利用プランの管理
- 決済処理: 有料プランの課金・請求(Stripe経由)
- サービス品質の改善: 匿名化された統計データに基づくサービス改善
- カスタマーサポート: お問い合わせへの対応
- 法令遵守: 法的義務の履行、不正利用の防止
当社は、上記の目的以外でお客様の個人情報を利用しません。
4. 第三者への情報提供
当社は、以下の場合に限り、お客様の情報を第三者に提供します。
4.1 業務委託先
| 委託先 | 提供する情報 | 目的 | 所在地 |
|---|---|---|---|
| Anthropic, PBC | プロンプトテキスト | Claude APIによるセキュリティスコアリング処理 | 米国 |
| Stripe, Inc. | 決済情報(メールアドレス含む) | 決済処理・請求管理 | 米国 |
| Supabase, Inc. | メールアドレス、スコアリング結果、利用ログ | データベースホスティング(AWS us-east-1) | 米国 |
4.2 Anthropic Claude APIへのデータ送信について
重要: 本サービスは、お客様が入力したプロンプトテキストをAnthropic社のClaude APIに送信し、セキュリティリスクのスコアリングを行います。
- お客様が本サービスを利用することにより、プロンプトテキストがAnthropic社に送信されることに同意いただいたものとします
- Anthropic社は、API経由で受信したデータをAIモデルの学習(トレーニング)に使用しないことを保証しています(Anthropic API利用規約に基づく)
- 送信されたプロンプトテキストは、スコアリング処理完了後、Anthropic社側で一定期間ログとして保持される場合があります(Anthropic社のデータ保持ポリシーに準じます)
注意: プロンプトテキストにはパスワード・APIキー・個人情報(氏名・メールアドレス・電話番号等)を含めないでください。含めた場合、Anthropic社への送信に同意したものとみなします。
初回スキャン実行時に、プロンプトテキストがAnthropic Claude APIに送信される旨の確認画面を表示します。
4.3 その他の第三者提供
以下の場合、お客様の同意なく情報を提供することがあります。
- 法令に基づく場合(裁判所の命令、捜査機関からの照会等)
- 人の生命、身体または財産の保護のために必要な場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合
上記以外で第三者に個人情報を提供することはありません。
5. データの保存と保持期間
5.1 プロンプトテキストの保存
| プラン | 保存内容 | 保持期間 |
|---|---|---|
| Free | プロンプトの先頭100文字のみ | 30日間 |
| Pro / Pro Annual | プロンプト全文 | 1年間 |
| Team | プロンプト全文 | 1年間 |
| Enterprise | プロンプト全文 | カスタム(契約に基づく) |
5.2 その他のデータ
| データ | 保持期間 |
|---|---|
| アカウント情報(メールアドレス) | アカウント削除まで |
| スコアリング結果 | プランに応じた保持期間と同一 |
| 利用ログ | 1年間 |
| 決済記録 | 法令に基づき7年間(税務上の義務) |
5.3 データの削除
保持期間の経過後、データは自動的に削除されます。お客様は、保持期間内であってもデータの削除をリクエストできます(第9条参照)。削除リクエスト受領後30日以内にアクティブデータベースから完全削除します。バックアップデータからの削除は90日以内に完了します。
5.4 将来のリアルタイム処理サービスについて
将来的にリアルタイムAPI Gateway/Proxy型サービスを追加した場合、当該サービスで処理されるデータは一時的なメモリ処理のみとし、永続的に保存しません。詳細は各サービスの個別仕様書をご参照ください。
6. データの保管場所と国際データ移転
お客様のデータは、Supabase(AWS us-east-1リージョン、米国バージニア州)に保管されます。
日本およびEU/EEAからのお客様のデータは、上記の委託先への提供に伴い米国に移転されます。当社は、以下の措置を講じてデータの安全性を確保します。
- Supabase: SOC 2 Type II認証取得済み。Row Level Security(RLS)によるデータ分離
- Stripe: PCI DSS Level 1認証取得済み
- Anthropic: エンタープライズグレードのセキュリティ対策を実施
- 通信の暗号化: 全データはTLS 1.2以上で暗号化して送受信
7. Cookieの利用
当社は、以下のCookieを使用します。
| Cookie名 | 種類 | 目的 | 有効期間 |
|---|---|---|---|
sb-*-auth-token |
必須Cookie | Supabase認証セッションの管理 | セッション終了まで |
当社は、広告目的のCookie、トラッキングCookie、第三者分析ツールのCookieは使用しません。認証に必要な最小限のCookieのみを使用します。
8. セキュリティ対策
当社は、お客様の個人情報を適切に保護するために、以下のセキュリティ対策を実施しています。
- TLS 1.2以上による通信の暗号化
- Supabase Row Level Security(RLS)によるデータアクセス制御
- Magic Link認証による安全なログイン(パスワード非使用)
- 定期的なセキュリティ監査の実施
- 保存時暗号化: データベース内の全データはAES-256による保存時暗号化(at-rest encryption)を適用しています
- 通信時暗号化: TLS 1.2以上による通信時暗号化(in-transit encryption)を適用しています
8.1 データ侵害時の通知
データ侵害が発生した場合、GDPRに基づき72時間以内に監督機関へ通知し、遅滞なく影響を受ける利用者へ通知します。日本の個人情報保護法に基づく報告義務も遵守します。
9. お客様の権利
9.1 日本の個人情報保護法に基づく権利(全てのお客様)
お客様は、当社に対して以下の請求を行うことができます。
- 利用目的の通知: 個人情報の利用目的の通知を求める権利
- 開示: 保有個人データの開示を求める権利
- 訂正・追加・削除: 内容が事実でない場合の訂正等を求める権利
- 利用停止・消去: 利用目的外での利用や不正取得があった場合の利用停止・消去を求める権利
- 第三者提供の停止: 第三者への提供の停止を求める権利
9.2 GDPRに基づく権利(EU/EEA居住者)
EU一般データ保護規則(GDPR)に基づき、EU/EEA居住のお客様は以下の追加的権利を有します。
- アクセス権 (Right of Access): ご自身のデータのコピーを取得する権利(GDPR第15条)
- 訂正権 (Right to Rectification): 不正確なデータの訂正を求める権利(GDPR第16条)
- 消去権(忘れられる権利) (Right to Erasure): データの削除を求める権利(GDPR第17条)
- 処理の制限権 (Right to Restriction of Processing): 特定の条件下でデータ処理の制限を求める権利(GDPR第18条)
- データポータビリティ権 (Right to Data Portability): 構造化された一般的に使用される機械可読形式でデータを受け取る権利(GDPR第20条)
- 異議申立権 (Right to Object): 正当な利益に基づくデータ処理に異議を唱える権利(GDPR第21条)
- 監督機関への苦情申立権: お客様の居住国のデータ保護監督機関に苦情を申し立てる権利
処理の法的根拠 (Legal Basis for Processing):
- 契約の履行(GDPR第6条1項(b)): サービス提供に必要な処理
- 同意(GDPR第6条1項(a)): プロンプトテキストのAnthropic APIへの送信
- 正当な利益(GDPR第6条1項(f)): セキュリティ対策、不正利用防止
- 法的義務(GDPR第6条1項(c)): 税務記録の保持等
9.3 CCPAに基づく権利(カリフォルニア州居住者)
カリフォルニア州消費者プライバシー法(CCPA)に基づき、カリフォルニア州居住のお客様は以下の権利を有します。
- 知る権利 (Right to Know): 収集された個人情報のカテゴリーおよび具体的な項目を知る権利
- 削除権 (Right to Delete): 個人情報の削除を要求する権利
- オプトアウト権 (Right to Opt-Out): 個人情報の「販売」のオプトアウト権。当社はお客様の個人情報を販売しません
- 非差別の権利 (Right to Non-Discrimination): 権利行使を理由に差別的な扱いを受けない権利
開示: 当社は過去12ヶ月間に以下のカテゴリーの個人情報を収集しています。
- 識別情報(メールアドレス)
- インターネットまたはネットワーク活動情報(利用ログ)
- お客様が提供した情報(プロンプトテキスト)
9.4 権利行使の方法
上記の権利行使をご希望の場合は、以下の連絡先までご連絡ください。
- メール: ny.squared2.support@gmail.com
- 件名: 「個人情報に関するリクエスト」/ "Personal Data Request"
当社は、ご本人確認の上、合理的な期間内(原則30日以内)に対応いたします。
10. AI生成コンテンツに関する免責
本サービスが提供するスコアリング結果およびセキュリティ診断レポートは、AI(Anthropic Claude)によって生成された参考情報です。
- スコアリング結果は、セキュリティリスクの完全な検出を保証するものではありません
- 診断結果は法的助言、セキュリティ監査の代替、またはコンプライアンス認証を構成するものではありません
- お客様は、スコアリング結果に基づく判断について、ご自身の責任で行うものとします
11. 未成年者の利用
本サービスは、16歳未満の方を対象としておらず、意図的に16歳未満の方の個人情報を収集することはありません。16歳未満の方が個人情報を提供したことが判明した場合、当社は速やかに当該情報を削除します。
12. 本ポリシーの改定
当社は、法令の改正、サービス内容の変更等により、本ポリシーを改定することがあります。改定した場合は、本サービス上に掲示する方法により通知いたします。重要な変更がある場合は、メールでもお知らせします。
13. お問い合わせ窓口
| 項目 | 内容 |
|---|---|
| 事業者名 | NY-squared |
| 個人情報保護管理責任者 | 新山靖龍 |
| メールアドレス | ny.squared2.support@gmail.com |
English Version
1. Introduction
NY-squared ("we," "us," or "the Company") operates the AI prompt security scanning service "PromptGuard" (the "Service"). This Privacy Policy describes how we collect, use, store, and protect your personal information when you use the Service.
By using the Service, you agree to the collection and use of information in accordance with this policy.
2. Information We Collect
2.1 Information You Provide
| Information | Details |
|---|---|
| Email Address | Used for account registration and authentication (Magic Link) |
| Prompt Text | Text you submit for security scanning |
| Payment Information | Credit card information (processed via Stripe; we do not directly store card numbers) |
2.2 Information Collected Automatically
| Information | Details |
|---|---|
| Scoring Results | AI-generated security assessment data |
| Usage Logs | Scan timestamps, scan counts, feature usage |
| Device Information | Browser type, OS, IP address (as access logs) |
2.3 Information We Do Not Collect
We do not collect names, physical addresses, phone numbers, or dates of birth.
3. How We Use Your Information
- Service Provision: Executing prompt security scans and displaying/storing scoring results
- Account Management: User authentication and plan management
- Payment Processing: Billing for paid plans (via Stripe)
- Service Improvement: Improving the Service based on anonymized statistical data
- Customer Support: Responding to inquiries
- Legal Compliance: Fulfilling legal obligations and preventing fraudulent use
4. Sharing Your Information with Third Parties
4.1 Service Providers
| Provider | Information Shared | Purpose | Location |
|---|---|---|---|
| Anthropic, PBC | Prompt text | Security scoring via Claude API | United States |
| Stripe, Inc. | Payment information (incl. email) | Payment processing | United States |
| Supabase, Inc. | Email, scoring results, usage logs | Database hosting (AWS us-east-1) | United States |
4.2 Data Transmission to Anthropic Claude API
Important: The Service sends prompt text you submit to Anthropic's Claude API for security risk scoring.
- By using the Service, you consent to your prompt text being sent to Anthropic
- Anthropic guarantees that data received via API will not be used for AI model training (per Anthropic's API Terms of Service)
- Submitted prompt text may be retained by Anthropic for a limited period as logs (per Anthropic's data retention policy)
Warning: Do not include passwords, API keys, or personal information (names, email addresses, phone numbers, etc.) in your prompt text. If you do, you are deemed to have consented to their transmission to Anthropic.
A confirmation screen will be displayed before the first scan execution, informing you that prompt text will be sent to the Anthropic Claude API.
4.3 Other Disclosures
We may disclose your information without your consent when required by law (e.g., court orders, law enforcement requests), or to protect the life, body, or property of individuals.
5. Data Retention
5.1 Prompt Text
| Plan | Storage | Retention Period |
|---|---|---|
| Free | First 100 characters only | 30 days |
| Pro / Pro Annual | Full text | 1 year |
| Team | Full text | 1 year |
| Enterprise | Full text | Custom (per contract) |
5.2 Other Data
| Data | Retention Period |
|---|---|
| Account information (email) | Until account deletion |
| Scoring results | Same as plan-based retention |
| Usage logs | 1 year |
| Payment records | 7 years (tax obligations) |
5.3 Data Deletion
Data is automatically deleted after the retention period expires. You may request data deletion before the retention period ends (see Section 9). Upon receiving a deletion request, we will completely remove data from active databases within 30 days. Deletion from backup data will be completed within 90 days.
5.4 Future Real-Time Processing Services
If we add a real-time API Gateway/Proxy service in the future, data processed by such service will be handled only in temporary memory and will not be stored persistently. Please refer to the individual service specifications for details.
6. International Data Transfers
Your data is stored on Supabase (AWS us-east-1, Virginia, United States). Data from Japan and the EU/EEA is transferred to the United States as part of our service provision.
We ensure the security of transferred data through:
- Supabase: SOC 2 Type II certified, Row Level Security (RLS)
- Stripe: PCI DSS Level 1 certified
- Anthropic: Enterprise-grade security measures
- All data transmitted via TLS 1.2+
7. Cookies
We use only essential cookies required for authentication:
| Cookie | Type | Purpose | Duration |
|---|---|---|---|
sb-*-auth-token |
Essential | Supabase authentication session | Until session ends |
We do not use advertising cookies, tracking cookies, or third-party analytics cookies.
8. Security Measures
- TLS 1.2+ encryption for all communications
- Supabase Row Level Security (RLS) for data access control
- Magic Link authentication (no passwords stored)
- Regular security audits
- At-rest encryption: All data in the database is encrypted using AES-256 at-rest encryption
- In-transit encryption: All communications are encrypted using TLS 1.2 or higher
8.1 Data Breach Notification
In the event of a data breach, we will notify the supervisory authority within 72 hours in accordance with the GDPR and will notify affected users without undue delay. We also comply with reporting obligations under Japan's Act on the Protection of Personal Information.
9. Your Rights
9.1 Rights Under Japan's Act on the Protection of Personal Information (All Users)
You may request: notification of purpose of use, disclosure, correction/addition/deletion, cessation of use/erasure, and cessation of third-party provision.
9.2 Rights Under GDPR (EU/EEA Residents)
Under the General Data Protection Regulation (GDPR), EU/EEA residents have the following rights:
- Right of Access (Art. 15): Obtain a copy of your personal data
- Right to Rectification (Art. 16): Correct inaccurate data
- Right to Erasure (Art. 17): Request deletion of your data
- Right to Restriction of Processing (Art. 18): Restrict processing under certain conditions
- Right to Data Portability (Art. 20): Receive your data in a structured, commonly used, machine-readable format
- Right to Object (Art. 21): Object to processing based on legitimate interests
- Right to Lodge a Complaint: File a complaint with your local data protection authority
Legal Basis for Processing:
- Performance of contract (Art. 6(1)(b)): Processing necessary for service provision
- Consent (Art. 6(1)(a)): Transmission of prompt text to Anthropic API
- Legitimate interests (Art. 6(1)(f)): Security measures, fraud prevention
- Legal obligation (Art. 6(1)(c)): Tax record retention
9.3 Rights Under CCPA (California Residents)
Under the California Consumer Privacy Act (CCPA), California residents have the following rights:
- Right to Know: Categories and specific pieces of personal information collected
- Right to Delete: Request deletion of personal information
- Right to Opt-Out: Opt out of the "sale" of personal information. We do not sell your personal information.
- Right to Non-Discrimination: Not be discriminated against for exercising your rights
Disclosure: In the past 12 months, we have collected the following categories of personal information:
- Identifiers (email address)
- Internet or network activity information (usage logs)
- Information you provided (prompt text)
9.4 How to Exercise Your Rights
To exercise any of the above rights, please contact us at:
- Email: ny.squared2.support@gmail.com
- Subject: "Personal Data Request"
We will verify your identity and respond within a reasonable period (generally within 30 days).
10. AI-Generated Content Disclaimer
Scoring results and security assessment reports provided by the Service are reference information generated by AI (Anthropic Claude).
- Scoring results do not guarantee complete detection of security risks
- Assessment results do not constitute legal advice, a substitute for security audits, or compliance certification
- You assume sole responsibility for decisions based on scoring results
11. Children's Privacy
The Service is not intended for individuals under 16 years of age. We do not knowingly collect personal information from children under 16.
12. Changes to This Policy
We may update this policy due to changes in applicable laws or our services. We will notify you of changes by posting on the Service. Material changes will also be communicated via email.
13. Contact Us
| Item | Details |
|---|---|
| Company | NY-squared |
| Data Protection Officer | Yoshitatsu Niiyama |
| ny.squared2.support@gmail.com |
バックアップ・災害復旧について / Backup and Disaster Recovery 当社はサービスデータの定期バックアップを実施しています。災害復旧時のRPO(目標復旧時点)およびRTO(目標復旧時間)は正式リリース時に公開します。β期間中はベストエフォートで対応します。 We perform regular backups of service data. RPO (Recovery Point Objective) and RTO (Recovery Time Objective) for disaster recovery will be published upon official release. During the beta period, recovery is provided on a best-effort basis.