---
title: "Mindsのプライバシーポリシー"
description: "発効日: 2026年5月31日"
canonical_url: "https://getminds.ai/legal/ja/dataprivacy"
last_updated: "2026-06-02T02:49:31.783Z"
---

# Mindsのプライバシーポリシー

**発効日: 2026年5月31日**

このプライバシーポリシーは、**Art of X UG (haftungsbeschränkt)**（以下「私たち」または「当社」）が運営するプラットフォーム内での個人データの処理の性質、範囲、および目的に関する情報を提供します。

## 1. データ管理者

GDPRおよびその他の国内データ保護法における管理者は以下の通りです：

**Art of X UG (haftungsbeschränkt)**
Köpenicker Straße 145
10997 Berlin
Germany

Email: [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 2. データ保護責任者

外部データ保護責任者には以下の方法で連絡できます：

Prof. Dr. Norman Uhlmann
h3ko Innovations GmbH
Pappelallee 64
16359 Biesenthal
Germany

Email: [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 3. データ処理に関する一般情報

データ保護の対象は個人データです。これは、特定されたまたは特定可能な自然人（「データ主体」）に関連するすべての情報を指します。ユーザーの個人データは、一般的に、機能的なプラットフォームおよびそのコンテンツとサービスを提供するために必要な範囲でのみ処理されます。

### データ提供の義務

個人データの提供は、法的にも契約的にも要求されるものではありません。しかし、必要なデータ（登録のためのメールアドレスや名前など）を提供しない場合、当社のサービスへのアクセスを提供することはできません。登録または使用中に必須とマークされたデータは、契約の履行に必要です。このデータを提供しない場合、関連するサービスは利用できません。任意のデータの提供は自発的であり、コアサービスの利用には影響しません。

## 4. どのデータが処理され、何の目的で使用されるか

### a. ウェブサイトの提供とログファイルの作成（ホスティング）

ウェブサイトにアクセスするたびに、システムは自動的にアクセスしているコンピュータのコンピュータシステムからデータと情報を収集します。このデータはサーバーのログファイルに保存されます。収集されるデータは以下の通りです：

- 要求元コンピュータのIPアドレス
- アクセス日時
- 取得したファイルの名前とURL
- アクセス元のウェブサイト（リファラーURL）
- 使用されたブラウザおよび、該当する場合はコンピュータのオペレーティングシステム

このデータは、スムーズな接続の確立と快適なウェブサイトの利用を確保し、システムのセキュリティと安定性を評価するために処理されます。データ処理の法的根拠は、Art. 6 Para. 1 S. 1 lit. f GDPRです。正当な利益は、上記のデータ収集の目的から生じます。

ウェブサイトホスティングには、**DigitalOcean, LLC**、101 6th Ave, New York, NY 10013, USAのサービスが使用されています。当社のインフラは、EU内のフランクフルト（ドイツ）地域でホストされています。DigitalOceanとの間でデータ処理契約（DPA）が締結されています。この契約により、DigitalOceanはデータがGDPRに従って処理され、データ主体の権利が保証されることを確保します。詳細はDigitalOceanのプライバシーポリシーをご覧ください: [https://www.digitalocean.com/legal/privacy-policy](https://www.digitalocean.com/legal/privacy-policy)。

#### Cloudflare（CDN、DNSおよびセキュリティ）

**Cloudflare, Inc.**、101 Townsend St, San Francisco, CA 94107, USAは、コンテンツ配信（CDN）、DNS管理、DDoS保護、およびウェブアプリケーションのセキュリティに使用されます。当社のウェブサイトにアクセスすると、リクエストはCloudflareのネットワークを通じてルーティングされます。このプロセスで、Cloudflareはコンテンツを配信し、攻撃から保護し、パフォーマンスを最適化するために、IPアドレス、リクエストヘッダー、およびその他の接続メタデータを処理する場合があります。

この処理の法的根拠は、Art. 6 Para. 1 lit. f GDPR（正当な利益）です。当社の正当な利益は、ウェブサイトのセキュリティ、可用性、およびパフォーマンスを確保することにあります。Cloudflareとの間でデータ処理契約（DPA）が締結されています。米国へのデータ転送は、CloudflareのEU-USデータプライバシーフレームワークへの参加と標準契約条項（SCC）によってカバーされています。詳細情報: [https://www.cloudflare.com/privacypolicy/](https://www.cloudflare.com/privacypolicy/)。

### b. アカウントの登録と使用（認証およびデータベース）

プラットフォームを使用するには、ユーザーアカウントの作成が必要です。収集されるデータは以下の通りです：

- 名前
- メールアドレス
- パスワード（暗号化された形式で保存）

このデータは、アカウントを管理し、サービスへのアクセスを可能にするために必要です。この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。

認証およびユーザーデータベース管理には、**Supabase Inc.**、970 Toa Payoh North #07-04, Singapore 318992のサービスが使用されています。Supabaseはプラットフォームのバックエンドインフラを提供します。データストレージは、北EU地域（ストックホルム、`eu-north-1`）で行われます。Supabaseとの間でデータ処理契約（DPA）が締結されています。Supabaseにおけるデータ保護に関する詳細は、こちらをご覧ください: [https://supabase.com/privacy](https://supabase.com/privacy)。

### c. AI機能

AI機能の提供には、以下のサービスが使用されます：

#### OpenAI（テキスト生成、埋め込み、画像分析）

**OpenAI OpCo, LLC**、3180 18th St, San Francisco, CA 94110, USAは、テキスト生成、ユーザーコンテンツからの埋め込みの作成、音声の文字起こし（Whisper）、および画像分析に使用されます。

これらの機能を使用する際、関連データ（例：テキスト入力や分析対象のコンテンツ）はOpenAIのサーバーに送信されて処理されます。機能に必要な範囲を超えて個人データをOpenAIに送信することはなく、OpenAIによって生成された結果はSupabaseにホストされた当社のシステムに保存されます（上記参照）。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。これらの機能は提供されるサービスのコアコンポーネントです。OpenAIとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。OpenAIにおけるデータ保護に関する詳細は、こちらをご覧ください: [https://openai.com/policies/privacy-policy](https://openai.com/policies/privacy-policy)。

#### Anthropic（Claudeモデルによるテキスト生成）

**Anthropic PBC**、548 Market St, PMB 87430, San Francisco, CA 94104, USAは、Claude AIモデルを使用した高度なテキスト生成に使用されます。これらの機能を使用する際、テキスト入力やプロンプトがAnthropicのサーバーに送信されて処理されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。これらの機能は提供されるサービスのコアコンポーネントです。Anthropicとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。Anthropicにおけるデータ保護に関する詳細は、こちらをご覧ください: [https://www.anthropic.com/legal/privacy](https://www.anthropic.com/legal/privacy)。

#### Google AI（Geminiモデルによるテキスト生成）

**Google LLC**、1600 Amphitheatre Parkway, Mountain View, CA 94043, USAは、Geminiモデルを使用したテキスト生成およびAI機能に使用されます。これらの機能を使用する際、テキスト入力やプロンプトがGoogleのサーバーに送信されて処理されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。これらの機能は提供されるサービスのコアコンポーネントです。Googleとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。Googleにおけるデータ保護に関する詳細は、こちらをご覧ください: [https://policies.google.com/privacy](https://policies.google.com/privacy)。

#### ElevenLabs（音声処理）

**ElevenLabs Inc.**、20-22 Wenlock Road, London, N1 7GU, United Kingdomは、音声合成（テキストから音声）および音声の文字起こし（Scribe v1）に使用されます。音声機能を使用する際、音声データがElevenLabsに送信されて処理されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。ElevenLabsとの間でデータ処理契約が締結されています。英国へのデータ転送は、EU委員会の適合性決定（決定2021/1772）によってカバーされ、適切なデータ保護レベルが保証されます。詳細情報: [https://elevenlabs.io/privacy](https://elevenlabs.io/privacy)。

#### Black Forest Labs（画像生成）

**Black Forest Labs GmbH**、api.bfl.aiを通じてサービスを提供しており、AI画像生成（Fluxモデル）に使用されます。画像を生成する際、テキストプロンプトがBFLサーバーに送信されて処理されます。この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。Black Forest Labsはドイツに拠点を置いているため、データはEU内に留まります。Black Forest Labsとの間でデータ処理契約が締結されています。詳細情報: [https://blackforestlabs.ai/privacy-policy/](https://blackforestlabs.ai/privacy-policy/)。

#### Replicate（AIモデルインフラ）

**Replicate, Inc.**、340 S Lemon Ave #4133, Walnut, CA 91789, USAは、AI画像生成モデル（Black Forest LabsのFluxモデルを含む）を実行するためのインフラとして使用されます。画像を生成する際、テキストプロンプトがReplicateのサーバーに送信されて処理されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。これらの機能は提供されるサービスのコアコンポーネントです。Replicateとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。Replicateにおけるデータ保護に関する詳細は、こちらをご覧ください: [https://replicate.com/privacy](https://replicate.com/privacy)。

#### Langfuse（AIの可視化とプロンプト管理）

**Langfuse GmbH**、Residenzstraße 27A, 80333 München, Germanyは、AIプロンプトの管理、AIインタラクションの追跡、およびシステムの可視化に使用されます。これにより、サービスの質を向上させ、問題をデバッグするのに役立ちます。AIインタラクションに関する技術的メタデータが処理されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. f GDPR（正当な利益）です。当社の正当な利益は、サービスの質を確保し、問題をデバッグし、AI機能を改善することにあります。Langfuseはドイツに拠点を置いているため、データはEU内に留まります。Langfuseとの間でデータ処理契約が締結されています。詳細情報: [https://langfuse.com/docs/data-security-privacy](https://langfuse.com/docs/data-security-privacy)。

#### Deepgram（音声からテキストへの変換）

**Deepgram, Inc.**、548 Market St, Suite 25104, San Francisco, CA 94104, USAは、Nova-3モデルを使用したリアルタイム音声文字起こし（音声からテキスト）に使用されます。音声機能を使用する際、音声データがDeepgramのサーバーにストリーミングされて文字起こしされます。Deepgramはリアルタイムで音声を処理し、文字起こしが完了した後は音声録音を保持しません。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。音声文字起こしは提供される音声機能のコアコンポーネントです。Deepgramとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。Deepgramにおけるデータ保護に関する詳細は、こちらをご覧ください: [https://deepgram.com/privacy](https://deepgram.com/privacy)。

#### Fish Audio（音声合成とクローン）

**Hanabi AI Inc.**（Fish Audioとして運営）、131 Continental Dr, Suite 305, Newark, DE 19713, USAは、テキストから音声への音声合成および音声クローンに使用されます。音声機能を使用する際、テキストがFish Audioに送信されて音声合成が行われます。音声クローンを作成する場合、提供された音声サンプルがFish Audioに送信されて音声モデルのトレーニングに使用されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。音声合成とクローンは提供される音声機能のコアコンポーネントです。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。詳細情報: [https://fish.audio/privacy](https://fish.audio/privacy)。

### d. フロー内のコンテンツとMindsのトレーニング（ユーザーコンテンツ）

プラットフォームの中心は、ユーザーが「フロー」（共同作業スペース）内で作成し、「Minds」（AIアシスタント、以前は「Sparks」と呼ばれていた）と共有するコンテンツの処理です。これには、音声録音、テキスト、画像、またはその他の創造的な作品（「ユーザーコンテンツ」）が含まれます。

このデータは以下の目的で処理されます：

- **個人AIモデルのトレーニング（「My Mind」）：** ユーザーコンテンツは、個々の貢献に基づいて個人AIモデルを作成し、トレーニングするために使用されます。
- **一般AIモデルのトレーニング：** 明示的な同意（オプトイン）が与えられた場合、ユーザーコンテンツは当社のより大きな一般AIモデルに組み込まれるためにも使用されます。これらのモデルは商業目的で使用され、顧客に提供される場合があります。**チームユーザーへの重要な注意：** チームアカウントの一部として作成されたコンテンツや共有チームフロー内のコンテンツは、この規制から根本的に除外され、一般AIモデルのトレーニングに使用されることはありません。

個人AIモデルのトレーニングのためのユーザーコンテンツの処理は、Art. 6 Para. 1 lit. b GDPR（契約の履行）に基づいています。一般AIモデルのトレーニングのための処理は、Art. 6 Para. 1 lit. a GDPRに基づく明示的な同意のみに基づいています。

### d2. グループグラウンディングと公共配信データ

**グループグラウンディング**機能および関連するグループレベルの機能（合成パネル、グループカバー、オーディエンスシミュレーション、市場グループ）について、プラットフォームは公共に利用可能な統計および配信データを取り込み、Mindsの合成グループを現実的な実世界の配信に基づいてグラウンディングします。処理されるデータのカテゴリには以下が含まれます：

- **集計された人口統計および人口統計データ**（例：年齢、性別、職業、教育、地理的分布）で、公共の統計局、国勢調査スタイルのデータセット、および比較可能なオープンデータソースから取得されます。
- **業界、市場、および労働市場のベンチマーク**で、公共に利用可能なレポート、市場調査の要約、および業界出版物から取得されます。
- **公共ウェブコンテンツ**で、公共のソースからのグラウンディングを明示的に要求した際に、ウェブ検索プロバイダー（Tavily、セクション4.g）を通じて取得されます（例：公共プロフィールページ、企業ウェブサイト、または提出されたニュース記事）。
- **グラウンディングリクエスト自体に関する技術的メタデータ**（アカウント識別子、要求された配信パラメータ、タイムスタンプ、および結果のグループ構成）で、構成が再現可能で監査可能であることを保証します。

この処理は、研究、シミュレーション、および創造的な作業のために現実的で統計的にグラウンディングされた合成グループを生成する目的で行われます。**識別可能な自然人の個人データは、配信データ自体の一部として生成、プロファイリング、ターゲティング、または保存されることはありません**。データは集計された統計形式で処理されます。第三者の個人データを含む可能性のある入力（例：公共プロフィールへのリンク）を提出する場合、その提出の合法性についてはあなたが責任を負い、必要な権利と同意を持っていることを保証します（当社の利用規約のセクション4を参照）。

この処理の法的根拠は以下の通りです：

- **Art. 6 Para. 1 lit. b GDPR（契約の履行）**：アカウント識別子、グラウンディング構成、および提出した検索入力の処理に必要なため。
- **Art. 6 Para. 1 lit. f GDPR（正当な利益）**：公共に利用可能な集計統計の取り込みとキャッシング。私たちの正当な利益は、堅牢で再現可能かつ統計的に意味のあるグラウンディング機能を提供することにあります。ソースデータはすでに公共であり、集計されており、私たちの利益はデータ主体の権利によって上書きされることはありません。識別可能な自然人は処理されません。
- さらに、合成研究目的のための集計統計の処理は、**§ 27 BDSG**（科学的または統計的目的のための処理）によって支持されます。

**保持期間：** 集計された配信データセットは、真実の参照としての有用性がある限りキャッシュされ、ソースデータが更新されるとリフレッシュされます。グループ構成は、ユーザーのアカウントの期間と削除後30日間保持されます（セクション5を参照）。ウェブ検索プロバイダーに提出された入力は、そのプロバイダーの条件に従って保持されます（セクション4.gを参照）。

**グループグラウンディングに関与するサブプロセッサ**には、グラウンディングされた出力を生成するためのセクション4.cに記載されたAIプロバイダー、公共ウェブ検索を使用する際のTavily（セクション4.g）、および当社のホスティングおよびデータベースプロバイダー（セクション4.a–b）が含まれます。

### e. 支払い処理

有料サービスを利用する場合、契約の履行のために支払いデータが処理されます。この処理は、Art. 6 Para. 1 lit. b GDPRに基づいています。

支払い処理は、支払いサービスプロバイダーである**Stripe Payments Europe, Ltd.**、1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irelandを通じて行われます。クレジットカードデータは保存されず、直接Stripeに転送されます。Stripeは認定パートナーであり、厳格なデータ保護およびセキュリティ基準に従っています。Stripeとの間でデータ処理契約が締結されています。Stripeにおけるデータ保護に関する詳細は、こちらをご覧ください: [https://stripe.com/privacy](https://stripe.com/privacy)。

### f. モバイルアプリサービス（iOS/Android）

Mindsをモバイルアプリケーション（iOS/Android）を通じて使用する際、以下の追加サービスおよびデバイス機能が使用されます：

#### Firebase Cloud Messaging（プッシュ通知）

**Google LLC**（Firebase）、1600 Amphitheatre Parkway, Mountain View, CA 94043, USAは、デバイスへのプッシュ通知を配信するために使用されます。プッシュ通知を有効にすると、デバイストークン（デバイスの一意の識別子）が生成され、通知をルーティングするために当社のサーバーに保存されます。通知ペイロードを超えるメッセージ内容はFirebaseと共有されません。

この処理の法的根拠は、Art. 6 Para. 1 lit. a GDPR（同意）です。プッシュ通知は、明示的に許可を与えた後にのみ送信されます。この同意は、デバイスの設定で通知を無効にすることでいつでも撤回できます。Googleとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。詳細情報: [https://firebase.google.com/support/privacy](https://firebase.google.com/support/privacy)。

#### RevenueCat（アプリ内購入）

**RevenueCat, Inc.**、1032 E Brandon Blvd #3003, Brandon, FL 33511, USAは、モバイルデバイス上でのアプリ内購入およびサブスクリプションの管理に使用されます。RevenueCatは匿名化されたユーザー識別子、購入レシート、およびサブスクリプション状況を処理します。名前やメールなどの個人データはRevenueCatと共有されません。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。アプリ内購入管理は、有料サービスを提供するために必要です。RevenueCatとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。詳細情報: [https://www.revenuecat.com/privacy](https://www.revenuecat.com/privacy)。

#### ネイティブ認証（Apple/Googleサインイン）

モバイルデバイスでAppleサインインまたはGoogleサインインを使用してサインインする際、AppleまたはGoogleによって発行されたアイデンティティトークンが当社の認証サービス（Supabase）と交換され、アカウントが作成またはリンクされます。私たちは、あなたが許可した情報（通常は名前とメールアドレス）のみを受け取ります。認証情報は当社のサーバーに保存されず、安全なトークン交換を通じて処理されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。

#### デバイスの権限

モバイルアプリは、以下のデバイス機能へのアクセスを要求する場合があります：

- **マイク：** 音声モード（リアルタイム会話）に必要です。音声はDeepgramにストリーミングされて文字起こしされ、当社のサーバーには保存されません。
- **カメラ：** AI分析用のコンテンツとしてアップロードする画像をキャプチャするために使用されます。画像は、明示的にキャプチャを開始したときのみ処理されます。
- **フォトライブラリ：** アップロードするために既存の画像やファイルを選択するために使用されます。明示的に選択したファイルのみがアクセスされ、アップロードされます。

各権限は、関連機能を初めて使用する際にのみ要求されます。デバイスの設定を通じて、いつでも権限を撤回できます。この処理の法的根拠は、Art. 6 Para. 1 lit. a GDPR（同意）です。

### g. 追加のデータ処理サービス

プラットフォームは、機能を強化するために追加の専門サービスを使用します。これらのサービスは、要求された機能に必要な入力のみを処理します。

#### Tavily（ウェブ検索）

**Tavily AI**、api.tavily.comを通じてサービスを提供しており、プラットフォーム内でのウェブ検索機能を提供するために使用されます。検索機能を使用する際、検索クエリ、提出されたURL、および公共ページのスニペットがTavilyに送信されて処理される場合があります。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。ウェブ検索は提供されるサービスの機能です。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。詳細情報: [https://tavily.com/privacy](https://tavily.com/privacy)。

#### Firecrawl（ウェブ抽出およびスクリーンショット）

**Firecrawl**は、SideGuide Technologies, Inc.によって運営されており、リンクを提出したりウェブ/ソース分析を要求したりする際に、公共ウェブページやスクリーンショットを取得、抽出、視覚的に分析するために使用されます。処理されるデータには、提出されたURL、ページコンテンツ、スクリーンショット、および技術的メタデータが含まれる場合があります。

この処理の法的根拠は、要求されたソース分析に対してArt. 6 Para. 1 lit. b GDPR、ソースの品質、セキュリティ、デバッグに対してArt. 6 Para. 1 lit. f GDPRです。米国へのデータ転送は、標準契約条項に基づいています。詳細情報: [https://www.firecrawl.dev/privacy-policy](https://www.firecrawl.dev/privacy-policy)。

#### Apify（ソーシャルおよびビデオソース抽出）

**Apify Technologies s.r.o.**、チェコ共和国は、公共のソーシャルメディア、ウェブ、およびビデオのトランスクリプト/コンテンツ抽出に使用されます。提出されたURLを提供したり、Mindのソース収集を要求したりする際に処理されるデータには、提出されたURL、公共プロフィール/投稿/ビデオのメタデータ、トランスクリプト、および抽出ログが含まれる場合があります。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。

#### Serper（検索API）

**Serper**は、公共検索、画像/ビデオ検索、およびソース発見に使用されます。検索機能を要求する際、検索用語と結果メタデータが送信されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPRです。第三国へのデータ転送は、必要に応じて標準契約条項に基づいています。

#### OCR.space（光学式文字認識）

**OCR.space API**、A9t9 software GmbHによって運営され、Nordstr. 8, 87561 Oberstdorf, Germanyに所在します。OCR機能が必要な場合、アップロードされた画像や文書からテキストを抽出するために使用されます。画像データが処理のために送信されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。A9t9 software GmbHはドイツに拠点を置いているため、データはEU内に留まります。詳細情報: [https://ocr.space/privacypolicy](https://ocr.space/privacypolicy)。

#### 公開API、MCP、ブラウザ拡張機能、および外部クライアント

当社の公開API、MCPサーバー、ブラウザ拡張機能、ウィジェット、またはMindsに接続するサードパーティクライアント（例：ChatGPT、Claude、OpenRouter、Open WebUI、またはLibreChat）を使用する際、APIキー、OAuth認証コード/アクセストークン、スコープ、リクエストメタデータ、ツール呼び出し、プロンプト、コンテンツ、ウィジェット/セッション識別子、および統合を認証、ルーティング、セキュリティ、提供するために必要な監査ログが処理されます。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPRおよびArt. 6 Para. 1 lit. f GDPR（セキュリティおよび監査ログ）です。あなたが選択したサードパーティクライアントは、独自の条件に基づいてあなたのデータを独自に処理する場合があります。

#### Googleカレンダー統合

Googleカレンダーを接続すると、GoogleカレンダーAPIを使用してカレンダーイベントおよび関連メタデータを同期します。カレンダー.eventsスコープを要求し、アクセス/リフレッシュトークンを保存し、Webhookチャネルを作成し、将来のイベントメタデータと出席者を読み取り、関連するMindsを作成し、必要に応じてMindリンクでイベントの説明を更新します。データにはカレンダーID、イベントID、タイトル/説明/時間、出席者の名前/メール、Webhook識別子、トークンスコープ/有効期限、および同期状況が含まれます。

この処理の法的根拠は、Art. 6 Para. 1 lit. a GDPR（同意）およびArt. 6 Para. 1 lit. b GDPR（契約の履行）です。設定で統合を切断することができ、トークン、Webhookチャネル、および同期されたイベントはバックアップ保持に従って削除されます。

#### Twilio（SMS、WhatsApp、および音声通話）

オプションのメッセージングおよび電話機能は、**Twilio Inc.**を使用してSMS、WhatsAppの送信者管理、電話番号の提供、および音声通話メディアストリームを行います。データには、割り当てられた電話番号、発信者/送信者の番号、メッセージメタデータ/コンテンツ、通話メタデータ、および通話音声ストリームが含まれる場合があります。音声通話は、上記のDeepgramおよびFish Audioによっても処理される場合があります。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPRです。通話録音、音声クローン、または類似の機能に同意が必要な場合は、Art. 6 Para. 1 lit. a GDPRが適用されます。

### h. メールによるコミュニケーション

プラットフォーム関連のメール（例：登録確認、パスワードリセット）を送信するために、**Resend**サービスが使用されます。Resend Inc.、548 Market St PMB 95453, San Francisco, CA 94104-5401, USAが提供しています。Resendは、当社の代理でメールアドレスを処理します。

この処理の法的根拠は、Art. 6 Para. 1 lit. b GDPR（契約の履行）です。データ処理契約（DPA）がResendとの間で締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。詳細情報はResendのプライバシーポリシーに記載されています: [https://resend.com/legal/privacy-policy](https://resend.com/legal/privacy-policy)。

### i. クッキー

ウェブサイトおよびアプリでは、クッキー、ローカルストレージ、および類似の技術が使用されています。必要なストレージは、ログイン、セキュリティ、言語、同意、セッション、およびコアアプリ機能に使用されます。非必須の分析またはマーケティングクッキーおよび類似のデバイスストレージは、同意がある場合にのみ使用されます。

ドイツのユーザーに対しては、エンドデバイス上の情報へのアクセスまたは保存は、該当する場合に§ 25 TDDDGに基づいています。関連する個人データ処理は、同意に基づく分析およびマーケティングに関してはArt. 6 Para. 1 lit. a GDPRに基づき、厳密に必要なセキュリティ、詐欺防止、サービス機能に関してはArt. 6 Para. 1 lit. f GDPRに基づきます。いつでもクッキー設定を通じて同意を変更または撤回できます。ブラウザもクッキーを拒否または削除するように設定できますが、その場合、一部のコア機能が利用できなくなる可能性があります。

### j. Google Analyticsによるウェブ分析

このウェブサイトは、ウェブ分析サービスGoogle Analyticsの機能を使用しています。提供者はGoogle Ireland Limited（「Google」）、Gordon House, Barrow Street, Dublin 4, Irelandです。

Google Analyticsは、ウェブサイトの使用状況を分析するためにクッキーを使用します。このクッキーによって生成された情報は、通常、米国のGoogleサーバーに転送され、そこに保存されます。

Google Analyticsクッキーの保存およびこの分析ツールの使用は、Art. 6 Para. 1 lit. a GDPRに基づくあなたの同意に基づいています。この同意は、いつでもクッキー設定を通じて変更または撤回できます。

当社はこのウェブサイトでIP匿名化を有効にしています。その結果、あなたのIPアドレスは、EUの加盟国または欧州経済地域に関する契約国内でGoogleによって短縮され、米国に送信される前に処理されます。

当社はGoogleとの間でデータ処理契約を締結しています。

米国へのデータ転送は、EU委員会の標準契約条項に基づいています。詳細は、こちらをご覧ください: [https://privacy.google.com/businesses/controllerterms/mccs/](https://privacy.google.com/businesses/controllerterms/mccs/)。

Googleのユーザーデータの取り扱いに関する詳細は、Googleのプライバシーポリシーに記載されています: [https://support.google.com/analytics/answer/6004245](https://support.google.com/analytics/answer/6004245)。

### k. PostHogによる製品分析

当社は、**PostHog**という製品分析サービスを使用しています。提供者はPostHog, Inc.、2261 Market Street #4008, San Francisco, CA 94114, USAです。

PostHogは、ユーザーが当社のプラットフォームとどのようにインタラクトするかを理解するのに役立ち、セッションの再生を含む場合があります。永続的な分析クッキー、ローカルストレージの永続性、分析ユーザー識別、およびセッションの再生は、分析の同意がある場合にのみ使用されます。分析の同意がない場合、PostHogは永続的な分析クッキーなしで設定され、製品の信頼性、悪用防止、および合法的な範囲でのサービス改善のために制限されたクッキーなしまたはメモリ内イベントが処理される場合があります。

同意に基づく分析の法的根拠は、Art. 6 Para. 1 lit. a GDPRです。サービスに厳密に必要な限られたセキュリティ、信頼性、および悪用防止処理の法的根拠は、Art. 6 Para. 1 lit. f GDPRです。クッキー設定で同意を変更または撤回できます。

当社はPostHogとの間でデータ処理契約を締結しています。データはEU地域で処理されます。詳細情報はPostHogのプライバシーポリシーに記載されています: [https://posthog.com/privacy](https://posthog.com/privacy)。

### l. Convoy LabsによるA/Bテスト

当社は、AIエージェント構成のA/Bテストに**Convoy Labs**を使用して、AI機能の質とパフォーマンスを最適化します。AI機能とインタラクトする際、インタラクションに関する技術的メタデータ（使用されたモデル構成や応答の質に関する指標など）がConvoy Labsによって処理される場合があります。

この処理の法的根拠は、Art. 6 Para. 1 lit. f GDPR（正当な利益）です。当社の正当な利益は、AI機能の質を最適化し、改善することにあります。Convoy Labsとの間でデータ処理契約が締結されています。米国へのデータ転送は、EU委員会の標準契約条項に基づいています。技術的インタラクションメタデータを超える個人を特定できる情報はConvoy Labsと共有されません。

### m. TikTok Pixelによるコンバージョントラッキング

当社は、**TikTok Pixel**を使用しており、これはTikTok Information Technologies UK LimitedおよびTikTok Technology Limited（「TikTok」）が提供するコンバージョントラッキングツールです。TikTok Pixelは、ユーザーのアクションを追跡し、TikTokでの広告キャンペーンの効果を測定することを可能にします。

TikTok Pixelは、当社のウェブサイトに対するあなたのインタラクション（例：ページビュー、登録）に関するデータを収集し、TikTokに送信します。TikTok Pixelは、マーケティングクッキーに対する明示的な同意がある場合にのみ**有効化されます**（Art. 6 Para. 1 lit. a GDPR）。あなたはいつでも同意を撤回できます。

第三国へのデータ転送は、EU委員会の標準契約条項によって保護されています。TikTokのデータ処理に関する詳細は、こちらをご覧ください: [https://www.tiktok.com/legal/page/eea/privacy-policy/en](https://www.tiktok.com/legal/page/eea/privacy-policy/en)。

### n. X Pixelによるコンバージョントラッキング

当社は、**X Pixel**（以前のTwitter Pixel）を使用しており、これはX Corp.、1355 Market Street, Suite 900, San Francisco, CA 94103, USA（「X」）が提供するコンバージョントラッキングツールです。このツールは、Xでの広告の成功を測定するのに役立ちます。

X Pixelは、当社のウェブサイトでのアクションを追跡し、それをXに送信します。X Pixelは、マーケティングクッキーに対する明示的な同意がある場合にのみ**有効化されます**（Art. 6 Para. 1 lit. a GDPR）。あなたはいつでも同意を撤回できます。

米国へのデータ転送は、EU委員会の標準契約条項によって保護されています。Xのデータ処理に関する詳細は、こちらをご覧ください: [https://twitter.com/en/privacy](https://twitter.com/en/privacy)。

## 5. 保存期間とデータ削除

個人データは以下の期間保存されます：

<table>
<thead>
  <tr>
    <th>
      データカテゴリ
    </th>
    
    <th>
      保存期間
    </th>
    
    <th>
      理由
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      アカウントデータ（名前、メール）
    </td>
    
    <td>
      アカウントの期間 + 削除後30日
    </td>
    
    <td>
      契約の履行およびアカウントの回復
    </td>
  </tr>
  
  <tr>
    <td>
      ユーザーコンテンツ（フロー、Minds）
    </td>
    
    <td>
      アカウントの期間 + 削除後30日
    </td>
    
    <td>
      契約の履行
    </td>
  </tr>
  
  <tr>
    <td>
      グループグラウンディング構成および入力
    </td>
    
    <td>
      アカウントの期間 + 削除後30日
    </td>
    
    <td>
      契約の履行
    </td>
  </tr>
  
  <tr>
    <td>
      集計された配信データセット（個人データなし）
    </td>
    
    <td>
      定期的にリフレッシュ；機能に必要な限りキャッシュ
    </td>
    
    <td>
      正当な利益 / 統計目的
    </td>
  </tr>
  
  <tr>
    <td>
      サーバーログファイル
    </td>
    
    <td>
      90日
    </td>
    
    <td>
      セキュリティおよびデバッグ
    </td>
  </tr>
  
  <tr>
    <td>
      支払い記録
    </td>
    
    <td>
      取引後10年
    </td>
    
    <td>
      ドイツの税法（§ 147 AO）
    </td>
  </tr>
  
  <tr>
    <td>
      同意記録
    </td>
    
    <td>
      撤回後3年
    </td>
    
    <td>
      同意の証明（Art. 7 GDPR）
    </td>
  </tr>
  
  <tr>
    <td>
      コンテンツモデレーション、違法コンテンツ通知、異議申し立て、および決定記録
    </td>
    
    <td>
      最大3年；法的請求に必要な場合は長期間
    </td>
    
    <td>
      法的遵守、悪用防止、権利の執行
    </td>
  </tr>
  
  <tr>
    <td>
      分析データ
    </td>
    
    <td>
      14ヶ月
    </td>
    
    <td>
      サービス改善
    </td>
  </tr>
  
  <tr>
    <td>
      AIインタラクションログ
    </td>
    
    <td>
      90日
    </td>
    
    <td>
      品質保証およびデバッグ
    </td>
  </tr>
  
  <tr>
    <td>
      APIキー、OAuth/MCPトークン、および統合監査ログ
    </td>
    
    <td>
      アカウントの期間または撤回されるまで；監査/セキュリティログは最大3年
    </td>
    
    <td>
      契約の履行、セキュリティ、悪用防止
    </td>
  </tr>
  
  <tr>
    <td>
      Googleカレンダートークン、Webhookチャネル、および同期されたイベントメタデータ
    </td>
    
    <td>
      切断またはアカウント削除まで + 30日
    </td>
    
    <td>
      同意 / 契約の履行
    </td>
  </tr>
  
  <tr>
    <td>
      SMS/WhatsApp/音声メタデータおよび割り当てられた電話番号
    </td>
    
    <td>
      機能使用/アカウントの期間 + 30日；プロバイダーの記録はプロバイダー/法的保持に従う
    </td>
    
    <td>
      契約の履行、悪用防止
    </td>
  </tr>
  
  <tr>
    <td>
      提出されたURL、ウェブ抽出結果、スクリーンショット、およびソース検索メタデータ
    </td>
    
    <td>
      関連するMind/Flow/Groupの期間 + 30日；非個人集計ソースデータとしてキャッシュされている場合を除く
    </td>
    
    <td>
      契約の履行および再現性
    </td>
  </tr>
  
  <tr>
    <td>
      バックアップデータ
    </td>
    
    <td>
      アクティブシステムから削除後30日
    </td>
    
    <td>
      災害復旧
    </td>
  </tr>
</tbody>
</table>

**削除の権利：** アカウントおよび関連データの削除はいつでもリクエストできます。これは、直接設定の[/settings/preferences](/settings/preferences)で行うことができます。そのようなリクエストの後、個人データおよびユーザーコンテンツは30日以内にアクティブシステムから永久に削除されます。バックアップデータは、当社のバックアップ保持スケジュールに従って消去されます。データは新しいモデルのトレーニングには使用されず、既存のモデルから削除するために合理的な技術的手段が講じられます。

## 6. 自動化された意思決定とプロファイリング

当社のプラットフォームは、あなたのデータの自動処理を含むAI機能を使用しています：

### AI支援機能

当社のAI機能（フロー、Minds、グループグラウンディング）を使用する際、あなたの入力はAIモデルによって処理され、出力が生成されます。この処理は：

- **法的または同様に重要な影響を持つ自動化された意思決定を構成しません**（Art. 22 GDPR）
- あなたが要求する創造的および会話的サービスを提供するためのみに使用されます
- 法的効果を生じさせたり、あなたに重大な影響を与えたりする決定をもたらすことはありません
- あなたの制御下にあり、AIが生成した出力をどのように使用するかはあなたが決定します

### パーソナライズ

個人AIモデル（「My Mind」）を作成する場合、システムはあなたがアップロードしたコンテンツを分析してパーソナライズされたAIアシスタントを作成します。これは、あなたの明示的なリクエストと同意（Art. 6 Para. 1 lit. aおよびb GDPR）に基づいています。あなたはいつでも個人モデルを削除できます。

### コンテンツモデレーション、通知、および異議申し立て

当社は、当社の利用規約または適用法に違反するコンテンツを検出するために、自動システムおよび人間のレビューを使用する場合があります。これには、有害、違法、侵害、虐待、またはセキュリティリスクのあるコンテンツが含まれます。フラグが付けられたコンテンツは、当社のチームによってレビューされる場合があります。

ユーザーまたは第三者が違法コンテンツ通知、権利の苦情、モデレーションの異議申し立て、または異議を提出する場合、当社はリクエストを評価し、文書化するために必要な情報を処理します。これには、報告者の連絡先情報、アカウント識別子、URL/コンテンツID、提出された理由および証拠、モデレーションの決定記録、タイムスタンプ、およびフォローアップコミュニケーションが含まれる場合があります。

法的根拠は、法的に要求される場合のArt. 6 Para. 1 lit. c GDPR、サービスの整合性、悪用防止、法的防御、および権利の執行のためのArt. 6 Para. 1 lit. f GDPR、モデレーションがユーザー契約を履行または執行するために必要な場合のArt. 6 Para. 1 lit. b GDPRです。モデレーションおよび通知記録は、一般的に最大3年間保持されますが、法的請求を確立、行使、または防御するために長期間必要な場合は保持されます。

### 自動処理に関するあなたの権利

あなたには以下の権利があります：

- あなたに重大な影響を与える決定において人間の介入を得る権利
- 自分の意見を表明し、決定に異議を唱える権利
- 自動処理に関与する論理についての情報を要求する権利
- 非必須の自動処理からオプトアウトする権利

これらの権利を行使するには、[privacy@getminds.ai](mailto:privacy@getminds.ai)までご連絡ください。

## 7. EU AI法の透明性とAI生成コンテンツ

### 7.1 AIシステムの開示

Mindsプラットフォームは、規則（EU）2024/1689（「EU AI法」）の範囲内でのAI駆動プラットフォームです。2026年8月2日から透明性義務が適用されます。それまでの間、このセクションでは、AIの透明性に関する現在の開示、契約上の義務、および準備措置について説明します。

### 7.2 AIインタラクションの通知

MindまたはAIアシスタントとの最初のインタラクションの前またはその時点で、あなたが自然人ではなくAIシステムとインタラクトしていることを通知します。この通知は、アプリ内の開示、オンボーディング画面、およびユーザーインターフェース内のラベリングを通じて提供されます。必要に応じて、アカウント識別子、インタラクションのタイムスタンプ、および確認メタデータを処理して、この通知が提供されたことを文書化します。

### 7.3 ラベリングおよび機械可読なマーク

Mindsは、製品インターフェース内でAI生成出力にラベルを付け、生成メタデータ（コンテンツタイプ、作成タイムスタンプ、モデル/プロバイダー識別子など）を保存します。2026年8月2日までに、技術的に実現可能で関連フォーマット/プロバイダーによってサポートされる範囲で、エクスポートされたテキスト、音声、および画像出力のための機械可読なマークおよび出所メタデータを準備しています。

このメタデータはプロファイリングやマーケティングには使用されません。AIの起源を開示し、監査可能性をサポートし、共有/エクスポートされた出力のコンテキストを保持し、ユーザーまたは規制の透明性リクエストに応じるために使用されます。

### 7.4 合成コンテンツの開示

Mindsが実在または架空の人物のコミュニケーションスタイル、声、類似性、または行動をシミュレートする場合、またはグループグラウンディングパネルが集計スタイルの出力を生成する場合、結果として得られる出力は合成です。このようなコンテンツの人工的な起源は、目に見えるラベルおよび技術的に実現可能な場合はメタデータ/出所情報を通じて開示されます。この開示をサポートするために、Mind構成データ、グループグラウンディング構成、生成ログ、および出力メタデータを処理します。

### 7.5 法的根拠

関連するEU AI法の透明性義務が2026年8月2日に適用されるまで、透明性および出所準備処理は、サービスを提供するために必要な場合はArt. 6 Para. 1 lit. b GDPRに基づき、責任、セキュリティ、および悪用防止のためにはArt. 6 Para. 1 lit. f GDPRに基づきます。2026年8月2日以降、Art. 50 EU AI法に従って処理が必要な場合、法的根拠はArt. 6 Para. 1 lit. c GDPRになります。

### 7.6 AI透明性目的で処理されるデータ

<table>
<thead>
  <tr>
    <th>
      データカテゴリ
    </th>
    
    <th>
      目的
    </th>
    
    <th>
      保存
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      AIインタラクション通知記録
    </td>
    
    <td>
      AIシステムの開示が提供された証明
    </td>
    
    <td>
      アカウントの期間 + 3年
    </td>
  </tr>
  
  <tr>
    <td>
      生成メタデータおよび利用可能な出所データ
    </td>
    
    <td>
      AI起源のラベリング、エクスポートコンテキスト、および監査可能性
    </td>
    
    <td>
      コンテンツがプラットフォーム上に存在する限り、プラス1年
    </td>
  </tr>
  
  <tr>
    <td>
      Mindペルソナ/構成データ
    </td>
    
    <td>
      合成コンテンツの開示および悪用防止
    </td>
    
    <td>
      アカウントの期間 + 3年
    </td>
  </tr>
  
  <tr>
    <td>
      グループグラウンディング構成（配信パラメータ、使用されたソース）
    </td>
    
    <td>
      グループグラウンディング出力の合成出力開示
    </td>
    
    <td>
      アカウントの期間 + 3年
    </td>
  </tr>
  
  <tr>
    <td>
      コンテンツ生成ログ（モデル、タイムスタンプ、タイプ）
    </td>
    
    <td>
      監査可能性、デバッグ、および規制の責任
    </td>
    
    <td>
      コンテンツ作成から3年
    </td>
  </tr>
</tbody>
</table>

### 7.7 あなたの権利

GDPRの権利（セクション8を参照）に加えて、特定の出力がAIによって生成されたかどうか、どの生成/出所メタデータが利用可能かを確認することを要求できます。透明性処理が正当な利益に依存する場合、Art. 21 GDPRに基づいて異議を唱えることができます。EU AI法の義務が適用された後に法的に要求される処理からはオプトアウトできません。

## 8. データ主体の権利

データ主体には、個人データに関して以下の権利があります：

- **アクセス権**（Art. 15 GDPR）
- **訂正権**（Art. 16 GDPR）
- **削除権**（「忘れられる権利」）（Art. 17 GDPR）
- **処理の制限権**（Art. 18 GDPR）
- **データポータビリティ権**（Art. 20 GDPR）
- **異議申し立て権**（Art. 21 GDPR）

また、**同意を撤回する権利**もあり、将来に向けて効果があります（Art. 7 Para. 3 GDPR）。同意の撤回は、撤回前に行われた同意に基づく処理の合法性には影響しません。

これらの権利を行使するには、上記の連絡先にご連絡ください。

## 9. 監督当局への苦情申し立ての権利

他の行政的または司法的救済に影響を与えることなく、個人データの処理がGDPRに違反していると考えられる場合、居住国、勤務先、または違反が疑われる場所の監督当局に苦情を申し立てる権利があります（Art. 77 GDPR）。

当社に対する監督当局は以下の通りです：

**Berliner Beauftragte für Datenschutz und Informationsfreiheit**
Friedrichstr. 219
10969 Berlin
Germany
電話: +49 30 13889-0
Email: [mailbox@datenschutz-berlin.de](mailto:mailbox@datenschutz-berlin.de)
ウェブサイト: [https://www.datenschutz-berlin.de](https://www.datenschutz-berlin.de)

## 10. データセキュリティ

個人データを損失や悪用から保護するために、必要な技術的および組織的セキュリティ対策が講じられています。データは、一般にアクセスできない安全な運用環境に保存されます。データ伝送はSSL技術を使用して暗号化されます。

## 11. このプライバシーポリシーの変更

当社は、このプライバシーポリシーを適宜改訂し、常に最新の法的要件に準拠させる権利を留保します。また、新しいサービスを導入する際にプライバシーポリシーに変更を実施することがあります。その場合、新しいプライバシーポリシーは今後の訪問に適用されます。