最終更新: 2026年4月4日 | Last updated: April 4, 2026
本サービスにおける個人情報の管理者は、SynquoRum運営者(特定商取引法表記ページに記載)です。
The data controller is the operator of SynquoRum as identified on the Specified Commercial Transactions page.
お問い合わせ: opta.lmos@gmail.com
メールアドレス、表示名、Google OAuthプロファイル情報(名前・メール・プロフィール画像)。法的根拠: 契約の履行(GDPR第6条1項(b))。
ポイント使用履歴、プラン情報、タイムゾーン・言語設定。法的根拠: 正当な利益(GDPR第6条1項(f))。
チャット会話、議事録、決定事項、アップロードファイル、メモ、カスタム指示。法的根拠: 契約の履行。
ユーザーが入力する第三者AIサービスのAPIキー(OpenAI、Anthropic、Google、その他対応プロバイダー)。AES-256-GCMで暗号化して保存。復号はAI呼び出し時のサーバー側でのみ行い、ブラウザ・クライアントには平文で返しません。法的根拠: 契約の履行。詳しくは §4A「BYOK(Bring Your Own Key)」を参照。
Third-party AI provider API keys you enter (OpenAI, Anthropic, Google, etc.). Encrypted at rest with AES-256-GCM. Decryption only happens server-side during AI calls; keys are never returned to the browser in plaintext. Legal basis: contract. See §4A “BYOK” below for full details.
クレジットカード情報はStripeが直接処理します。当社はカード番号を保存しません。法的根拠: 契約の履行。
IPアドレスのログ保存、トラッキングCookie、広告ID、位置情報は収集しません。
収集した情報は以下の目的にのみ使用します:本サービスの提供・運営、アカウント管理、ポイント・プラン管理、カスタマーサポート、サービスの改善(匿名化・統計化した利用データのみ)、法令遵守。
当社はユーザーのチャット内容・コンテンツを、ユーザー本人の明示的な同意なくAI学習・モデルトレーニングに使用することはありません。
We do not use your chat content or user-generated content for AI model training without your explicit consent.
ただし、「研究参加プログラム」に明示的にオプトインしたユーザーのデータについては、別途定める範囲で、当社が研究開発を行う次世代AIアシスタントの学習・評価に使用する場合があります。詳細は下記 §10「研究参加プログラム」をご参照ください。
Users who have explicitly opted in to our Research Participation Program may have their data used for training and evaluating next-generation AI assistants we are developing. See §10 “Research Participation Program” below for full details.
ユーザーがチャットで送信したメッセージは、ユーザーが選択した第三者AIプロバイダーに送信されます。各AIプロバイダーのプライバシーポリシーが適用されます。当社はユーザーが選択していないAIプロバイダーにデータを送信することはありません。
Supabase(データベース・認証・ストレージ、米国)、Vercel(ホスティング、米国)、Stripe(決済、米国)。これらのサービスはGDPR準拠のデータ処理契約(DPA)を締結しています。
ユーザーが組織(チーム)に参加した場合、当該組織の他のメンバーに対し、ユーザーのメールアドレス、表示名、組織内ロール、参加日時が表示されます。これは組織管理機能の運用に必要な情報共有であり、組織外の第三者には提供されません。組織を脱退すると、その組織のメンバーリストから即時削除されます。法的根拠: 契約の履行(GDPR第6条1項(b))。
上記以外の第三者への個人情報の提供は、法令に基づく場合を除き行いません。
SynquoRumは「BYOK(Bring Your Own Key)」モデルを採用しています。すなわち、AIサービスへのアクセスはユーザー自身のAPIキーを通じて行われ、当社がAIトークンを再販することはありません。
SynquoRum operates on a “Bring Your Own Key” (BYOK) model. AI access is performed using your own API keys with each AI provider; we do not resell AI tokens.
チャット・議論・オーケストレーション・自動タスク機能でユーザーが送信したプロンプトおよび添付ファイルは、ユーザー自身が選択したAIプロバイダー(例: OpenAI、Anthropic、Google、Cohere等)のAPIエンドポイントに送信されます。送信先の選択権は常にユーザーに帰属します。ユーザーが選択していないプロバイダーに送信されることはありません。
Prompts and attachments you send via chat, discussion, orchestration, or autonomous tasks are forwarded to the AI provider endpoint(s) you explicitly selected (e.g. OpenAI, Anthropic, Google, Cohere). We never send your content to a provider you did not select.
送信後のデータ取り扱い(保持期間、学習利用の有無、テレメトリ等)は各AIプロバイダーのプライバシーポリシー・利用規約に従います。ユーザーは利用前に各プロバイダーのポリシーを確認する責任を負います。各社の一般的な方針の概要:
OpenAI: API経由での入力データは、デフォルトではモデル学習に使用されません(2023年3月以降のポリシー)。詳細: openai.com/policies
Anthropic: API経由での入力データはモデル学習に使用されません。詳細: anthropic.com/privacy
Google (Gemini API): API経由での有料ティア入力は、デフォルトではモデル学習に使用されません。無料ティアは異なる場合があります。詳細: ai.google.dev/gemini-api/terms
These summaries may not reflect the latest terms; please consult each provider's current policy before use.
ユーザーが登録したAPIキーは、サーバー側でAES-256-GCM方式により暗号化された状態でSupabaseデータベースに保存されます。復号用マスターキーは環境変数として別管理されており、データベース単体への不正アクセスが発生した場合でもキーは復号できません。ブラウザ・クライアント側への平文キー返却は行いません。
Your API keys are encrypted with AES-256-GCM before being stored in the Supabase database. The master encryption key is held in a separate environment variable. Keys are decrypted only server-side at AI-call time and are never returned to the browser in plaintext.
登録されたAPIキーは、設定画面からいつでも削除できます。削除操作により、データベース上の暗号化済みレコードが即時削除されます。アカウント削除時にも、保持していたすべてのAPIキーが削除されます。
You can delete registered API keys at any time from the settings page. Deletion immediately removes the encrypted record from the database. Account deletion also removes all stored API keys.
SynquoRumは、APIキーの保管・暗号化・選択プロバイダーへの転送のみを行います。AIプロバイダー側でのデータ処理、プロバイダー側の課金、APIキー漏洩時のユーザー自身のプロバイダーアカウントでの利用影響については、ユーザーと各AIプロバイダーの間の契約関係に従います。
SynquoRum's role is limited to securely storing, encrypting, and forwarding your API keys to the provider you selected. Provider-side data processing, provider-side billing, and the consequences of a key leak on your provider account are governed by the contract between you and that provider.
ユーザーデータは米国に所在するサーバー(Supabase / Vercel)に保存されます。EU/EEAからのデータ移転は、欧州委員会の十分性認定または標準契約条項(SCC)に基づいて行われます。
アカウントデータ: アカウント削除要求から30日以内に完全削除。チャット・コンテンツ: アカウント削除と同時に削除。ポイント使用ログ: アカウント削除から90日後に削除。バックアップからの削除: 最大30日。
GDPR、CCPA、個人情報保護法に基づき、ユーザーは以下の権利を有します:
アクセス権: 当社が保有するユーザーの個人情報の開示を請求できます。
訂正権: 不正確な個人情報の訂正を請求できます。
削除権(忘れられる権利): 個人情報の削除を請求できます。
処理制限権: 特定の条件下で処理の制限を請求できます。
データポータビリティ権: 構造化された機械可読形式でデータの移転を請求できます。
異議申立権: 正当な利益に基づく処理に異議を申し立てることができます。
同意撤回権: 同意に基づく処理について、いつでも同意を撤回できます。
CCPA固有の権利(カリフォルニア州居住者): 個人情報の「販売」のオプトアウト権。当社はユーザーの個人情報を販売しません。差別禁止: 権利行使を理由としたサービスの差別的提供はしません。
権利行使のご請求: opta.lmos@gmail.com
当社は以下のセキュリティ対策を実施しています:APIキーのAES-256-GCM暗号化、Developer APIキーのSHA-256ハッシュ保存、Supabase Row Level Security (RLS)による行レベルアクセス制御、HTTPS通信の強制、Supabase Auth + JWTベースの認証、ファイルアップロードの10MB制限。
本サービスは以下の必須Cookieのみを使用します:
認証セッションCookie: Supabase Auth により発行。ユーザー識別・ログイン維持のため必須。HttpOnly + Secure + SameSite=Lax。
言語設定Cookie (NEXT_LOCALE): 選択された表示言語を記憶。有効期限1年。
タイムゾーン設定Cookie: 日時の表示に使用。有効期限1年。
Cookie同意記録Cookie (cookie_consent): ユーザーの同意状態(“essential” または “all”)を記録。有効期限1年。
分析・広告・トラッキング目的のCookieは使用しません。第三者(Google Analytics、Facebook Pixel等)によるCookieは設置していません。
SynquoRum uses only essential cookies: authentication session (Supabase Auth), language preference (NEXT_LOCALE), timezone, and consent record (cookie_consent). We do not use analytics, advertising, or third-party tracking cookies.
初回アクセス時にCookie同意バナーを表示し、「必須のみ」または「すべて許可」を選択できます。選択は cookie_consent Cookie に記録されます。同意内容はいつでも変更・撤回できます:
On first visit, a consent banner lets you pick “Essential only” or “Accept all”. You can change your choice at any time via the link above; it clears the consent record and re-opens the banner.
本サービスでは、ユーザーの明示的なオプトインに基づく「研究参加プログラム」を運営しています。本プログラムに参加するかどうかはユーザーの自由意思であり、参加しなくても通常のサービス利用に一切支障はありません。
SynquoRum operates a voluntary “Research Participation Program.” Participation is opt-in only and does not affect any other aspect of your service use.
参加ユーザーが SynquoRum 上で生成したチャット内容、議論ログ、マルチAI比較時の選択結果、オーケストレーションおよび自律タスクの実行ログ。API キー・パスワード・認証情報などの機密情報は対象外です。
Chat content, discussion logs, multi-AI comparison selections, orchestration and autonomous task execution logs generated by participating users. API keys, passwords, and credentials are NEVER included.
当社が研究開発する次世代AIアシスタントの学習・評価、および関連する研究活動に使用します。
Training and evaluation of the next-generation AI assistant we are developing, and related research activities.
学習・評価への投入前に、ユーザーID・メールアドレス・個人を特定できる記述(実名・電話番号・住所など)を除去または置換します。個人を特定できる形でのデータ利用は行いません。
User IDs, email addresses, and other personally identifying content are removed or replaced before data is used for training or evaluation. We do not use data in a form that identifies individuals.
研究参加プログラムで収集したデータを第三者に販売・譲渡することはありません。当社が社内で研究目的にのみ使用します。
Data collected under this program is never sold or transferred to third parties. It is used only by us, internally, for research purposes.
参加はサインアップ時または設定画面からの明示的なオプトインにより成立します。いつでも設定画面から停止できます。停止以降のデータは学習・評価に使用されません。停止以前に既に集計・匿名化済みのデータについては、技術的性質上、遡って除去することが困難な場合があります(GDPR第17条の例外規定に該当)。
Participation begins with an explicit opt-in at signup or via Settings. You can withdraw at any time from Settings. Data generated after withdrawal is excluded from training / evaluation. Data that has already been aggregated or anonymized before withdrawal may not be technically removable retroactively (falls under GDPR Art. 17 exceptions).
本プログラムに30日間継続して参加されたユーザーに対し、プランに関係なく一律 1,500 ポイントを一度だけ付与します。付与は1回限りで、停止・再参加しても追加付与はありません。
Users who remain continuously opted-in for 30 days receive a one-time 1,500 point grant, regardless of plan. Granted only once; opt-out/re-opt-in cycles do not re-trigger the grant.
プログラム参加・停止の履歴は当社システムに記録されます。これはGDPR・改正個人情報保護法に基づく同意取得の証跡として保持するもので、参加記録自体の削除はアカウント削除時に行われます。
Opt-in and opt-out events are logged as a consent audit trail, retained per GDPR / Japanese APPI requirements. The log itself is deleted upon account deletion.
本サービスは16歳未満の児童を対象としていません。16歳未満の方のアカウント登録が判明した場合、当該アカウントとデータを速やかに削除します。
個人データの侵害が発生した場合、GDPR第33条に基づき72時間以内に監督機関に通知します。ユーザーの権利と自由に高いリスクをもたらす場合、影響を受けるユーザーにも遅滞なく通知します。
本ポリシーを変更する場合、変更内容を本ページに掲載し、重要な変更についてはメールで30日前までに通知します。
EU/EEA居住者は、所在国のデータ保護監督機関に苦情を申し立てる権利を有します。日本居住者は、個人情報保護委員会に相談できます。