プライバシーポリシー

1. データ管理者

Neural Data Studio サービス（以下「本サービス」）を通じて収集される個人データのデータ管理者は次のとおりです。

• CodeLab s.r.l.s.
• 登記上の所在地: Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia
• VAT 番号: IT17925991006
• プライバシーに関するお問い合わせ: support@neuraldatastudio.ai

CodeLab s.r.l.s. は、GDPR 第 37 条に基づくデータ保護責任者（DPO）の選任が義務付けられる場合に該当しないため、DPO を選任していません。個人データの処理に関するご質問は、上記のメールアドレスにいつでもお寄せください。

2. 処理されるデータのカテゴリ

2.1 登録データ

氏名、メールアドレス、パスワード（bcrypt ハッシュとして保存）、任意の OAuth プロバイダー（Google、Microsoft、GitHub、Apple）。

2.2 プロファイルデータ

言語、タイムゾーン、テナント内のロール、インターフェースの設定。

2.3 サービス利用データ

クエリ履歴、AI モデルに送信されたプロンプト、生成された SQL、実行結果、タイムスタンプ、トークン消費量、有効プラン。これらのデータは、クエリ履歴機能・月間クォータ・レートリミットを提供するために不可欠です。

2.4 お客様のデータベースの接続認証情報

本サービスに接続するデータベースの接続文字列および認証情報は、エンタープライズレベルの暗号化で保存時に暗号化され、専用のキーボールトで管理されます。AI モデルに送信されることも、第三者と共有されることもありません。

2.5 支払いデータ

クレジットカードデータは Stripe が独占的に処理します（§6 参照）。当社が保存するのは Stripe の顧客識別子、契約プラン、請求履歴のみです。

2.6 技術的なセキュリティログ

IP アドレス、ユーザーエージェント、API リクエストのタイムスタンプ、認証イベント、データに対して行われた操作の監査ログ。セキュリティ・不正使用の検出・診断分析に使用されます。

3. 処理の目的と法的根拠

4. データの提供

登録および契約履行に必要なデータの提供は義務的です。これらのデータがない場合、本サービスを提供することができません。商業目的のための提供は任意であり、いつでも取り消すことができます。

5. 処理方法とセキュリティ

処理は、記載された目的のために厳密に必要な期間、電子的手段を使用して行われます。当社は、以下を含む適切な技術的および組織的なセキュリティ対策を講じています。

• すべてのアプリケーショントラフィックにおける転送時の暗号化。
• 設定データベースおよびユーザー認証情報の保存時暗号化。
• ブルートフォース耐性のあるアルゴリズムによるハッシュとしてのみのパスワード保存。
• RBAC アクセス制御を備えた専用のキーボールトで保管される暗号化キー。
• 短命のセッショントークン、取り消し可能なリフレッシュトークン、MFA サポート。
• すべての機密操作に対する不変の監査ログ。
• 自動バックアップと文書化された災害復旧手順。
• 権限のある担当者への最小権限の原則の適用。

6. 副処理者

本サービスを提供するために、以下のプロバイダーを利用しています。これらのプロバイダーは GDPR 第 28 条に基づくデータ処理者として機能します。

このリストは本ポリシーの公開日時点のものです。副処理者の追加または変更を行う際は、合理的な異議申し立てができるよう、メールまたは本ページの更新版を通じて少なくとも 30 日前にお知らせします。

7. EU 域外への移転

副処理者が欧州経済領域（EEA）外でデータを処理する場合、移転は欧州委員会が承認した標準契約条項（SCC）に基づいてのみ行われます。該当する場合は、EU-US データプライバシーフレームワークに基づく認定も活用します。CodeLab s.r.l.s. はかかる保護措置の適切性を定期的に検証しています。

8. お客様のデータベースデータの処理

本サービスに接続するデータベースには、お客様のデータ（「顧客データ」）が含まれます。CodeLab s.r.l.s. はかかるデータに関してデータ処理者として機能し、お客様が開始したクエリの実行、結果の返却、AI アシスタント応答の生成のみを目的として処理します。

• 接続認証情報は保存時に暗号化され、AI モデルに送信されることはありません。
• データベースのスキーマ（テーブル名・カラム・型）は、お客様の構造に沿った SQL を生成するために読み取られ、AI モデルに送信されます。
• クエリによって返された行はお客様のブラウザに留まり、会話が保存される場合は当社のストレージにも保存されます。お客様が後続のプロンプトに明示的に含めない限り、AI モデルに転送されることはありません。
• ユーザーが承認したクエリは接続されたデータベース上で実行されます。その効果についてはユーザーが責任を負います。

9. 保持と削除

• 有効なアカウント: 契約期間中、データは保持されます。
• アカウントの削除: 識別データおよびユーザー接続は 30 日間ソフトデリートされ（リクエストに応じた復元またはエクスポートを可能にするため）、その後、本番システムから完全に削除されます。
• 集計された技術的・セキュリティログ: セキュリティ・監査・不正使用検出の目的で最大 24 ヶ月間保持されます。
• 税務および会計データ: イタリア法に基づき 10 年間保持されます。
• バックアップ: 最大 35 日間のローテーションサイクルで暗号化バックアップを実施。サイクルが終了すると、削除されたデータはバックアップからも消去されます。

10. お客様の権利

GDPR 第 15 条〜第 22 条に基づき、いつでも以下の権利を行使することができます。

• 個人データへのアクセス（第 15 条）。
• 不正確なデータの訂正（第 16 条）。
• 消去（第 17 条 — 「忘れられる権利」）。
• 処理の制限（第 18 条）。
• 構造化された形式でのデータポータビリティ（第 20 条）。
• 正当な利益に基づく処理への異議申し立て（第 21 条）。
• 重大な影響を及ぼす自動決定の対象とならない権利（第 22 条）。
• 同意に基づく処理に対する同意の撤回（以前の処理の合法性を損なうことなく）。

これらの権利を行使するには、アカウントに関連付けられたメールアドレスから support@neuraldatastudio.ai までご連絡ください。30 日以内に回答し、複雑なリクエストの場合はさらに 60 日延長することがあります。

イタリアのデータ保護当局（Garante per la Protezione dei Dati Personali）（Piazza Venezia 11, 00187 Rome – www.garanteprivacy.it）に苦情を申し立てる権利は常に保留されます。

11. Cookie および類似技術

本ウェブサイトおよびアプリケーションは、サービスの動作（認証・テーマ設定・ユーザーセッション）に厳密に必要な技術的・セッション Cookie のみを使用しています。プロファイリング Cookie やサードパーティの広告 Cookie は使用していません。

初回アクセス時には、きめ細かな選択が可能な情報バナーを表示します（必須は常時有効、アナリティクスは任意）。現在、アナリティクスプロバイダーは有効化されていません。将来的に有効化される場合は、お客様の明示的な同意のもとでのみ機能します。設定はいつでもサイトフッターの「Cookie の設定」リンクから変更できます。

Stripe は決済フロー中に技術的な Cookie を設定することがあります。これらは Stripe のドメインに限定され、Stripe のプライバシーポリシーに従って管理されます。

12. 自動処理

本サービスは、自然言語プロンプトから SQL/MQL を生成するために人工知能モデルを使用しています。これらのモデルは、お客様に対して法的または同様に重大な効果をもたらす決定を行いません。お客様は常に最終的な制御を保持し、すべての書き込みまたは DDL 操作を実行前に手動で承認します。

13. 未成年者

本サービスは 18 歳未満の方を対象としていません。当社は未成年者から意図的に個人データを収集しません。未成年者がアカウントを作成したことが判明した場合、速やかに削除いたします。

14. 本ポリシーの変更

本プライバシーポリシーは、サービスの変更・適用法・副処理者リストの変更に伴い更新されることがあります。ページ上部の日付とバージョン番号は常に最新の改訂を示しています。重要な変更がある場合は、アカウントに関連付けられたメールアドレスに通知を送付します。

15. お問い合わせ

個人データの処理に関するご質問は、support@neuraldatastudio.ai または郵送（CodeLab s.r.l.s.、Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia）までお寄せください。