プライバシーポリシー

1. 個人情報管理者

CanalAPIは日本登録の株式会社が運営しています。本プラットフォームを通じて収集されたすべての個人データは、当社が管理・処理します。登録住所および連絡先はご要望に応じてお知らせします。

2. 収集する情報

• アカウント情報：メールアドレス、表示名、パスワードハッシュ（bcrypt）。
• 請求情報：決済方法の種類、取引ID。クレジットカード番号は保存しません。決済はStripe・Alipay・WeChat Payなどの第三者サービスで処理されます。
• API使用メタデータ：リクエストのタイムスタンプ、モデルID、トークン数、レイテンシ、ステータスコード。プロンプトや補完のコンテンツは記録しません。
• 技術情報：IPアドレス（30日後にマスク）、ブラウザのUser-Agent、紹介コード。
• 通信データ：サポートチームへのメール内容。

3. 情報の利用方法

収集した情報は、CanalAPIサービスの提供・改善、決済処理、請求書発行、不正検出、取引通知の送信、および日本法に基づく法的義務の履行に使用します。個人データを第三者に販売することはありません。

4. データの保存場所

すべての個人データは日本国内のサーバーに保存されます。請求書PDFおよびデータベースバックアップは日本リージョンのクラウドストレージ（AWS S3東京またはWasabi東京）に保存されます。パフォーマンス向上のため、使用メタデータがCloudflareのグローバルエッジノードに一時的にキャッシュされる場合があります。

5. データの保存期間

アカウントデータはアカウント削除後3年間保存されます（税務・会計要件を満たすため）。API呼び出しログ（メタデータのみ）は90日間保存されます。請求書は日本の会計法に基づき7年間保存されます。

6. お客様の権利（APPI）

日本の個人情報保護法に基づき、お客様は個人情報へのアクセス、訂正、削除を請求する権利があります。また、データの利用方法の開示請求や特定の処理への異議申し立ても可能です。これらの権利を行使するには、privacy@canalapi.comまでご連絡ください。30日以内に対応いたします。

7. セキュリティ対策

当社は、業界標準のセキュリティ対策を実施しています。転送中データにはTLS 1.3を使用、機密APIクレデンシャルにはAES-256-GCM暗号化を使用、パスワードにはbcryptハッシュ（コスト係数12以上）を使用、APIキーにはSHA-256ハッシュを使用します。本番システムへのアクセスは権限を持つ担当者のみに限定され、監査ログで管理されています。

8. ポリシーの変更

プライバシーポリシーは予告なく更新される場合があります。重要な変更については、発効日の少なくとも30日前に登録ユーザーにメールで通知します。発効日以降もサービスを継続して利用した場合、更新されたポリシーに同意したものとみなします。