プライバシーポリシー
edu-ai-platform(以下「本サービス」)を提供する Lophorina Labs(以下「当社」)は、利用者の個人情報保護の重要性を深く認識し、個人情報の保護に関する法律(以下「個人情報保護法」)および関連する法令・ガイドラインを遵守するとともに、以下のプライバシーポリシー(以下「本ポリシー」)に従って個人情報を適切に取り扱います。
1. 本ポリシーの対象範囲および構造
本ポリシーは、当社が本サービスを通じて取り扱う個人情報の取扱いについて定めるものです。本サービスの利用者には、契約校に所属する教員および生徒、本サービスの Web サイト訪問者等が含まれます。
本サービスは、当社と契約校との間で締結される学校利用契約に基づき提供されます。当該契約に基づき、教員および生徒の個人情報に関しては、契約校が個人情報取扱事業者として一次的な責任を負い、当社は契約校からの委託を受けて個人情報を取り扱います。したがって、教員・生徒の個人情報に関する開示・訂正・利用停止等の請求は、原則として契約校を経由して行っていただきます。当社は契約校と連携してこれに対応します。
ただし、本サービスの Web サイトに直接お問い合わせいただく場合や、教員が個人的に当社と連絡を取る場合など、当社が直接取得した情報については、当社が個人情報取扱事業者として本ポリシーに従い取り扱います。
2. 事業者情報
| 項目 | 内容 |
|---|---|
| 事業者名 | Lophorina Labs |
| 所在地 | 〒141-0021 東京都品川区上大崎3丁目14番34号 プラスワン402 |
| 代表者氏名 | 岩井優士 |
| 個人情報取扱責任者 | 岩井優士 |
| 連絡先 | privacy@lophorina-labs.com |
3. 取得する情報
3.1 教員から取得する情報
- メールアドレス(ログインおよび連絡のため、必須)
- 氏名・所属学校名(サービス内での識別のため、任意入力)
- Google アカウントを利用したログインを選択された場合、Google 社から提供される氏名・メールアドレス・プロフィール画像等の基本情報
- 認証情報(パスワード認証を選択された場合、Supabase Auth が暗号化して保存するパスワードハッシュ。当社は平文パスワードを保有しません)
- 教員が本サービス上で作成・アップロードしたコンテンツ(教材本文、PDF、OCR 抽出テキスト、授業設計、AI との対話履歴、方針書、授業構成案、テスト問題、採点基準、授業メモ等)
3.2 生徒から取得する情報
- メールアドレス・氏名(学校から配布されたアカウントまたは Google アカウントによるログイン時)
- 認証情報(Supabase Auth が暗号化して管理)
- チューターAI への質問内容およびAI の応答内容
- セッション識別子(同一ブラウザ内での連続した質問を紐付けるため、ブラウザ内で生成される擬似 ID)
- IP アドレスのハッシュ値(生の IP アドレスは保存せず、日次で切り替わるソルトを付与した sha256 ハッシュ値のみを記録。利用状況の統計および同一生徒による連続利用の検知にのみ使用)
- 生徒識別ハッシュ値(生徒の認証情報から、固定ソルトを付与した sha256 ハッシュ値として導出される擬似 ID。質問ログに紐付けて保持されますが、当該ハッシュ値から生徒本人を逆引きすることは暗号学的に困難であり、質問ログ単独では生徒本人を特定できない設計となっています。生徒本人が自身の質問履歴を閲覧する際の照合にのみ使用)
3.3 自動的に取得する情報
- アクセスログ(アクセス日時、アクセスされた URL、HTTP ステータス、User-Agent 等の技術情報)
- Cookie および localStorage(セッション維持、会話履歴のブラウザ内一時保持)
4. 要配慮個人情報の取扱いについて
本サービスは、要配慮個人情報(病歴、犯罪歴、信条、社会的身分その他個人情報保護法第 2 条第 3 項に定める情報)の取扱いを想定しておらず、当社からそのような情報の入力を求めることはありません。
教員および生徒(契約校経由)は、本サービスのチューターAI への質問、壁打ち対話、教材アップロード、その他の入力フォームに、要配慮個人情報を入力しないようにお願いします。誤って入力された場合、当社は速やかな削除に努めますが、既に生成AI サービスへ送信された情報について完全な取消しは保証できません。
5. 利用目的
当社は、取得した個人情報を以下の目的で利用します。
- 本サービスの提供(認証、教材管理、チューターAI による応答、壁打ち対話、方針書・授業構成案・テストの生成等)
- 生徒への学習支援(教員が設定した内容に基づくチューターAI による質問応答)
- 教員による授業改善(教員が自身の教材に関する生徒質問ログを閲覧する機能の提供)。生徒の質問内容は、当該教材を担当する教員に閲覧されることがあります。
- サービスの改善・品質向上(アクセスログ分析、不具合調査、利用状況の統計。個人を特定できない形で集計して行います)
- 不正利用・濫用の防止(レート制限、月次利用上限の管理、セキュリティ対策)
- 利用者・契約校への連絡およびサポート対応
- 利用料金の請求・精算(契約校に対して)
- 法令または行政機関からの要請に基づく対応
6. 第三者提供
当社は、以下のいずれかに該当する場合を除き、利用者の個人情報を第三者に提供しません。
- あらかじめ本人の同意を得た場合
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要であって、本人の同意を得ることが困難なとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要であって、本人の同意を得ることが困難なとき
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令に定める事務の遂行に協力する必要があるとき
- 合併、会社分割、事業譲渡その他の事由による事業の承継に伴い提供される場合
7. 業務委託
当社は、本サービスの提供のため、以下の業務委託先に個人情報の取扱いを委託します。委託先との間では適切な契約を締結し、安全管理措置を講じた上で取り扱わせます。
| 委託先 | 業務内容 | 所在地 |
|---|---|---|
| Google LLC(Gemini API / Vertex AI) | 生成AI による応答処理(チューターAI、OCR、壁打ち、方針書生成、授業構成案生成、テスト設計、Web 検索補助) | 米国 |
| Supabase Inc. | データベース、認証基盤、ファイルストレージの提供 | データ保管リージョンは東京 (ap-northeast-1)。事業者所在地は米国 |
| Render Services, Inc. | バックエンド API サーバーのホスティング | 米国 |
| Vercel Inc. | 管理画面フロントエンドのホスティングおよび CDN | 米国 |
| Google LLC(Google OAuth) | ログイン認証 | 米国 |
8. 外国にある第三者への個人情報の提供
前条の業務委託に伴い、利用者の個人情報は日本国外(主に米国)に所在する事業者に移転されます。個人情報保護法第 28 条に基づき、以下の情報を提供します。
8.1 移転先の国名
米国(アメリカ合衆国)
8.2 移転先国の個人情報保護制度に関する情報
米国には、日本の個人情報保護法に相当する包括的な個人情報保護法は連邦レベルでは制定されていません。連邦法としては、児童オンラインプライバシー保護法(COPPA)、医療情報に関する HIPAA 等の分野別法制度があり、州法レベルでは California Consumer Privacy Act(CCPA / CPRA)をはじめとする各州独自の制度が存在します。
日本の個人情報保護委員会が公表する「外国における個人情報の保護に関する制度等についての調査の結果」が、各国制度の概要について最新の参考資料となります。
8.3 移転先事業者が講じる保護措置
各委託先が講じている主な保護措置は以下のとおりです。
| 委託先 | 具体的な保護措置 |
|---|---|
| Google LLC(Gemini API / Google OAuth) | Google Cloud Data Processing Addendum(DPA)締結。GDPR、CCPA 準拠。SOC 2 Type II 認証、ISO/IEC 27001 認証取得 |
| Supabase Inc. | Supabase DPA 締結。GDPR 準拠。SOC 2 Type II 認証。データ保管リージョンは東京(ap-northeast-1)に限定 |
| Render Services, Inc. | Render DPA 締結。SOC 2 Type II 認証 |
| Vercel Inc. | Vercel DPA 締結。GDPR、CCPA 準拠。SOC 2 Type II 認証 |
各社のプライバシーポリシーおよびデータ処理に関する規約は以下をご参照ください。
- Google Cloud Privacy Notice: https://cloud.google.com/terms/cloud-privacy-notice
- Google Cloud Data Processing Addendum: https://cloud.google.com/terms/data-processing-addendum
- Supabase Privacy Policy: https://supabase.com/privacy
- Supabase DPA: https://supabase.com/legal/dpa
- Render Privacy Policy: https://render.com/privacy
- Vercel Privacy Policy: https://vercel.com/legal/privacy-policy
- Vercel DPA: https://vercel.com/legal/dpa
9. 生成AI サービス利用時の取扱い
本サービスは Google 社の有料 API(Gemini API の有料プラン)を利用しています。Google 社の利用規約に基づき、有料 API に送信された利用者の入力内容および生成された出力内容は、Google 社の生成AI モデルの学習・改善には利用されません。Google 社は運用上必要な限定期間のみデータをログとして保持し、その後削除します。
Google 社の利用規約が変更され学習利用の取扱いが変わる場合は、当社は本ポリシーを改定し、法令に基づき利用者に通知します。
詳細は Google 社の以下のドキュメントをご参照ください。
- Gemini API Additional Terms of Service: https://ai.google.dev/gemini-api/terms
- Google Cloud Privacy Notice: https://cloud.google.com/terms/cloud-privacy-notice
10. 外部検索サービスへの情報送信
教員向けの「関連資料を探す」機能および壁打ち内の Web 検索統合機能を利用された場合、教員が入力した検索キーワードは以下の外部サービスに送信されます。生徒のチューターAI への質問内容および生徒の個人情報は、これらの外部サービスに送信されません。
- kindai-bungaku-search(日本文学研究メタデータ検索サービス。https://kindai-bungaku-search.onrender.com 。当社代表者が運営する関連サービスであり、本ポリシーと同等の水準で情報を取り扱います)
- Google 検索(Gemini API のグラウンディング機能経由)
11. 保存期間
| 情報の種類 | 保存期間 |
|---|---|
| 教員アカウント情報 | 退会または当該教員が所属する契約校との契約終了から 6 ヶ月後に削除 |
| 生徒アカウント情報 | 契約校との契約終了または当該生徒の卒業年度末から 6 ヶ月後に削除 |
| 教材データ(本文、OCR 結果、授業設計、方針書、構成案、テスト) | 契約期間中は保存。教員が削除操作を行った場合は 30 日間のバックアップ保持の後に完全削除 |
| 生徒の質問ログ(質問本文および AI 応答本文) | 作成日から 90 日経過後に本文を自動削除 |
| 生徒の質問ログ(メタデータ: 質問日時、教材 ID、回答応答時間等) | 当該学年度末から 1 年後に自動削除 |
| アクセスログ・操作ログ | 90 日間 |
| 支払い・請求に関する記録 | 電子帳簿保存法等の法令で定められた期間 |
契約校または本人からの削除請求があった場合、法令上の保存義務があるものを除き、請求に基づき速やかに削除します。
12. 安全管理措置
当社は、個人情報の漏えい、滅失、き損および不正アクセスを防止するため、以下の安全管理措置を講じます。
12.1 技術的措置
- 全ての通信経路は HTTPS(TLS)により暗号化
- データベースは Supabase の Row Level Security により、教員は自身が作成した教材および関連データのみにアクセスでき、他教員のデータには一切アクセスできない設計
- 認証は Supabase Auth による OAuth 2.0 または暗号化されたパスワードハッシュで実施
- 生徒の IP アドレスは保存せず、日次ソルト付き sha256 ハッシュのみ記録
- 生徒の識別情報は、質問ログに直接紐付けず、固定ソルト付き sha256 ハッシュ値として保持。質問ログ単独では生徒本人を特定できない設計
- 生徒の質問本文および AI 応答本文は、作成日から 90 日経過後に自動削除。教員による授業改善のための閲覧期間を超えた漏洩リスクを構造的に低減
- 生徒からの入力および外部 Web 検索結果に対するプロンプトインジェクション対策
- 月次利用上限によるリソース濫用防止
12.2 組織的・人的措置
- 個人情報取扱責任者の指定
- 個人情報へのアクセス権限を業務上必要最小限の範囲に制限
- Supabase の service_role キー等の管理者権限は本サービスのバックエンドのみが保有
- 個人情報の取扱いに従事する者に対する教育・監督
13. 漏えい事故等発生時の対応
個人情報の漏えい、滅失、き損、不正アクセス等の事故が発生し、かつ個人情報保護法で定める要件に該当する場合、当社は次の対応を行います。
- 事実関係の速やかな調査および影響範囲の特定
- 二次被害防止のための応急措置
- 個人情報保護委員会への報告(漏えい等を知った後、概ね 3 〜 5 日以内の速報、および 30 日以内(不正アクセスに起因する場合は 60 日以内)の確報。個人情報保護法施行規則第 7 条に基づく)
- 影響を受ける利用者への通知(契約校経由で教員・生徒に通知)
- 再発防止策の策定および実施
14. 未成年者の個人情報
本サービスは主として中学校・高等学校で使用されることを想定しており、生徒の多くは未成年者です。
未成年の生徒の個人情報の取扱いについては、契約校が、本サービスの利用に関する保護者および生徒本人への事前の周知、ならびに必要な同意の取得を行うことを前提とし、契約校からの指示に従って取り扱います。当社と契約校との間の学校利用契約においても、本件についての契約校の責務を明記します。
特に 13 歳未満の生徒が本サービスを利用する場合、当社は契約校に対し、当該生徒の保護者から明示的な同意を取得するよう依頼します。当該同意の対象範囲には、第 8 条に定める外国(米国)への個人情報移転、第 9 条に定める生成AI サービスへの入力内容の送信、および第 10 条に定める外部検索サービスへの情報送信が含まれることを、契約校が保護者に明示するものとします。当社は、契約校からの要請があれば、保護者向け説明資料(Q&A、同意書ひな型等)を提供します。
個別の生徒本人または保護者から権利の行使に関するご請求があった場合は、本人確認のうえ、契約校と連携して対応します。
15. 利用者の権利
利用者は自己の個人情報について、個人情報保護法に基づき、以下を請求することができます。
- 利用目的の通知
- 開示
- 訂正・追加・削除
- 利用停止・消去
- 第三者への提供の停止
- 第三者提供記録の開示
第 1 条に定める構造により、教員・生徒の個人情報に関する請求は、原則として契約校を経由して行っていただきます。契約校を経由することが困難な特段の事情がある場合、または当社が直接取得した情報に関する請求は、第 19 条のお問い合わせ窓口へ直接ご連絡ください。本人確認を行ったうえで、法令に基づく合理的な期間内に対応します。
なお、法令で定める場合を除き、開示・訂正等の対応に要する実費相当額を請求することがあります。
16. Cookie および localStorage の利用
本サービスは、サービス提供に必要最小限の範囲で Cookie および localStorage を使用します。
- セッション管理: Supabase Auth が発行するセッショントークンを Cookie に保存
- 会話履歴の一時保持: 生徒チャット画面において、直近の会話を localStorage に保持(ブラウザ内のみ。サーバーには送信されません)
- セッション識別子: 生徒チャット画面において、同一ブラウザでの連続質問を紐付けるための擬似 ID を localStorage に保存
利用者は、ブラウザの設定により Cookie の受け入れを拒否することができますが、その場合、本サービスの一部機能が利用できなくなる可能性があります。
17. 外部送信されるユーザー情報について(電気通信事業法第 27 条の 12 関連)
本サービスの利用にあたり、以下の外部事業者に対し、利用者に関する情報が送信されます。電気通信事業法第 27 条の 12 および関連ガイドラインに基づき、送信先・送信情報・利用目的を以下のとおり開示します。
| 送信先 | 送信される情報 | 利用目的 | 送信先プライバシーポリシー |
|---|---|---|---|
| Google LLC(Gemini API) | 教員・生徒の入力テキスト、教材本文、チャット対話履歴 | 生成AI による応答の生成、OCR 処理 | https://cloud.google.com/terms/cloud-privacy-notice |
| Google LLC(Google OAuth) | メールアドレス、Google アカウント識別子 | ログイン認証 | https://policies.google.com/privacy |
| Google LLC(Google Search、Gemini API 経由のグラウンディング) | 教員が入力した検索クエリ | Web 検索結果の取得 | https://policies.google.com/privacy |
| Supabase Inc. | 認証情報(セッショントークン、暗号化パスワードハッシュ)、メールアドレス、本サービスに保存される全データ | データベース・認証基盤・ストレージの提供 | https://supabase.com/privacy |
| Render Services, Inc. | HTTP リクエスト内容、User-Agent、接続元 IP アドレス(ログ用) | バックエンド API サーバーの実行環境提供 | https://render.com/privacy |
| Vercel Inc. | HTTP リクエスト内容、User-Agent、Cookie、接続元 IP アドレス(ログ用) | フロントエンド配信および CDN | https://vercel.com/legal/privacy-policy |
| kindai-bungaku-search(岩井優士が運営) | 教員が入力した検索キーワード(教員向け機能のみ。生徒の質問内容は送信されません) | 日本文学研究メタデータ検索 | 本サービスのプライバシーポリシーに準じる |
本サービスは、広告目的のトラッキングタグ、Web ビーコン、第三者広告ネットワーク、Google Analytics 等の外部アクセス解析ツールを使用していません。上記以外に利用者情報を外部送信することはありません。
18. 共同利用
現時点において、当社は利用者の個人情報を第三者と共同利用していません。将来において共同利用を行う場合には、個人情報保護法に従い、共同利用者の範囲、利用目的、管理責任者等を事前に本ポリシーに記載し公表します。
19. お問い合わせ窓口
個人情報の取扱いに関するお問い合わせ、開示等の請求、その他本ポリシーに関するご質問は下記までご連絡ください。
- 事業者名: Lophorina Labs
- 個人情報取扱責任者: 岩井優士
- 連絡先メールアドレス: privacy@lophorina-labs.com
- 所在地: 〒141-0021 東京都品川区上大崎3丁目14番34号 プラスワン402
20. 本ポリシーの改定
当社は、法令の改正、社会情勢の変化、またはサービスの変更に応じ、本ポリシーを改定することがあります。本ポリシーを改定する場合、改定後の内容および改定日を本サービス上で告知します。重要な変更を行う場合は、Web サイト上の告知に加えて、登録されているメールアドレス宛てに通知するか、契約校を通じて通知します。
21. 準拠法
本ポリシーの解釈および適用は、日本国の法令に従います。
22. 施行日および適用範囲
- 制定日: 2026 年 4 月 17 日
- 施行日: 2026 年 4 月 17 日
本ポリシーは 2026 年 4 月 17 日から適用されます。施行日より前に当社が取得した個人情報についても、本ポリシーに従って取り扱います。