プライバシーポリシー

本サービスの運営者（以下「当方」といいます。）は、当方が提供する NaikaQuest（以下「本サービス」といいます。）における利用者の個人情報の取扱いについて、以下のとおりプライバシーポリシー（以下「本ポリシー」といいます。）を定めます。当方は個人事業主として本サービスを運営しており、運営者の氏名は、特定商取引法に基づく表記ページに記載の方法に従い、請求があった場合に書面または電子メールにより遅滞なく開示します。

本サービスは、日本の内科専門医試験および総合内科専門医試験等の受験対策を目的とした、AIを利用した学習支援サービスです。本サービスは診療、臨床判断、医療相談または医学的助言を目的とするものではありません。

第1条（基本方針）

当方は、本サービスの提供にあたり、利用者の個人情報を適切に取り扱います。
当方は、個人情報の保護に関する法律（以下「個人情報保護法」といいます。）その他関連法令およびガイドラインを遵守します。
本ポリシーは、本サービスを利用するすべての利用者に適用されます。
利用者は、本サービスを利用することにより、本ポリシーの内容を確認し、同意したものとします。

第2条（定義）

本ポリシーにおいて「個人情報」とは、個人情報保護法第2条第1項に定める個人情報をいい、生存する個人に関する情報であって、氏名、メールアドレスその他の記述等により特定の個人を識別できる情報、または他の情報と容易に照合することにより特定の個人を識別できる情報、もしくは個人識別符号が含まれる情報をいいます。
本ポリシーにおいて「個人データ」とは、個人情報保護法第16条第3項に定める個人データをいい、個人情報データベース等を構成する個人情報をいいます。
本ポリシーにおいて「保有個人データ」とは、個人情報保護法第16条第4項に定める保有個人データをいい、当方が開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データをいいます。ただし、法令により保有個人データから除外されるものを除きます。
本ポリシーにおいて「Cookie」とは、利用者のブラウザに保存される小さな情報ファイルをいいます。

第3条（取得する情報）

当方は、本サービスの提供にあたり、以下の情報を取得します。

取得する情報	取得方法	主な利用目的	主な保存先
メールアドレス	Googleログイン時に取得	アカウント識別、連絡、認証	Supabase
表示名・氏名	Googleログイン時に取得	画面表示、アカウント管理	Supabase
GoogleアカウントID	Googleログイン時に取得	認証、ログイン管理	Supabase Auth
学習履歴	サービス利用時に自動取得	回答履歴表示、復習問題選定	Supabase
回答、正誤、回答日時、所要時間等	サービス利用時に自動取得	学習履歴管理、復習機能、品質改善	Supabase
出題回数、正答率、利用頻度等の利用統計	サービス利用時に自動取得	プラン制限管理、統計表示、品質改善	Supabase
Stripe Customer ID	有料プラン登録時にStripeから連携	サブスクリプション管理	Supabase、Stripe
Stripe Subscription情報	有料プラン登録・更新時に取得	プラン状態管理、解約・更新管理	Supabase、Stripe
決済額、決済日時、決済結果等の決済管理情報	有料プラン登録・更新時にStripeから連携	決済管理、請求管理、会計・税務処理	Supabase、Stripe
誤り報告内容	利用者が誤り報告機能を利用した場合	問題品質の改善、問い合わせ対応	Supabase
お問い合わせ内容	利用者が問い合わせを行った場合	問い合わせ対応、本人確認、トラブル対応	Supabase、メールサービス等
Cookie等	ログイン・認証セッション維持時	ログイン状態の維持、不正利用防止	Supabase Auth等
サーバーログ	サービス利用時に自動取得	障害調査、不正利用防止、セキュリティ管理	Vercel等
アクセスログ	サービス利用時に自動取得	障害調査、不正利用防止、セキュリティ管理	Vercel等
IPアドレス、ブラウザ情報、アクセス日時、リクエスト情報等	サービス利用時に自動取得	障害調査、不正利用防止、セキュリティ管理	Vercel等

※ AI API（Anthropic、Google）に送信される情報の取扱いについては、第6条をご覧ください。

第4条（取得しない情報）

当方は、原則として以下の情報を取得しません。

病歴、診療情報、診療録、検査結果その他の実際の患者情報
利用者の位置情報
利用者の住所
利用者の電話番号
クレジットカード番号、有効期限、セキュリティコード等のカード情報そのもの
本人確認書類
医師免許証、学生証その他の資格確認書類

本サービスは医師・医学生等を主な対象としますが、現時点では医師資格または学生資格の確認は行いません。

第5条（クレジットカード情報の取扱い）

有料プランの決済は、決済代行サービスであるStripeを通じて行われます。
クレジットカード番号、有効期限、セキュリティコード等のカード情報は、Stripeが直接取得・処理します。
当方は、利用者のクレジットカード番号、有効期限、セキュリティコード等を取得、閲覧、保存しません。
当方が取得または保存するのは、Stripeから連携されるCustomer ID、Subscription ID、契約状態、契約期間、決済額、決済日時、決済結果等、サブスクリプション管理および会計・税務処理に必要な情報に限られます。
Stripeは、決済業界における国際的なセキュリティ基準であるPCI DSSに準拠した決済処理を行うサービスです。

第6条（AIに送信される情報）

本サービスでは、問題生成のために、Google Gemini APIまたはAnthropic Claude API等の外部AI APIを利用する場合があります。
AI APIに送信される情報は、原則として、出題分野、疾患領域、問題形式、難易度、出題タイプ等、問題生成に必要なリクエスト情報に限られます。
当方は、利用者の氏名、メールアドレス、GoogleアカウントID、Stripe情報、学習履歴、回答履歴、正誤履歴を、AI APIに送信しません。
利用者の個別の回答内容や学習履歴は、AIモデルの学習目的で送信しません。
利用者が送信した誤り報告内容およびお問い合わせ内容は、原則としてAI APIに送信しません。ただし、利用者からの問い合わせ対応、問題品質の改善、障害調査等のために必要があり、かつ個人を識別できる情報を除去または最小化した場合には、この限りではありません。
当方は、AI APIを利用する場合、商用利用または有料APIとしての利用を前提とし、API提供事業者のデータ利用条件を確認した上で運用します。
ただし、AI API提供事業者の仕様、利用規約、データ取扱方針が変更される場合があります。その場合、当方は必要に応じて本ポリシーを更新します。

第7条（利用目的）

当方は、取得した個人情報を以下の目的で利用します。

本サービスの提供、維持、運営のため
利用者の認証、本人確認、アカウント管理のため
学習履歴の表示、回答履歴の管理、復習問題の選定のため
出題回数、利用状況、正答率等の表示および分析のため
無料プランおよび有料プランの利用制限を管理するため
有料プランの申込み、決済、請求、サブスクリプション更新、解約管理のため
Stripe Customer Portal等を通じた契約管理のため
誤り報告、問い合わせ、サポート対応のため
本サービスの品質改善、問題品質の向上、機能改善のため
統計情報の作成、利用傾向の分析のため
不正アクセス、不正利用、スクレイピング、複数アカウント作成による制限回避等を防止するため
重要なお知らせ、メンテナンス情報、規約・ポリシー変更等をサービス画面上で通知するため
障害調査、セキュリティ管理、アクセス状況の確認のため
法令、ガイドライン、行政機関または裁判所の命令に対応するため
その他、上記利用目的に付随する目的のため

第8条（統計情報の利用）

当方は、取得した情報をもとに、特定の個人を識別できない形に加工した統計情報を作成することがあります。
当方は、当該統計情報を、本サービスの改善、利用状況の分析、問題品質の向上、サービス紹介資料等に利用することがあります。
統計情報は、特定の個人を識別できない形で利用します。

第9条（第三者提供および外部委託）

当方は、法令に基づく場合を除き、利用者本人の同意なく、個人データを第三者に提供しません。
ただし、当方は、本サービスの提供に必要な範囲で、以下の外部サービス事業者に個人情報または関連情報の取扱いを委託し、または提供する場合があります。

提供・委託先	取り扱われる情報	利用目的	主な所在国・処理国
Supabase, Inc.	メールアドレス、表示名、GoogleアカウントID、学習履歴、利用統計、Stripe関連ID、誤り報告内容、お問い合わせ内容等	データベース、認証、ユーザー管理	シンガポール
Google LLC	Googleログイン時の認証情報、Googleアカウント関連情報、AI API利用時の出題リクエスト情報等	ログイン認証、問題生成	米国等
Stripe, Inc.および関連会社	メールアドレス、氏名、決済額、カード情報、契約状態、Customer ID等	決済、請求、サブスクリプション管理	米国、アイルランド等
Anthropic, PBC	出題分野、問題形式、難易度等の出題リクエスト情報	問題生成	米国等
Vercel Inc.	サーバーログ、アクセスログ、通信ログ、IPアドレス、ブラウザ情報、アクセス日時、リクエスト情報等	ホスティング、障害調査、セキュリティ管理	米国等
GitHub, Inc.	原則として利用者の個人情報は保存しません。ただし、開発・運用上必要な範囲で設定情報等が扱われる場合があります。	ソースコード管理、開発運用	米国等

上記の外部サービス事業者は、世界的に広く利用されているクラウド、決済、認証、AI、ホスティングサービスです。当方は、本サービスの安全かつ効率的な提供のため、これらの外部サービスを利用します。
当方は、外部委託先に対し、必要かつ適切な範囲で個人情報の取扱いを委託し、委託先の選定、契約条件、セキュリティ水準等を確認するよう努めます。
以下の場合には、本人の同意なく個人情報を提供することがあります。
1. 法令に基づく場合
2. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合
4. 国の機関、地方公共団体またはその委託を受けた者が法令上の事務を遂行することに協力する必要がある場合であって、本人の同意により当該事務の遂行に支障を及ぼすおそれがある場合

第10条（外国にある第三者への提供・外国での処理）

本サービスでは、Supabase、Google、Stripe、Anthropic、Vercel等の外国法人が提供するクラウドサービスを利用するため、利用者の個人情報または関連情報が、日本国外のサーバーで保存、処理、または閲覧される場合があります。
主な提供先、委託先および処理国は、以下のとおりです。

外部サービス	主な処理国・所在国	参照先
Supabase	シンガポール	https://supabase.com/privacy
Google	米国等	https://policies.google.com/privacy
Stripe	米国、アイルランド等	https://stripe.com/jp/privacy
Anthropic	米国等	https://www.anthropic.com/legal/privacy
Vercel	米国等	https://vercel.com/legal/privacy-policy

外国で処理されるといっても、利用者の情報が無制限に公開されるわけではありません。上記の外部サービス事業者は、世界的に広く利用されているクラウド、決済、認証、AI、ホスティングサービスであり、それぞれのプライバシーポリシー、セキュリティ基準、契約条件に基づいてデータを取り扱います。
当方は、個人情報保護法その他関連法令に従い、外国にある第三者への個人データの提供または外国事業者への委託が行われる場合には、必要な情報提供、同意取得、委託先管理その他必要な措置を講じるよう努めます。
利用者は、本サービスを利用することにより、本条に定める外国での保存、処理、委託または提供が行われる場合があることを確認し、同意したものとします。
利用者が希望する場合、当方は、法令上必要な範囲で、外国にある第三者における個人情報保護制度または安全管理措置に関する情報を提供します。

第11条（Cookieおよび類似技術）

本サービスでは、ログイン状態の維持、認証セッションの管理、不正利用防止等のため、Cookieまたは類似技術を使用することがあります。
本サービスでは、主にSupabase Authによる認証セッション維持のためにCookieを使用します。
現時点では、本サービスは広告Cookie、第三者トラッキングCookie、Google Analytics等のアクセス解析ツールを導入していません。
将来、Google Analyticsその他のアクセス解析ツール、広告配信ツール、マーケティングツールを導入する場合には、本ポリシーを更新し、必要に応じて利用者に通知します。
利用者は、ブラウザの設定によりCookieを無効化できます。ただし、Cookieを無効化した場合、本サービスへのログインまたは一部機能の利用ができなくなる場合があります。

第12条（安全管理措置）

当方は、個人データの漏えい、滅失、毀損、不正アクセス等を防止するため、以下の安全管理措置を講じます。

技術的安全管理措置
1. HTTPSによる通信の暗号化
2. Supabase等のクラウドサービスによるアクセス制御
3. 認証情報、APIキー、シークレット情報の適切な管理
4. 必要最小限のアクセス権限設定
5. 不正アクセス、異常利用、過剰なリクエスト等の監視
組織的安全管理措置
1. 個人情報の取扱責任者を、本サービスの運営者（当方）とします。当方は個人事業主として本サービスを運営しており、運営者の氏名は、特定商取引法に基づく表記ページに記載の方法に従い、請求があった場合に書面または電子メールにより遅滞なく開示します。
2. 個人情報へのアクセスは、サービス運営上必要な範囲に限定します。
3. 個人情報の取扱状況を必要に応じて確認します。
4. 漏えい等の事故が発生した場合の対応手順を整備するよう努めます。
物理的安全管理措置
1. 本サービスは主にクラウドサービス上で運用されます。
2. 当方が個人情報を含む端末または記録媒体を取り扱う場合には、盗難、紛失、不正閲覧を防止するための合理的な措置を講じます。
外部委託先の管理
1. 当方は、Supabase、Stripe、Google、Anthropic、Vercel等の外部サービスを利用する場合、それぞれのセキュリティ体制、プライバシーポリシー、契約条件を確認するよう努めます。
2. 外部委託先において個人情報が適切に管理されるよう、必要かつ適切な監督を行うよう努めます。

第13条（保有期間）

当方は、利用者のアカウントが有効である期間中、本サービスの提供に必要な範囲で個人情報を保有します。
利用者がアカウント削除を希望した場合、当方は、技術的に可能な範囲で速やかに当該アカウントに関連する個人情報を削除または匿名化します。
最終ログインから1年以上経過した無料プランのアカウントについて、当方は、相当の方法による告知の上、当該アカウントおよび関連する個人情報を削除することができるものとします。
ただし、以下の情報については、法令遵守、紛争対応、不正利用防止、会計・税務処理のため、必要な期間保有する場合があります。
1. 決済、請求、返金、契約に関する記録
2. サブスクリプション契約に関する記録
3. 問い合わせ、誤り報告、トラブル対応に関する記録
4. 不正利用、規約違反、セキュリティ対応に関する記録
会計・税務上必要な帳簿書類、決済記録、取引記録等については、法令上必要な期間、原則として最長7年間程度保有する場合があります。
バックアップデータについては、通常の運用サイクルに従って削除されるため、アカウント削除後も一定期間残存する場合があります。
法令上、保存義務がある情報については、アカウント削除後であっても、当該法令に従い必要な期間保存します。

第14条（利用者の権利）

利用者は、個人情報保護法に基づき、当方が保有する自己の保有個人データについて、以下の請求を行うことができます。
1. 利用目的の通知
2. 開示
3. 内容の訂正、追加または削除
4. 利用停止または消去
5. 第三者提供の停止
6. 第三者提供記録の開示
利用者が前項の請求を希望する場合、第20条のお問い合わせ窓口まで連絡してください。
当方は、請求者が本人であることを確認するため、必要な範囲で本人確認を求める場合があります。
本人確認は、登録メールアドレスへの確認メール送付、登録情報との照合その他当方が適切と判断する方法により行う場合があります。
当方は、法令に基づき、請求に応じる必要がある場合には、合理的な期間内に対応します。
以下の場合には、請求の全部または一部に応じられないことがあります。
1. 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 当方の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3. 法令に違反することとなる場合
4. 請求対象の情報が法令上の開示等の対象に該当しない場合
5. 請求者が本人であることを確認できない場合
請求に応じられない場合、当方は、その理由を可能な範囲で説明します。

第15条（アカウント削除）

利用者は、当方に対し、自己のアカウント削除を請求することができます。
アカウント削除を希望する場合、第20条のお問い合わせ窓口まで連絡してください。
アカウント削除により、学習履歴、回答履歴、正誤履歴その他の本サービス上のデータが削除され、復元できない場合があります。
有料プランの利用者は、アカウント削除とは別に、Stripe Customer Portal等を通じてサブスクリプションの解約手続が必要となる場合があります。
アカウント削除後も、法令上必要な情報、決済記録、問い合わせ対応記録、不正利用防止に必要な記録等は、必要な範囲で保存する場合があります。

第16条（未成年者の取扱い）

本サービスは、18歳以上の利用者を対象としています。
18歳未満の方は、本サービスを利用できません。
当方は、18歳未満の利用者の個人情報を意図的に取得しません。
18歳未満の方が本サービスを利用していることが判明した場合、当方は、当該アカウントおよび関連する個人情報を削除することがあります。
18歳未満の方が本サービスに登録していることに気付いた保護者の方は、第20条のお問い合わせ窓口までご連絡ください。

第17条（要配慮個人情報・医療情報の取扱い）

本サービスは、実際の患者に関する病歴、診療情報、検査結果、診療録、処方内容その他の医療情報を入力・保存することを予定していません。
利用者は、本サービスに、実在する患者を識別できる情報、診療情報、病歴その他の要配慮個人情報を入力してはなりません。
利用者が誤って実在する患者情報その他の要配慮個人情報を入力した場合、当方は、当該情報を削除することがあります。
本サービス上で生成される症例、問題文、解説は、AIにより生成された架空の学習用情報であり、実在の患者に関する情報ではありません。

第18条（漏えい等が発生した場合の対応）

当方は、個人データの漏えい、滅失、毀損その他の安全管理上の事故が発生した場合、事実関係の調査、原因究明、被害拡大防止、再発防止策の検討を行います。
個人情報保護法上、個人の権利利益を害するおそれがある漏えい等に該当する場合、当方は、個人情報保護委員会への報告および本人への通知その他法令上必要な対応を行います。
本人への個別通知が困難な場合には、法令およびガイドラインに従い、代替措置を講じる場合があります。

第19条（EU・EEA居住者への補足）

本サービスは、主として日本国内の医師、医学生、研修医その他の日本国内利用者を対象とするサービスです。
当方は、日本に所在する個人事業主として、適用されるデータ保護法令上のデータ管理者（Data Controller）として本サービスを運営します。
EUまたはEEA居住者が本サービスを利用する場合、当該利用者は、適用されるデータ保護法令に基づき、自己の個人データについて一定の権利を有する場合があります。
EUまたはEEA居住者は、所在地のデータ保護監督機関に苦情を申し立てる権利を有する場合があります。
本サービスはMVP段階であり、現時点ではEU・EEA居住者を積極的に対象としたサービス提供、広告配信、営業活動を予定していません。将来、EU・EEA居住者を本格的に対象とする場合には、GDPRその他の海外法令への対応を追加で検討します。

第20条（お問い合わせ窓口）

本ポリシー、個人情報の取扱い、開示・訂正・削除・利用停止等の請求、苦情または相談については、以下の窓口までお問い合わせください。

事業者名：本サービスの運営者（個人事業主）
サービス名：NaikaQuest
本番URL：https://naikaquest.com
連絡先メールアドレス：contact@naikaquest.com

※ 事業者氏名、住所および電話番号については、特定商取引法に基づく表示に従い、請求があった場合には遅滞なく書面または電子メールにより提供します。請求は上記の連絡先メールアドレスまでお願いいたします。

第21条（本ポリシーの変更）

当方は、法令改正、外部サービスの仕様変更、本サービスの内容変更、取得する情報の変更、利用目的の変更その他必要に応じて、本ポリシーを変更することがあります。
本ポリシーを変更する場合、当方は、変更後の内容を本サービス上に掲載します。
重要な変更がある場合、当方は、本サービス上での告知その他適切な方法により利用者に通知します。
変更後の本ポリシーは、本サービス上に掲載された時点または当方が別途定める時点から効力を生じます。
利用者が変更後も本サービスを利用した場合、変更後の本ポリシーに同意したものとみなします。

第22条（準拠法および管轄裁判所）

本ポリシーの解釈および適用については、日本法を準拠法とします。
本ポリシーに関連して紛争が生じた場合、札幌地方裁判所を第一審の専属的合意管轄裁判所とします。

第23条（附則）

制定日：2026-05-25
最終改定日：2026-05-25

変更履歴：

日付	内容
2026-05-25	初版制定

トップページに戻る