プライバシーポリシー
制定日: 2026年4月1日 / 最終改定日: 2026年5月25日
1. はじめに
JukenAI(以下「当社」)は、中学受験向けAI弱点分析サービス「JukenAI」(以下「本サービス」)の提供にあたり、利用者およびお子様の個人情報の保護に最大限の注意を払います。
本プライバシーポリシー(以下「本ポリシー」)は、当社が収集する個人情報の種類、利用目的、管理方法等について定めたものです。
2. 事業者情報
| 事業者名 | JukenAI |
| 連絡先 | support@jukenai.com |
3. 収集する個人情報
3.1 保護者(利用者)の情報
- メールアドレス(アカウント登録・ログイン)
- 氏名(任意。表示名として使用)
- 決済情報(Stripeが直接処理。当社は保持しません)
3.2 お子様の情報
- 氏名またはニックネーム
- 学年
- 通塾先(任意)
- 志望校(任意)
- 成績データ(科目、単元名、正答率等の構造化データ)
重要:テスト結果の画像は、OCR 品質改善のため、最大 30 日間 private bucket(Supabase Storage、access control 適用済)に一時保存され、その後 auto-delete cron により自動削除されます。 運営が画像を閲覧するのは、利用者がフィードバックボタンから「読み取れていない」と運営に報告した場合のみ(24 時間有効の署名付き URL 経由)に限定されます。
3.3 自動取得する情報
- アクセスログ(IPアドレス、アクセス日時、リファラー)
- 端末情報(OS、ブラウザの種類・バージョン)
- 利用状況(閲覧ページ、操作履歴)
4. 個人情報の利用目的
当社は、収集した個人情報を以下の目的で利用します。
- 本サービスの提供(弱点分析、対策問題生成、成績追跡)
- アカウントの作成・認証・管理
- 料金の請求・決済処理
- サービスの改善・新機能の開発
- 利用状況の統計分析(個人を特定しない形式)
- お問い合わせへの対応
- 重要なお知らせの送信(サービス変更、規約変更、セキュリティ通知)
上記以外の目的で個人情報を利用する場合は、事前に利用者の同意を取得します。
5. AI処理とデータの取り扱い
5.1 画像データの処理(品質改善目的の最大 30 日間一時保存)
利用者がアップロードしたテスト結果の画像と OCR が読み取った生テキスト(PII redact 済)は、 OCR 品質改善・回帰防止のため、最大 30 日間 private bucket(Supabase Storage、access control 適用済、parent_id ownership で RLS 制御)に一時保存されます。 30 日経過後は auto-delete cron (実装: ~/knowledge-base/scripts/cron-ocr-artifacts-retention.sh、daily 実行)により自動削除されます。
運営による閲覧条件:上記の一時保存データに対して運営が閲覧(社内 Slack channel への signed URL 共有)を行うのは、 利用者がフィードバックボタンから「うまく読み取れていない」と運営に明示的に報告した場合のみです。 共有された URL は 24 時間で expire し、運営の社内 Slack channel 経由でのみアクセス可能です。 本一時保存および閲覧データは AI 学習データには使用されず、OCR 精度改善の triage のみに限定されます。
AI分析により抽出された構造化データ(科目名、単元名、正答率等の統計情報)は、引き続きデータベースに長期保存されます。 このデータからは元のテスト問題の内容を復元することはできません。
5.2 AI APIへのデータ送信
本サービスでは、以下の外部AIサービスを利用してデータを処理します。
Anthropic Claude API(米国)
- 用途:テスト結果画像のOCR解析、弱点分析、問題生成
- 送信データ:テスト結果画像(処理後即時削除)、成績の構造化データ
- Anthropicは商用規約に基づき、顧客データをモデル学習に使用しません
Google Gemini API(米国)
- 用途:テスト結果画像のOCR解析
- 送信データ:テスト結果画像(処理後即時削除)
- 有料APIを使用しており、モデル改善にデータは使用されません
5.3 構造化データの保存
AI分析により抽出された構造化データ(例:「算数 / 図形 / 正答率72%」)は、弱点の追跡・対策問題生成のために当社データベースに保存されます。
5.4 AI解析利用・データ提供への同意
本サービスへの登録・利用をもって、利用者(保護者)は以下の事項について同意するものとします。
- AI解析利用への同意:お子様のテスト結果(画像を含む)を、弱点分析・対策問題生成を目的として、第三者AIサービス(Anthropic Claude API、Google Gemini API等)に送信し処理させること。
- 外国への移転を含む提供への同意:上記AI処理のため、お子様のテスト結果データが米国を含む外国に所在するサービス事業者に提供されること(詳細は第13条参照)。保護者は、個人情報保護法第28条第1項に基づく本人同意として、法定代理人(親権者)の資格で当該提供に同意するものとします。
- データ蓄積・分析への同意:構造化データ(成績統計情報)がサービス改善を目的として匿名化・集計された形で活用されること。この場合、個人を特定しない形に加工したうえで利用します。
※ 本サービスにおけるAI解析および越境データ提供の詳細な仕組みと措置については、第13条「外国にある第三者への提供(越境移転)」をあわせてご確認ください。
6. 第三者提供・外部サービス
当社は、以下の場合を除き、利用者の個人情報を第三者に提供いたしません。
- 利用者の同意がある場合
- 法令に基づく場合
- 本サービスの提供に必要な範囲で、以下の外部サービスに情報を送信する場合
| サービス | 提供元 | 用途 | 送信データ |
|---|---|---|---|
| Claude API | Anthropic(米国) | OCR・弱点分析・問題生成 | 画像・成績データ |
| Gemini API | Google(米国) | OCR解析 | 画像 |
| Stripe | Stripe, Inc.(米国) | 決済処理 | 決済情報 |
| Supabase | Supabase Inc.(米国・東京リージョン) | データベース・認証 | アカウント・成績データ |
| Vercel | Vercel Inc.(米国) | Webホスティング | アクセスログ |
| Slack(運営社内) | Slack Technologies, LLC(米国) | OCR品質改善目的の運営triage(フィードバック送信時のみ) | 撮影画像のsigned URL・OCR生テキスト(PII redact 済、最大30日間) |
品質改善目的の運営内部共有について:利用者がフィードバックボタンから「うまく読み取れていない」と運営に報告した場合に限り、 撮影画像とOCR生テキスト(PII redact 済)が、運営の社内 Slack channel に共有されます(24時間有効の署名付きURL経由)。 本共有は OCR 精度改善のための triage のみに使用され、AI 学習データには使用されません。 画像・テキストは最大30日間 Supabase Storage の private bucket に保存され、その後 auto-delete cron により自動削除されます。 利用者は本機能を使わない場合(フィードバックボタンを押さない場合)、画像・OCR テキストが運営に共有されることはありません。
7. 外部送信規律に基づく公表事項
電気通信事業法第27条の12に基づき、本サービスにおける外部送信について公表します。本サービスでは、サービスの改善・利用状況の分析のために、利用者の端末から外部サーバーに情報を送信する場合があります。詳細は上記第6項の一覧をご参照ください。
8. お子様の情報の保護
当社は、お子様の個人情報の保護を特に重視しています。
8.1 法定代理人(親権者)による同意取得
本サービスは、16歳未満のお子様に関する個人情報を取り扱います。当社は、個人情報保護法および同ガイドライン(個人情報保護委員会 Q&A 1-62)に基づき、16歳未満のお子様の個人情報の取得・利用・第三者提供のすべてについて、法定代理人(親権者)の同意を必須とします。
保護者がアカウントを作成し本ポリシーおよび利用規約に同意した時点で、以下の取扱いについて法定代理人(親権者)としての同意を得たものとみなします。
- お子様の個人情報(氏名・学年・成績データ等)の収集・利用・保管
- 弱点分析・対策問題生成を目的としたAI処理(第三者AIサービスへの送信を含む)
- AI処理のための外国への提供(個人情報保護法第28条第1項に基づく法定代理人同意、詳細は第13条参照)
- 匿名化・集計された形でのサービス改善目的での活用
令和8年個人情報保護法改正への対応(参考):現在審議中の改正法案(施行予定: 2028年4月頃)では、16歳未満の本人・法定代理人の権利(同意・通知・利用停止請求)が明文化される見込みです。当社は改正法施行に合わせて本ポリシーおよびサービスを適時更新します。
8.2 お子様自身のアクセス制限
本サービスでは、お子様ご自身がアカウントを作成したり、本サービスに直接アクセスしたりすることはありません。お子様に関する情報は、すべて保護者(親権者)が入力・管理します。
8.3 利用範囲の限定
- お子様の成績データは、弱点分析および対策問題の生成にのみ使用します。
- お子様を特定できる形での第三者への情報提供は行いません。
- 統計分析に利用する場合は、個人を特定できない形に加工します。
8.4 法定代理人による開示・削除請求
法定代理人(親権者)は、お子様の個人情報について、いつでも開示・訂正・削除・利用停止等を請求できます。請求方法は第11項「開示等の請求」を参照してください。
9. 安全管理措置
当社は、個人情報の漏えい、滅失、毀損の防止のため、以下の安全管理措置を講じています。
- 通信の暗号化(TLS/SSL)
- データベースのアクセス制御(Row Level Security)
- アクセスログの記録・監視
- 従業者への個人情報保護教育
- 画像データの最大 30 日 retention + auto-delete cron による削除(private bucket、access control 適用済、第 5.1 条参照)
10. データの保存期間と削除
| データ種別 | 保存期間 | 削除方法 |
|---|---|---|
| テスト結果画像・OCR 生テキスト・OCR pipeline observability metadata(PII redact 済、private bucket) | 最大30日間 | cron 自動削除(cron-ocr-artifacts-retention.sh、daily) |
| 成績データ | アカウント有効期間中 | 退会後30日で削除 |
| アカウント情報 | アカウント有効期間中 | 退会後30日で削除 |
| アクセスログ | 最大12ヶ月 | 自動 |
11. 開示等の請求
利用者は、個人情報保護法に基づき、ご自身およびお子様の個人情報について、以下の請求を行うことができます。
- 利用目的の通知
- 開示
- 内容の訂正・追加・削除
- 利用の停止・消去
- 第三者提供の停止
請求は、本サービスの設定画面から行うか、下記のお問い合わせ窓口にご連絡ください。本人確認の上、合理的な期間内(原則2週間以内)に対応いたします。
12. Cookieポリシー
本サービスでは、利用者の利便性向上および利用状況の分析のためにCookieを使用しています。
- 必須Cookie:ログイン状態の維持、セキュリティ機能に必要
- 分析Cookie:サービスの利用状況を把握し、改善に活用(Google Analytics等の導入時)
Cookieの利用を望まない場合は、ブラウザの設定で無効にできます。ただし、一部の機能が正常に動作しなくなる場合があります。
13. 外国にある第三者への提供(越境移転)
本サービスでは、第6項に記載のとおり、AI処理のためにお子様のテスト結果データを外国に所在するサービス事業者(Google、Anthropic等)に提供します。個人情報保護法第28条第2項に基づき、以下の情報を公表します。
Google Gemini API / Google Cloud(AI解析処理)
① 移転先国
アメリカ合衆国(Google LLC の主要データセンターが所在)。 なお、Google Cloud Vertex AI(asia-northeast1リージョン)を使用する場合は、処理が日本国内で行われる可能性があります。 ただし、Google LLC 自体は米国法人であるため、越境移転の該当性については弁護士監修のもとで最終判断を行っています。
② 移転先国における個人情報の保護に関する制度
米国には、日本の個人情報保護法に相当する包括的な連邦個人情報保護法は存在しません。 ただし、以下の保護が適用されます。
- 連邦取引委員会(FTC)規制:不公正・欺瞞的な個人情報取扱に対する規制
- カリフォルニア州消費者プライバシー法(CCPA):カリフォルニア州法、Google は同法遵守を表明
- 米日クロスボーダー・プライバシー・ルール(CBPR)認証:Google が取得している範囲で適用
③ Googleが講ずる措置
- データ処理契約(DPA):Google Cloud / Gemini API 有料利用時は、Google との間でデータ処理契約(DPA)が適用されます。
- 標準契約条項(SCC)相当:Google の DPA には、EU 標準契約条項に相当するデータ保護条項が含まれます。
- モデル学習への不使用:有料 API 利用時、Google は顧客データをモデル学習に使用しないことを契約上明示しています(Google Cloud データガバナンスポリシー参照)。
- データ削除:当社送信データは処理完了後、Google のポリシー(有料 API 時は最大 24 時間以内)に従い削除されます。
- セキュリティ:ISO 27001 取得、TLS 暗号化通信、アクセス制御等のセキュリティ措置。
Anthropic Claude API(AI解析処理)
① 移転先国
アメリカ合衆国(Anthropic PBC、サンフランシスコ)
② 移転先国における個人情報の保護に関する制度
米国(上記 Google の説明と同様。連邦包括法なし、FTC 規制・CCPA 対象)。
③ Anthropicが講ずる措置
- 商用規約に基づき、顧客データをモデル学習に使用しないことを明示
- 送信データは処理完了後に保持されません(Anthropicプライバシーポリシー参照)
- TLS 暗号化通信、アクセス制御等のセキュリティ措置
その他のサービス(Stripe、Vercel)
決済処理(Stripe Inc.、米国)およびウェブホスティング(Vercel Inc.、米国)については、それぞれの事業者が標準契約条項(SCC)またはデータ処理契約(DPA)を提供しています。送信データは各サービスの利用目的(決済処理・配信)に限定されます。
データベースについて:成績データの保存に使用するデータベース(Supabase)は東京リージョン(日本国内)を使用しており、成績の構造化データは原則として日本国内に保存されます。
※ 本条に記載の越境移転の詳細(特に「外国にある第三者」の該当性・Vertex AI 東京リージョン利用時の扱い・Google DPA の条項詳細)については、弁護士監修のもとで最終確認を行っています。本ポリシーは法令改正・サービス変更に応じて更新します。
14. プライバシーポリシーの改定
当社は、法令の改正やサービス内容の変更に伴い、本ポリシーを改定することがあります。重要な変更を行う場合は、本サービス内またはメールにてお知らせします。
改定後のポリシーは、本ページに掲載した時点で効力を生じます。
15. お問い合わせ窓口
個人情報の取り扱いに関するお問い合わせ・ご相談は、以下までご連絡ください。
JukenAI 個人情報お問い合わせ窓口
メール: privacy@jukenai.com
以上