プライバシーポリシー

アカウント情報：Googleのメール、表示名、アバターURL、安定したGoogle subject ID。サインインとUIでの呼びかけにのみ使用します。

プロフィール：選んだ印、既定のスプレッド、言語。占星術および誕生カード機能は、ご入力いただいた情報をサーバー側で算出し、派生タグ（太陽 / 月 / アセンダント星座コードと、ソウルカード / パーソナリティカードのID）のみを保存します。お誕生日、出生時刻、場所、緯度経度の原データはデータベースに書き込まれません — 設定可能なオプションではなく、監査可能なプライバシーへのコミットメントです。

リーディングと日誌：書に封じた場合のみ — 引いたカード、スプレッド種別、ご質問、AI解釈、メモ、タグ、気分、ならびにお客様自身が発行する公開シェアトークン（/share/[token]リンクで利用）。保存済みのリーディングで角度（angle）またはスタイル（style）の引き直しを行うと、新しい解釈は元の解釈と並べて保存されます。

エンゲージメント記録：毎日のカード（ユーザーごと・UTC日ごとに1枚）、21日チャレンジの進捗、アチーブメントの解放、クイズのスコア。/profile・/journey・/wrappedの表示と利用規約に記載のアチーブメント授与に使用します。

プッシュ購読：/profileでオプトインされた場合のみ — ブラウザが提供するエンドポイントURLと、デバイスのp256dhおよびauth公開鍵情報（ブラウザが発行するもので、それ自体は個人情報ではありません）。トグルをオフにすると削除されます。

リファラル：招待コードの生成または引き換え時 — コード文字列と、引き換えごとの1行（規約に記載のボーナス月の付与に使用）。

請求情報：有料会員の場合 — プラン階層、更新日、猶予期間の期限（該当する場合）、Creemの顧客／サブスクリプションID。カード番号・有効期限・CVVを当社が見ることはありません。

分析データ：ハッシュ化されたユーザーIDをキーとする匿名イベント。ご質問の本文・カード内容・解釈本文は含みません。

契約の履行（GDPR 第6条1項(b)）：アカウント、プロフィール、リーディング、請求。これらなしではご依頼のサービスを提供できません。

正当な利益（第6条1項(f)）：サービスの健全性と濫用防止のための最小限の分析。識別子のハッシュ化とサインアウト時のリセットによりお客様のプライバシーとバランスを取ります。

同意（第6条1項(a)）：占星術プロンプト強化、Web プッシュ、マーケティングメール、購読型の毎日のカード・メール — すべて既定でOFFです。

法的義務（第6条1項(c)）：請求記録は記録上の販売者の税法に従って保持されます。

ユーザーに紐づくすべての行（アカウント、プロフィール、リーディング、日誌、秘蔵カード、毎日のカード、チャレンジ進捗、アチーブメント、クイズスコア、プッシュ購読、リファラル記録、月次利用カウンタ）：ご自身でアカウントを削除されるまで — 削除時には単一トランザクションで連鎖削除されます。

データベースのバックアップ：30日間ローリング。

サーバーおよびアクセスログ：30日間。

分析イベント：12ヶ月間ローリング。

請求記録：アカウント削除後、Creemの税務・監査義務に従い最長7年間保持されます。

Cloudflare（米国・グローバル）：Workers計算、D1データベース、R2アセット保管。すべてのホットデータがここに存在します。

Google（米国）：OAuthサインインのみ。受信するのはメール、表示名、アバター、subject IDのみです。

DeepSeek（シンガポール / 中国）：AI解釈プロバイダー。引いたカード、スプレッド種別、ご質問、ロケール、（有効化されている場合）占星コンテキストのみを送信します。メール・氏名・履歴は送信しません。

Resend（米国）：トランザクション・スケジュール・メール。メールアドレスとレンダリング済みテンプレート本文を渡します。

Webプッシュ中継（Apple Push Notification service / Firebase Cloud Messaging / Mozilla Push Service）：プッシュ通知をオプトインされた場合のみ使用。ブラウザが発行したエンドポイントURLに通知ペイロードを送信し、中継サービスがお客様のデバイスへ配信します。

PostHog（米国、EUリージョン選択可）：プロダクト分析。ハッシュ化ユーザーIDとイベント名のみを送信し、ご質問本文や解釈本文は送りません。

Creem（運営：Armitage Labs OÜ、エストニア・タリン、EU）：有料サブスクリプションの記録上の販売者。カード処理と税務コンプライアンスを担当し、当社は抽象的な顧客／サブスクリプションIDのみを受け取ります。EEA 域外への移転がある場合は、EU 標準契約条項（SCC）に基づきます。

authjs.session-token（開発環境）／__Secure-authjs.session-token（本番環境）：Auth.js v5のセッションCookie、httpOnly、sameSite=lax、サインインに必須。

NEXT_LOCALE：選択された言語。

lunarcana-ref：招待コードのキャリア、引き換え後に失効。

PostHog distinct_id：ファーストパーティ分析識別子。NEXT_PUBLIC_POSTHOG_KEYが設定されている場合のみ付与。

サードパーティ広告Cookieは設定せず、クロスサイトの行動追跡には参加しません。

ローカルストレージ：デバイス内にのみ保存され、当社サーバーには送信されない少量の非機密設定 — アンビエントトラックと音量、ミュート状態、インストールプロンプトの非表示フラグ、毎日の瞑想カウンタ。サイトデータの消去で削除されます。

LunarcanaはCloudflareのグローバルネットワーク上にホスティングされており、データはお住まいの国以外の地域（米国を含む）で処理される場合があります。EU・UK・スイスからの移転には、必要に応じて標準契約条項（SCC）を用います。

中国版（公開時）は中国本土内のAliyu​n上で稼働し、データを域外にミラーリングしません。中国版で収集されたデータの国境を越える移転は別途の同意フローに従います。

アクセス・訂正・削除・データポータビリティ：support@lunarcana.app までご連絡いただくか、プロフィール → 「書を解体する」から、ユーザーに紐づくすべてのテーブルを即座に連鎖削除できます：user / account / session / reading / readingInterpretation / savedCard / userPreference / subscription / dailyDraw / userChallenge / userAchievement / userQuizScore / pushSubscription / referralCode / referralRedemption / usageMonthly。削除は単一トランザクションで実行され、不可逆です。

同意の撤回：プロフィールから占星・プッシュ・マーケティングメール・毎日のカード・メール・音声合成をいつでも切り替えられます。

処理への異議または制限の申し立て：メールにてご連絡ください。

苦情の申し立て：お住まいの地域のデータ保護当局へ（EEA：管轄監督機関、UK：ICO、カリフォルニア州：司法長官、中国：CAC）。

カリフォルニア州（CCPA / CPRA）：当社はクロスコンテキスト行動広告のために個人情報を販売・共有しません。「Do Not Sell or Share」リンクは不要ですが、上記の権利は引き続き行使可能です。

中国（PIPL）：データのコピーと処理の説明を請求でき、いつでも同意を撤回できます。

Lunarcanaは13歳未満（EU圏では16歳未満）の利用者を対象としていません。当該利用者のデータを誤って収集したことが判明した場合、速やかに削除します。

重要な変更は、施行の少なくとも14日前にサイト内で告知します。本ページ冒頭の「最終更新」が正本です。

通信時：お客様のブラウザ・Cloudflareのエッジ・当社が呼び出すすべての副処理者の間でTLS 1.3を使用します。認証Cookieはhttp​Only + sameSite=laxで、セッショントークンはAuth.js v5が発行する不透明なランダム値であり、データベースには参照のみが保持されます。

保管時：CloudflareのD1データベースはCloudflare管理のディスク暗号化により暗号化されます。カード番号・有効期限・CVV・その他の決済情報は一切保存せず、Creemの抽象的な顧客／サブスクリプションIDのみを保持します。

アクセス制御：本番データベースへの管理アクセスは、メンテナーがハードウェアキーで認証したCloudflareアカウントに限定されます。当社はユーザー行を制限なく読み取れる内部のカスタマーサポートツールを運用していません。

侵害通知：お客様の権利に対するリスクが生じる可能性のある個人データ侵害が発生した場合、認知後72時間以内に該当監督機関へ通知し、登録メールアドレス宛に遅滞なく影響を受けたユーザーへ連絡します（GDPR第33-34条および同等の法令に準拠）。

AI生成のタロット解釈は、お客様が引いたカードとお問いかけからオンデマンドで第三者の言語モデルにより生成されます。これは内省・日誌・瞑想的実践のためのものです。アカウント、適格性、価格、サービス階層に関するいかなる決定もAIによって行われません。

GDPR第22条の意味において、お客様に法的または同様に重大な影響を及ぼす自動化された個別の意思決定（プロファイリングを含む）は行いません。