プライバシーポリシー

1. 当社について

Qrious Technologies Inc.は、251 Little Falls Drive, Wilmington, DE 19808, USAに本社を置くデラウェア州のC-Corporationです。当社はQRIOUSモバイルアプリケーション、qrious.socialウェブサイト、および関連サービスを運営しています。

プライバシーに関するお問い合わせは、以下までご連絡ください： privacy@qrious.social.

2. 本ポリシーの適用範囲

本ポリシーはQRIOUSモバイルアプリケーションおよびqrious.socialウェブサイト（以下、総称して「本サービス」）の両方に適用されます。qrious.socialは当社アプリの公式ホームであり、同じプライバシー慣行を採用し、アプリ関連の法的文書を掲載する正式な場所です。

本ポリシーは所在地にかかわらず本サービスのすべての利用者に適用されますが、お住まいの地域によっては追加の権利が認められる場合があります（下記のお客様の権利をご参照ください）。

3. 年齢要件

QRIOUSは18歳以上の利用者を対象としています。当社は18歳未満の方から個人情報を意図的に収集することはありません。利用者が18歳未満であると判明した場合、当該アカウントおよび関連データを速やかに削除します。未成年者が当社に個人情報を提供したと思われる場合は、以下までご連絡ください： privacy@qrious.social.

4. 収集する情報

アカウント情報

アカウントを作成する際、メールアドレス、電話番号、氏名、生年月日、性別を収集します。これらの情報は本サービスの提供および利用資格の確認のために必要です。

プロフィールコンテンツ

プロフィールで共有する内容はお客様自身が選択します。これには、QRIOUSの7つのコンテキスト（Romance、Community、Career、Adventure、Learn、Create、Family）ごとに作成する写真、自己紹介文、ペルソナの詳細が含まれます。各ペルソナはお客様が個別に設定します。

位置情報

マッチング、ディスカバリー、会場推薦を実現するため、位置情報を収集します。位置情報はアプリを実際に使用している間に収集されます。バックグラウンドでの位置情報追跡は、デバイス設定で明示的に許可しない限り有効になりません。位置情報の許可はいつでも取り消すことができます。

ミーティングデータ

QRIOUSは、利用者同士の対面の出会いを確認するためにQRコード認証（IRL Bridge）を使用します。信頼ティアの算出およびマッチング品質の向上のため、ミーティング確認データ（タイムスタンプおよび参加利用者）を収集します。

デバイスおよび技術情報

デバイス識別子、OSバージョン、アプリバージョン、IPアドレス、クラッシュおよび診断ログを自動的に収集します。これらのデータは本サービスの維持、トラブルシューティング、改善に役立てられます。

利用データ

本サービスとのやり取り（機能の利用パターン、コンテキスト切替、マッチング操作、セッションデータ）に関する情報を収集します。これらのデータは分析および製品改善のために使用されます。

コミュニケーション

本サービスを通じて他の利用者に送信したメッセージは、配信および履歴提供のために保存されます。サポートへの問い合わせおよび当社チームとのやり取りも保管されます。

支払い情報

本サービスを通じて購入を行う場合、支払い取引はApple、Google、またはStripeにより処理されます。当社はクレジットカード番号、有効期限、完全な支払い情報を一切閲覧・保存しません。 当社は決済処理事業者から限定的な取引情報（支払い確認、サブスクリプションティア、更新日、購入プラットフォーム）のみを受領します。

5. 収集しない情報

当社が意図的に収集または保存しないものがあります：

• カード番号。 支払いはApple、Google、またはStripeを経由します。当社がカード自体を見ることはなく、購入が行われたという確認のみを受け取ります。
• 連絡先、カレンダー、写真ライブラリ全体。 連絡先リストのインポート、カレンダーの読み取り、写真ライブラリのスキャンは行いません。当社に届く写真は、お客様がプロフィールへのアップロードを明示的に選択したものに限られます。
• 生体情報。 Face IDや指紋データを受け取ることはありません。デバイスの生体情報はデバイス内に留まり、アプリのロック解除はローカルで行われ、当社に送信されることは一切ありません。
• ヘルスケアまたはフィットネスデータ。 Apple Health、Google Fit、HealthKit、その他デバイス上の健康データストアへのリクエストや読み取りは行いません。
• アプリ横断ブラウジングまたは広告ID。 アプリ横断トラッキングのためにiOS広告識別子（IDFA）またはAndroid広告IDを使用することはありません。広告ネットワークに対して個人データを販売または共有することもありません。
• 広告目的でのメッセージ内容。 広告のターゲティングや広告主向けの興味プロファイルの作成のために、会話の内容を分析することはありません。

6. 情報の利用目的

• マッチングおよびディスカバリー： ペルソナ、選好、位置情報に基づき、QRIOUSの各コンテキストで他の利用者とつながるため。
• 信頼ティアの算出： IRL Bridgeで確認された対面の出会いから信頼レベルを判定し、つながりの質と安全性を向上させるため。
• 会場推薦： 位置情報および選好に基づき、関連する場所や会場を提案するため。
• 安全性およびモデレーション： 詐欺、悪用、ハラスメント、その他利用規約違反を検知・防止するため。
• 分析および改善： 本サービスの利用状況を把握し、機能、パフォーマンス、ユーザー体験を改善するため。
• コミュニケーション： サービス関連の通知の送信、サポートリクエストへの対応、サービスに関するアップデートの提供のため。
• 法令遵守： 適用法令、規制、法的手続き、行政当局からの要請に対応するため。

7. 処理の法的根拠（GDPR）

欧州経済領域、英国、その他個人データの処理に法的根拠を要求する地域の利用者については、以下に基づいて処理を行います：

• 同意（GDPR 第6条第1項(a)）： アカウント作成時、およびバックグラウンドでの位置情報追跡や特定のデータ共有といったオプション機能の有効化時に、同意をいただきます。
• 契約の履行（GDPR 第6条第1項(b)）： お客様が要求した本サービス（アカウント管理、マッチング、メッセージング、会場推薦）の提供に必要な処理。
• 正当な利益（GDPR 第6条第1項(f)）： プラットフォームの安全性、詐欺防止、悪用検知、サービス分析など当社の正当な利益のために必要な処理。ただし、その利益がお客様の権利に優越されない範囲に限ります。
• 法的義務（GDPR 第6条第1項(c)）： 適用法令の遵守のために必要な処理（法執行機関や規制当局からの正当な要請への対応を含む）。

8. 利用しているサービス

お客様のデータに関わる他社についても、当社は正直に開示します。以下の各事業者には特定の役割があり、必要なデータのみを受領し、データ処理契約により他の目的での利用が禁じられています。

• Supabase：データベース、認証、ファイルストレージ。 アカウント、プロフィールデータ、写真、メッセージ内容を保存します。当社のSupabaseプロジェクトはAWS us-east-1(米国バージニア州北部)でホストされています。
• Firebase Cloud Messaging（Google）：プッシュ通知。 プッシュ通知をデバイスに配信します。デバイストークン、通知ペイロード、タイミングメタデータを受領します。GoogleがGoogle Cloudインフラストラクチャ上で運用しています。
• PostHog：プロダクト分析。 どの機能が使われ、どこで利用者がつまずくかを把握するため、匿名化された利用イベントを記録します。メッセージ内容、写真、プロフィール詳細はPostHogに送信しません。
• Sentry：クラッシュおよびエラーレポート。 アプリのクラッシュや予期せぬエラーが発生した際、Sentryはバグの診断に役立てるためスタックトレース、アプリ状態、デバイス情報（OSバージョン、機種、アプリバージョン）を受領します。送信前に、エラーレポートから個人データ（メールアドレス、メッセージ内容、プロフィール項目）を除去します。Sentryは米国でホストされています。
• RevenueCat：サブスクリプション管理。 iOS、Android、ウェブにまたがるFlash、Glow、Auraのサブスクリプション状態を管理します。匿名化された利用者ID、サブスクリプションティア、更新日、購入プラットフォームを受領します。クレジットカード番号を受け取ることはなく、それはApple、Google、またはStripeに留まります。RevenueCatは米国でホストされています。
• Apple App Store、Google Play、Stripe：決済処理。 すべての購入はこの3社のいずれかを経由します。これらの事業者がカード番号、請求先住所、税を処理します。当社が受け取るのは購入成功の確認、購入されたティア、更新日のみです。
• Nominatim（OpenStreetMap）：位置情報のルックアップ。 座標を人が読める地名に変換します。座標を含む匿名化されたリクエストのみを受領します。
• Google Places API：会場データ。 Places機能でバー、レストラン、その他の会場を表示するために使用されます。位置クエリのみを受領し、アカウントやアイデンティティは送信されません。
• Klipy：GIFライブラリ。 チャット内のGIFピッカーを提供します。入力された検索語を受領しますが、アカウントやメッセージのコンテキストは受領しません。
• Brevo：トランザクションメール。 アカウント確認、パスワードリセット、重要なお知らせなどのメールを送信します。あなたのメールアドレスとメッセージ内容を受け取ります。運営はフランスの Sendinblue SAS。法的根拠：GDPR 第 6 条 1 項 b 号（契約の履行）。
• Brevo：マーケティングリスト登録。 qrious.social でローンチ情報の受信に登録すると、ダブル・オプトインで Brevo のメーリングリストに追加されます。法的根拠：GDPR 第 6 条 1 項 a 号（同意）。配信メールからいつでも解除できます。
• AWS Amplify（Amazon Web Services）：ウェブサイトのホスティング。 qrious.social は AWS Amplify の ap-southeast-1 リージョン（シンガポール）でホストされています。サイトを配信するために必要な情報のみを受け取ります：リクエスト URL、IP アドレス、ユーザーエージェント。法的根拠：GDPR 第 6 条 1 項 f 号（サイトの配信と保護に関する正当な利益）。
• Cloudflare：コンテンツ配信ネットワーク（CDN）。 当社は、ウェブサイトホスティングの前段でCloudflare, Inc.（米国）をCDNとして利用し、静的アセットの配信、エッジルーティング、DDoS対策を行っています。Cloudflareはリクエスト先のURL、IPアドレス、および標準的なリクエストヘッダーを参照しますが、お客様のアカウントやメッセージ内容にはアクセスしません。法的根拠：GDPR第6条1項(f)、サイトの提供および保護に係る正当な利益。
• 下請処理者の変更。 個人データを取り扱う下請処理者を追加・削除・変更した場合、本リストを更新します。法令上必要なときは、EU／英国の利用者に対し相応の事前通知を行います。

9. データの保管場所

Qrious Technologies Inc.は米国に本社を置いていますが、本サービスは複数地域のインフラストラクチャ上で運用されています。主要なデータセンターは欧州連合（フランクフルト）およびアジア太平洋地域（シンガポール）にあり、一部のプロバイダは米国で運用されています。

欧州経済領域・英国・スイスの利用者については、個人データの国際移転を関連法令に従って実施します。具体的には、欧州委員会の標準契約条項（SCC）、英国の International Data Transfer Addendum（IDTA）、また米国向けの移転については、EU-米国データプライバシーフレームワーク（DPF）および英国／スイス拡張に自己認証している事業者の利用を、利用可能な範囲で行います。必要に応じて追加の技術的・組織的措置を講じます。

10. お客様の権利

EEA、英国、スイス（GDPRおよびUK GDPR）

お住まいの地域に応じて、お客様は個人データに関して以下の権利を有します：

• アクセス： 当社が保有するお客様の個人データのコピーを要求する権利。
• 訂正： 不正確または不完全な個人データの訂正を要求する権利。
• 消去： 法定の保存義務に従う範囲で、個人データの削除を要求する権利。
• データポータビリティ： 構造化され、一般的に使用される機械可読形式でデータを要求する権利。
• 同意の撤回： 処理が同意に基づく場合、いつでも撤回できます。撤回前の処理の適法性には影響しません。
• 処理への異議： プロファイリングを含む、正当な利益に基づく処理への異議を申し立てる権利。
• 処理の制限： 特定の状況下でデータ処理を制限するよう要求する権利。
• 自動化された意思決定： プロファイリングを含む自動化された処理のみに基づく決定であって、お客様に法的効果を生じさせるか、または同様に重大な影響を及ぼすものの対象とならない権利（GDPR第22条）。QRIOUSへの適用については下記第11節をご覧ください。
• 苦情の申立て： 現地のデータ保護当局に苦情を申し立てる権利。英国の利用者はInformation Commissioner’s Office（ICO）にico.org.ukで問い合わせることができます。

カリフォルニア州（CCPA / CPRA）

カリフォルニア州にお住まいの方は、California Consumer Privacy Actにより追加の権利が認められます：

• 収集するカテゴリ： 識別子、アカウント情報、位置情報、インターネット活動、および上記から導き出された推論。
• 情報源： お客様から直接、お客様のデバイスから自動的に、および上記の当社サービスプロバイダから。
• 目的： 本サービスの運営、お客様とのコミュニケーション、詐欺および悪用からの保護、法令遵守。
• 受領者： セクション8に記載のサービスプロバイダのみ。コンテキスト横断的な行動ターゲティング広告のために個人情報を販売または共有することはありません。
• お客様の権利： 知る権利、削除を求める権利、訂正を求める権利、販売または共有のオプトアウトを求める権利（当社は販売しません）、これらの権利を行使したことによる差別を受けない権利。
• 機微個人情報（Cal. Civ. Code §1798.121）： 正確な位置情報や、Romance コンテクストにおける嗜好に関する推測情報を扱います。あなたは、この機微個人情報の利用を本サービスの提供に必要な範囲に限定するよう求める権利を有します。privacy@qrious.social まで件名「Limit SPI」でご連絡ください。
• 過去12か月の遡及確認（§1798.130(a)(5)）： 上記の個人情報のカテゴリーは、本ポリシーの発効日に先立つ12か月間に当社が事業目的で収集、使用、開示した内容を反映しています。当該期間において、コンテキストを越えた行動ターゲティング広告のために個人情報を販売または共有したことはありません。
• Global Privacy Control（GPC）： 当社は、お客様のブラウザから送信されるGlobal Privacy Controlシグナルを、コンテキストを越えた行動ターゲティング広告のための個人情報の販売または共有に対するオプトアウトの有効な要求として扱います（カリフォルニア州司法長官のガイダンスに準拠）。当社は現在販売・共有を行っていませんが、当該シグナルはセッションに記録されます。

これらの権利を行使するには、以下までメールでご連絡ください： privacy@qrious.social. 当社は30日以内に回答します。

11. 特別カテゴリーのデータおよび自動化された意思決定

特別カテゴリーのデータ（GDPR 第9条）

QRIOUS には Romance コンテクストがあります。同コンテクストでの投稿は、推論によりあなたの性的指向に関する情報を示唆する可能性があり、これは GDPR 第 9 条の特別な種類のデータに該当します。当該データは、GDPR 第 9 条 2 項 a 号に基づくあなたの明示的同意のみを根拠に処理します。同意は、Romance ペルソナを初めて有効化する際の専用の同意手続きで取得します：画面では、何が推論されるか、なぜ尋ねるか、いつでもペルソナの無効化またはアカウントの削除により同意を撤回できることが説明されます。同意がない場合、Romance コンテクストは有効化されません。

自動化された意思決定（GDPR 第22条）

法的効果またはそれに準ずる重大な影響を及ぼす完全自動化決定は行いません。アルゴリズムは意思決定の補助として 2 つの場面で用います：（a）IRL Bridge による対面確認といくつかの行動シグナルから算出する Trust Tier スコア、（b）コンテクスト内で接点候補を提示するマッチ・ランキング。いずれもご要望に応じて担当者が再確認します。モデレーション措置（警告・停止・BAN）は、確定前に担当者が確認します。あなたに影響を及ぼす決定について、いつでも privacy@qrious.social へ人による再確認を求めることができます。

12. データ保存期間

• 有効なアカウント： アカウントが有効である限り、また本サービスの提供に必要な期間、データを保持します。
• 削除されたアカウント： アカウントを削除すると、30日以内にプロフィールデータ、ペルソナ、マッチを削除します。一部のデータは、法律で義務付けられている場合、または正当な安全上の目的（例：悪用報告に関する記録）のために、より長期間保存されることがあります。
• メッセージ： メッセージは、両方の参加者がアカウントを削除した時点で削除されます。一方の参加者のみがアカウントを削除した場合、もう一方の利用者は会話へのアクセスを保持します。
• 匿名化されたデータ： お客様の特定に使用できない集約・匿名化されたデータは、分析および製品改善のために無期限に保持される場合があります。

13. データセキュリティ

個人データを不正アクセス、改ざん、開示、破壊から保護するため、業界標準のセキュリティ対策を実施しています：

• 通信時（TLS）および保存時のデータ暗号化。
• 内部システムへのアクセス制御および認証。
• 定期的なセキュリティ評価および監視。
• 潜在的なデータ侵害に対するインシデント対応手順。

インターネット上の通信方法や電子的な保存方法に100％安全なものはありません。絶対的な安全性を保証することはできませんが、発生した事案には速やかに対処することをお約束します。

個人データ侵害：GDPR第33条に基づき監督機関への通知が必要な場合、当社は不当な遅滞なく、可能な場合は侵害を認識してから72時間以内に通知します。侵害がお客様の権利および自由に対する高いリスクをもたらすおそれがある場合は、第34条に基づき不当な遅滞なくお客様にも通知し、侵害の性質、想定される影響、講じた措置、および追加情報の連絡先を提示します。英国GDPR、タイPDPA、カリフォルニア州民法典第1798.82条が適用される範囲では、同等の通知を行います。

14. クッキーおよびローカルストレージ（ウェブサイトのみ）

本セクションはqrious.socialウェブサイトに適用されます。QRIOUSモバイルアプリではクッキーを使用しません。初回訪問時に、3つのボタン（すべて承諾、すべて拒否、カスタマイズ）を備えた同意バナーが表示されます。お客様の選択はブラウザ内にのみ保存され、フッターの「クッキーを管理」からいつでも変更できます。

qrious.socialで現在実行されているもの：

上記4つはいずれもサイトの動作に厳密に必要です。現在、アナリティクスやマーケティングのクッキーは設定されていません。今後プロバイダを追加する場合も、ご同意のある場合のみ読み込まれます。

バナーに表示される同意カテゴリ：

• 厳密に必要： サイトの動作に必要です（上記4つ）。無効化できません。
• アナリティクス（既定でオフ）： どのページが読み込まれ、どれが失敗しているかを把握するためのものです。現在、アナリティクスプロバイダは導入していません。
• マーケティング（既定でオフ）： キャンペーンの効果測定のためのものです。現在、マーケティング用スクリプトは実行されていません。
• 広告クッキーなし、クロスサイト追跡なし。 第三者の広告クッキーは使用せず、クロスサイトでの行動追跡も許可しません。上記の選択とは独立した方針です。

法令で求められる場合（EEAおよび英国）、必須でないクッキーの設定前に同意を取得し、閲覧継続のみをもって同意とは推定しません。フッターの「クッキーを管理」からいつでも同意を撤回できます。

15. EU 代表者（GDPR 第 27 条）

当社は EU 外に所在しつつ EU 居住者に対してサービスを提供しているため、GDPR 第 27 条に基づき代表者を指定しています。EU のデータ主体および監督機関は、個人データの取扱いに関するすべての事項について、当社の代表者へ連絡できます。

代表者： Pablo Daniel Oba

住所： ドイツ・ベルリン

E メール： dpo@qrious.social

16. お問い合わせ

本プライバシーポリシーまたは当社のデータ取扱いに関する質問、懸念、要請は、以下までご連絡ください：

プライバシーに関するお問い合わせ： privacy@qrious.social

郵送： Qrious Technologies Inc., 251 Little Falls Drive, Wilmington, DE 19808, USA

17. タイ（PDPA）

タイから本サービスにアクセスする場合、上記の権利に加えて、個人データ保護法 B.E. 2562（2019年）が適用されます。本ポリシーのタイ語版は追って公開予定です。それまでの間、本セクションはタイのユーザーに適用される権利および法的根拠を概説します。

• 法的根拠（第24条および第26条）。 当社は、お客様の同意、契約上の必要性、当社の正当な利益、またはPDPAが認めるその他の法的根拠に基づいて個人データを処理します。
• お客様の権利。 アクセス、訂正、削除、処理の制限または異議申立、データポータビリティ、および同意の撤回を要求できます。タイ国個人データ保護委員会（PDPC）に苦情を申し立てることができます。
• 国境を越えた移転（第28条）。 当社は個人データを米国、シンガポール、欧州連合のプロバイダに移転します。これらの移転は、十分性、お客様の同意、契約上の必要性、または第28条PDPAが認める適切な保護措置に基づきます。
• 機微な個人データ（第26条）。 Romanceペルソナを通じて推定され得る性的指向に関する情報は、お客様の明示的な同意に基づいてのみ処理されます。

プライバシーに関するお問い合わせ： privacy@qrious.social