プライバシーポリシー
本ポリシーは、urlapi.me が取り扱うお客様情報・AI 会話データの保護方針を定めるものです。
株式会社9lick.me(以下「当社」)は、urlapi.me(以下「本サービス」)の提供にあたって取り扱うお客様の個人情報および関連データについて、本プライバシーポリシー(以下「本ポリシー」)に従い、適切に保護・管理します。
本サービスは AI ファーストの SaaS であるため、AI とお客様データの取扱いについては、特に明確かつ厳密な方針を定めています。トラッキングデータの詳細な取扱いは、別途 トラッキングポリシー に定めています。
1. 設計思想(5 本柱)
- 顧客の生データは AI に丸投げしない — お客様のクリック・CV・課金・顧客リスト等の生データは、AI 提供事業者に送信しません。
- AI への送信は tool call 経由のみ — AI は当社の権限付き API を介してのみ、必要最小限の情報を取得します。すべての tool 呼び出しは監査記録に保存します。
- データを 3 層で分けて管理 — L1 運用 / L2 改善 / L3 集計の各層に応じて、保持期間・アクセス権限・お客様の制御権を設計しています。
- 取らないデータを明文化する — 取得しないデータを本ポリシーに明示し、お客様の信頼を最優先します。
- AI の記憶は opt-in 寄り — AI がお客様の利用傾向を学習・記憶する機能は、お客様が選択して有効化する設計とします。
2. AI に送るもの・送らないもの
urlapi.me の最も重要な約束です。
AI に送るもの
- お客様が AI チャットに入力したテキスト
- ご質問にお答えするために抽出した、関連する集計値・抜粋
- 顧客識別子(ハッシュ化済み・生 ID は送信しません)
AI に送らないもの
- お客様のクリック生データ(生 IP、完全な User-Agent、生タイムスタンプ)
- お客様の顧客リスト・氏名・メールアドレス
- 課金情報・支払いカード情報
- 広告アカウント連携用の OAuth トークン
- 他のお客様のデータ(テナント間隔離)
AI による応答生成のために、Claude にはお客様の入力テキスト + tool 呼び出しで取得した必要最小限のデータのみが渡されます。Anthropic 社では、API 経由のデータはモデル学習に使用されない契約・設定を採用しています(最新の取扱いは サブプロセッサ一覧 に明示します)。
3. 当社が取得するデータ
A. アカウント情報
- 氏名、メールアドレス、組織名、職種等の登録情報
- 認証情報(OAuth プロバイダ ID、ハッシュ化されたパスワード)
- アカウント設定・通知設定
B. プロダクト設定情報
- 短縮 URL の定義(slug、リダイレクト先、UTM パラメータ等)
- カスタムドメイン設定
- 広告アカウント連携情報(OAuth トークンは暗号化保管)
- API キー(ハッシュ化保存)
C. クリック・トラフィックデータ
- クリック発生時刻、リダイレクト先、UTM パラメータ
- 広告クリック ID(gclid / fbclid / ttclid / yclid / msclkid / LINE クリック ID 等)
- IP アドレスのハッシュ値(生 IP は保存しません。月次ローテーション salt を使用)
- User-Agent の要約(モデル名・OS のみ抽出。完全な UA 文字列は保存しません)
- 国・都市レベルの位置情報(番地・座標は取得しません)
- リファラのホスト名(完全 URL は保存しません)
- ファーストパーティ Cookie による匿名訪問者識別子
- 計測手段: Cookie / localStorage / URL パラメータ / サーバーログ / JavaScript タグ / Webhook / API(詳細は トラッキングポリシー 参照)
D. コンバージョン情報
- お客様のサイト等で発生した CV イベント(種類・金額・通貨)
- クリック → CV の紐付け情報
- 広告プラットフォームへの送信状況
E. AI 会話情報
- AI チャットでのご入力内容
- AI からの応答内容
- 利用したトークン量
- AI が呼び出した tool(種類・引数の概要・取得行数)
F. 顧客プロファイル(任意機能)
- AI が利用状況から推定したスコア・成長段階・推奨アクション
- AI からのオファー(アップセル提案等)
- AI が自動生成したオーディエンス情報
G. 利用統計
- API コール数、AI メッセージ数、ストレージ使用量等
- サポートチケット、お問い合わせ履歴
H. 監査・法令対応情報
- 操作ログ(誰がいつ何を変更したか)
- 同意履歴(規約・プライバシーポリシー・AI 利用への同意の記録)
- 削除リクエストの記録
- Webhook 受信ログ、エラーログ
4. データの取得・加工・保持の方針
4.1 加工してから保持するデータ(個人特定を防ぐ変換を行います)
- IP アドレス: 受信時にハッシュ化(月次ローテーション salt を使用)してから保存します。生の IP アドレスは保存・参照しません。
- User-Agent: 受信時にブラウザのモデル名・OS の要約(例: "Safari iOS 17")のみ抽出して保存します。完全な User-Agent 文字列は保存しません。
4.2 そのまま取得・保持するデータ
- UTM パラメータ / 広告クリック ID(gclid / fbclid 等)
- 国・都市レベルの位置情報(番地・座標は取得しません)
- リファラのホスト名(完全 URL は保存しません)
- ファーストパーティ Cookie による匿名訪問者識別子
4.3 取得しない・保持しないデータ
- 個人を特定可能な生 IP アドレス(4.1 のハッシュ化済みのみ保持)
- 完全な User-Agent 文字列(4.1 の要約のみ保持)
- お客様サイトのフォーム未送信時の入力ストロークやキー押下イベント
- お客様サイトのマウスムーブやヒートマップ情報
- お客様のメール本文の内容(送信ログのメタデータのみ)
- ad_accounts の生 OAuth access_token / refresh_token(暗号化保管のみ)
- 他のお客様のデータ(マルチテナント環境において完全に隔離されます)
5. データの保持期間
| データ | 保持期間 |
|---|---|
| AI 会話本文 | デフォルト 90 日(お客様設定で 30 / 90 / 365 / 永続から選択可) |
| AI tool 呼び出し監査 | 1 年(説明責任のため変更不可) |
| クリック生データ raw | 90 日(その後は集計値のみ保持) |
| 顧客プロファイル | アカウント存続中(お客様による全削除可) |
| 操作ログ | 1 年(Free〜Business) / 3〜7 年(Enterprise) |
| 課金情報・同意履歴 | 7 年(法令準拠) |
| 集計データ(個人を復元できないもの) | 永続 |
6. お客様の権利
お客様は、当社が保持するご自身のデータについて、以下の権利を有します。
- アクセス権: ご自身のデータの開示を請求する権利
- 訂正権: 不正確なデータの訂正を請求する権利
- 削除権: 法令上の保存義務を除き、ご自身のデータの削除を請求する権利
- 利用停止権: AI 機能による顧客プロファイリング等の処理停止を請求する権利
- データポータビリティ: ご自身のデータを構造化された形式で受領する権利
これらの権利を行使される場合は、本サービスの設定画面または support@9lick.me までご連絡ください。
7. データの利用目的
- 本サービスの提供・運営・改善
- お客様からのお問い合わせへの対応
- 課金・決済処理
- 法令上の義務履行
- 不正利用・セキュリティリスクの検知と対応
- お客様の同意がある場合に限り、新機能・キャンペーンに関するご案内
当社は、お客様データを当社の AI モデルの訓練・学習データに使用しません。
8. 第三者への提供(サブプロセッサ)
本サービスの提供にあたって、以下の第三者にデータ処理の一部を委託しています。最新の一覧は サブプロセッサ一覧 にて開示します。
第三者サブプロセッサ
| サブプロセッサ | 役割 |
|---|---|
| Anthropic | AI 提供(Claude API) |
| Supabase | DB / 認証 / Webhook |
| Resend | メール送信 |
| Cloudflare | CDN / Pages / WAF / Access |
| Stripe | 決済処理 |
| OpenAI | 音声認識(Whisper API・音声入力利用時) |
| Telegram | 運用通知(登録・障害等の運営者向けアラート。お客様の識別子・メールアドレスを含む場合があります) |
同一法人内処理基盤
| 名称 | 役割 |
|---|---|
| 9lick.me Core Engine | 株式会社9lick.me が運営する内部処理基盤。短縮 URL 発行・クリック計測・CV 後追い処理を担います。法的には外部第三者ではありませんが、透明性確保のため処理基盤として開示します。 |
8.1 広告プラットフォームへのコンバージョン送信
お客様が本サービスの管理画面で明示的に有効化した場合に限り、コンバージョンイベント情報を以下の広告プラットフォームに送信します。
| プラットフォーム | 送信 API |
|---|---|
| Meta(Facebook / Instagram) | Conversions API(CAPI) |
| Google Ads / Google Analytics 4 | Google tag / Google Ads API / 拡張コンバージョン / Consent Mode v2 |
| LINE | LINE Tag / Conversion API |
| TikTok Ads | Events API |
| X(旧 Twitter) | Conversion API |
| Yahoo! 広告 | コンバージョン API |
メールアドレス・電話番号等の顧客識別子を広告プラットフォームへ送信する場合、原則として、各プラットフォームの仕様に従い正規化・ハッシュ化(SHA-256 等)したうえで送信します。ハッシュ化処理は当社サーバーサイドで実施します。
詳細な送信仕様・項目・同意管理 UI は トラッキングポリシー をご確認ください。
8.2 外部アプリ連携(Connect)
外部アプリケーション(例:Neo Gacha 等)との連携機能(以下「Connect」)を利用される場合、以下のフローで連携が成立します。
- 外部アプリ上で「urlapi.me と連携」を選択すると、当社の同意画面(
/connect)に遷移します。 - 同意画面では、連携先アプリ名・要求 scope・課金影響事項を表示します。
- お客様が「許可」を選択した時点で、当社は連携専用の API キーを自動発行し、その key 値を 5 分間有効なワンタイム交換コードと共に外部アプリのコールバック URL に渡します。
- 外部アプリは交換コードを当社 API(
/api/v1/connect/exchange)で API キーに引き換え、自社環境に保管します。 - 以降、外部アプリは API キーで当社 API を呼び出します。すべての利用はお客様の urlapi.me アカウント配下の資源として記録・課金されます。
- 連携キーはいつでも
/app/Keys画面から失効(revoke)できます。失効後、外部アプリからの API 呼び出しは即座に拒否されます。 - 同一外部アプリで再 connect 操作を行うと、古いキーは自動的に失効します(漏洩キーが残らない設計)。
- 当社は、連携キーがどの外部アプリに紐付くか、scope、最終利用日、月間呼び出し回数を記録します。
- 許可なく連携キーを発行することはありません。発行は必ずお客様の同意操作を起点とします。
8.3 Webhook 配信
お客様が /app/Webhooks で URL を登録した場合、当社はクリック・CV・カスタムイベント発生時に当該 URL に対し HTTP POST を行います。
- 署名:
X-Urlapi-Signature: sha256=<hex>ヘッダで HMAC-SHA256 署名を付与します。お客様は受信側で同 secret を用いて検証することで、改竄・なりすましを防げます。 - 本文: イベント ID、発生時刻、イベント名、テナント識別子、CV フラグ、金額、訪問者 ID、カスタムプロパティを JSON で送ります。
- 送信ポリシー: ベストエフォート。タイムアウト 5 秒。Phase 2 で指数バックオフによる再送を提供予定。現状は再送しません。
- 登録した URL に送信される情報は、お客様自身が当社プロダクトを通じて取得・生成したデータに限られます。他のお客様のデータは送信しません。
- Webhook 機能はいつでも当該画面から無効化・削除できます。
9. 国際データ移転
本サービスでは、原則として、お客様のクリックデータ・コンバージョンデータ・広告連携データは、当社が管理する国内または当社指定のクラウド環境において処理・保管します。
ただし、本サービスの一部機能の提供にあたり、AI 提供事業者、メール配信、決済、CDN、セキュリティ対策等のサブプロセッサが日本国外に所在するサーバーでデータを処理する場合があります。
国外で処理される可能性があるデータは、原則として以下の範囲に限定されます。
- AI チャットに入力されたテキストおよび AI 応答生成に必要な最小限の抜粋データ
- メール送信に必要な宛先メールアドレスおよび送信内容
- 決済処理に必要な課金情報
- CDN・WAF・セキュリティ処理に必要なアクセス情報
- 広告プラットフォーム連携を有効化した場合に、各広告媒体へ送信されるコンバージョンイベント情報
当社は、お客様のクリック生データ、CV 生データ、広告アカウント連携トークン、課金カード情報、他のお客様のデータを、AI 提供事業者に一括送信することはありません。
国外移転が発生する場合、当社は、標準契約条項(SCC)、UK IDTA、サブプロセッサ契約、暗号化、アクセス制御等、適用法令に応じた適切な保護措置を講じます。
10. セキュリティ
- 保存データの暗号化(AES-256 相当)
- OAuth トークン等の機微情報は column-level で暗号化(Vault 拡張等を利用)
- API キーはハッシュ化保存(生のキーは発行時の 1 度のみ表示)
- 通信経路の TLS 暗号化
- アクセス制御(Postgres RLS によるテナント間分離)
- 監査ログの保持
- インシデント対応プロセスの整備
11. Cookie および類似技術
- 必須 Cookie: ログイン状態の維持等、サービス提供に必須のもの
- 分析 Cookie: Google Analytics(GA4)等によるアクセス解析(同意ベース)
- ファーストパーティ訪問者識別子: クリックの計測・重複排除のための匿名識別子。ブラウザが送信する拒否シグナル(Do Not Track / Global Privacy Control)を検出した場合、当該識別子は設定しません。短縮リンクのエンドユーザーへの通知・同意取得は、リンクを発行するお客様(管理者)の責任で行われます(トラッキングポリシー・データ処理契約参照)。
お客様はブラウザの設定により Cookie を制御することができますが、必須 Cookie を無効化した場合、本サービスの一部機能が利用できなくなります。
12. AI モデルの訓練・学習について
- 当社は、お客様の入力・出力・コンテンツを当社の AI モデルの訓練・学習に使用しません。
- 当社が利用する AI 提供事業者(Anthropic 社等)においても、API 経由のデータが学習に使用されない契約・設定を採用しています。
- 具体的な保持期間・処理条件は サブプロセッサ一覧 にて開示します。契約条件に変更があった場合は同ページを更新します。
13. 個人情報保護に関する法令
- 個人情報の保護に関する法律(個人情報保護法)
- EU 一般データ保護規則(GDPR)— 該当する場合
- 米国カリフォルニア州プライバシー権利法(CCPA / CPRA)— 該当する場合
14. 本ポリシーの変更
当社は、必要に応じて本ポリシーを変更することができます。重要な変更については、本サービス上または登録メールアドレス宛に事前に通知します。
15. お問い合わせ
- メールアドレス: support@9lick.me
- 運営事業者: 株式会社9lick.me
- 所在地: 〒150-0043 東京都渋谷区道玄坂1丁目10番8号 渋谷道玄坂東急ビル2F-C
制定: 2026 年 5 月 7 日 / 最終改定: 2026 年 6 月 25 日