プライバシーポリシー

1. 目的

EvidenceFlow（以下「当サービス」）は、理学療法士・作業療法士などのセラピスト向けに論文検索から資料作成までを一気通貫でサポートし、 エビデンスに基づいた臨床実践を支援します。本プライバシーポリシーは、当サービスが収集・利用・共有する情報とユーザーの権利を明確にするためのものです。

2. 取得する情報

• Google アカウント情報: Google OAuth 2.0 を通じて取得するユーザー名、メールアドレス、プロファイル画像。
• OAuth トークン: Google Slides API および Google Drive API へのアクセスに必要なアクセストークンとリフレッシュトークン。
• アプリ内設定: API キー、テンプレート設定などユーザーが入力する任意情報。これらはブラウザの IndexedDB に AES-GCM で暗号化された状態で保存され、サーバーには送信されません。
• 利用状況メタデータ: エラーログやレスポンス時間などサービスの安定運用に必要な技術情報（個人を特定できる形では保存しません）。

3. 利用目的

• Google Slides の自動生成および Drive への書き込み処理の実行
• ユーザー設定の保存と再利用
• サービス品質の改善、障害対応、セキュリティ監視
• ユーザーからの問い合わせ対応

4. トークンとデータの保管

サーバー側では NextAuth.js を用いて JWT セッションを暗号化し、一時的にアクセストークン・リフレッシュトークンを保持します。トークンは HTTPS 経由のみで通信され、 サーバー上でも暗号化されたストレージに保存し、定期的に期限切れを確認して破棄します。ユーザーが Google アカウントを解除すると、当サービスは保有するトークンとセッション情報を削除します。

5. 第三者提供

当サービスは、Google API を除き、ユーザーの個人情報を第三者へ販売・共有しません。Google API の使用は Google API Services User Data Policyを遵守します。

6. データ保持期間

セッション情報は最長 30 日間保持し、その後自動的に破棄します。Slides 出力に使用した原稿データはユーザーのブラウザにのみ保存され、当サービスのサーバーでは保持しません。

7. 利用者の権利とデータ削除

ユーザーは Google アカウントの権限ページまたは当サービスの データ削除手続きに従っていつでも権限を取り消し、保存データの削除を申請できます。

8. プライバシーポリシーの変更

本ポリシーは適宜更新される場合があります。重要な変更がある場合は、本ページで通知するとともに、必要に応じて登録メールアドレス宛にご案内します。

9. お問い合わせ

プライバシーに関するご質問やデータ削除の依頼は support@evidenceflow.app までご連絡ください。