プライバシーポリシー
最終更新:2026 年 5 月 25 日
1. はじめに
本プライバシーポリシーは、Sovereign Systems が個人データをどのように収集、使用、保護するかを説明します。2 つの異なる範囲をカバーします:(1)sovereignsystems.cc のマーケティングウェブサイト、および(2)SOSA DevOps デスクトップアプリケーション。両者のデータアーキテクチャは根本的に異なります。私たちは GDPR(EU)および PDPA(タイ)に準拠しています。
2. データ管理者
Sovereign Systems、タイ王国所在。メールアドレス:[email protected]
3. 収集するデータ
ウェブサイト範囲:アカウントデータ(メールアドレス、表示名)、認証用セッション Cookie、および Cloudflare Web Analytics によるクッキーなし分析。
デスクトップアプリケーション範囲:なし。SOSA DevOps はローカルファーストです。すべてのアプリケーションデータ——プロンプト、AI 応答、セッション履歴、監査ログ——はあなたのデバイスにのみ保存されます。Sovereign Systems にはあなたのインタラクションデータを受信・保存するサーバーは存在しません。
4. 収集しないデータ
Sovereign Systems は以下を収集しません:
— SOSA DevOps からのプロンプト、AI 応答、またはセッション内容
— デスクトップアプリからのテレメトリ、使用統計、または機能分析
— デスクトップアプリからのクラッシュダンプやエラーレポート
— オーディオファイル、プロジェクトファイル、MIDI データ、またはクリエイティブコンテンツ
— 閲覧履歴、位置データ、または連絡先リスト
— サードパーティのトラッキング Cookie または広告識別子
— キーストロークデータ、画面録画、または生体認証データ
デスクトップアプリケーションにはアップロードパス、同期パス、またはテレメトリパイプラインは存在しません。
5. データの利用方法
ウェブサイトデータは以下のために使用されます:認証(本人確認)、必須サービスコミュニケーション(アカウントおよびセキュリティ通知)。明示的な同意なしにマーケティングメールを送信することはありません。広告目的でデータを使用したり、第三者に販売したりすることはありません。
6. Vault A——暗号学的監査チェーン(デスクトップアプリ)
Vault A は、あなたのデバイス上の vault/audit-chain.jsonl に保存されるローカルの追記専用暗号学的監査チェーンです。各エントリにはタイムスタンプ、イベントタイプ、文字数、コンテンツハッシュが含まれ、プロンプトや応答の生テキストは絶対に含まれません。ハッシュは一方向(SHA-256)です。Vault A 内のいかなる内容もあなたのコンテンツに逆算することはできません。
Vault A は発生したことの改ざん防止記録です。あなたのデバイスを離れることは決してありません。Sovereign Systems はこれを読むことができません。
7. Vault B——インタラクションログ(デスクトップアプリ)
Vault B は、あなたのデバイス上の vault/interaction-log.jsonl に保存されるローカルのインタラクションログです。プロンプト、AI 応答、取得した RAG コンテキストがプレーンテキスト形式で含まれ、自身によるレビュー、モデル評価、エクスポートのためにローカルに保存されます。
Vault B はあなたのデバイスを離れることは決してありません。Tools → Open Interaction Log から確認し、TXT、PDF、または JSONL 形式でセッションをエクスポートし、入力確認ゲートを通じてセッションを削除することができます。Vault B はあなたのものです——Sovereign Systems はこれを読むことができません。
8. v1.0 の既知の制限——プレーンテキストプロンプト
SOSA DevOps v1.0 には、ローカル AI クエリ向けの完全に接続された PII スクラバーはまだ含まれていません。v1.0 では、プロンプトは入力した内容そのままで Vault B に書き込まれます。パスワード、API キー、その他の機密認証情報をチャットに貼り付けると、Vault B にプレーンテキストで保存されます。
緩和策:(1)機密情報をチャットに貼り付けないでください;(2)貼り付けてしまった場合は、Vault B ビューアーからそのセッションを削除してください;(3)デバイスでフルディスク暗号化を使用してください。
PII スクラバーは v1.1 でリリースされます。リリース時に本セクションは更新されます。
9. ローカル AI モデル
SOSA DevOps は、別途インストールするローカルの Ollama ランタイムに接続します。モデルはあなたのハードウェア上で動作します。プロンプトは 127.0.0.1:11434 に送信されます——これはデバイスを離れないループバックアドレスです。モデルはあなたから学習しません。Ollama は推論のみを実行し、重みは固定されています。Sovereign Systems がプロンプトを受信することは決してありません。
10. 外部 API プロバイダー
SOSA DevOps v1.0 は外部 AI プロバイダーが接続されていない状態でリリースされます。外部プロバイダータブはすべてのプロバイダーを無効として表示します。アプリケーション経由でデバイスを離れるプロンプト、応答、またはコンテンツはありません。
外部プロバイダーが v1.1+ で接続された場合、すべてのアウトバウンドリクエストはデバイスを離れる前に Privacy Filter を通過します。Vault A と Vault B はすべてのインタラクションを引き続き記録します。本ポリシーは各プロバイダー、送信されるデータ、適用される転送保護措置を文書化するために更新されます。
11. データ処理者(ウェブサイトのみ)
以下の処理者が私たちに代わってウェブサイトデータを処理します:
Supabase(米国)——認証およびデータベース。SOC 2 Type II 認証取得済み。
Cloudflare(米国)——ウェブサイトホスティング、CDN、および R2 ストレージ。SOC 2 Type II および ISO 27001 認証取得済み。Cloudflare Web Analytics はクッキーなしで、個人を特定できる情報を収集しません。
すべての処理者は GDPR および PDPA の遵守を要求するデータ処理契約(DPA)に拘束されます。デスクトップアプリケーションには処理者は存在しません——すべてのデータはローカルです。
12. 越境データ転送
ウェブサイト範囲:個人データは Supabase および Cloudflare によって米国で処理される場合があります。GDPR(第 5 章)の遵守のため、標準契約条項(SCC)に依拠します。PDPA(第 28-29 条)の遵守のため、契約上の保護措置に依拠します。2026 年現在、PDPC は適切性リストを公表していません。
デスクトップアプリケーション範囲:v1.0 では越境転送は発生しません。すべてのデータはあなたのデバイス上にローカルで保存されます。
13. データ保持
ウェブサイトアカウントデータは、アカウントが有効な間保持されます。アカウント削除後、個人データは 30 日以内に削除されます。暗号化されたバックアップは 90 日以内に消去されます。
デスクトップアプリケーションデータ:あなたの管理下でデバイス上に保持されます。Vault B ビューアーからセッションを削除するか、アプリケーションをアンインストールしてアプリケーションデータディレクトリを削除することで完全に削除できます。
15. GDPR の下でのあなたの権利
EEA にお住まいの場合:アクセス、訂正、削除、データポータビリティ、異議申し立て、制限、同意の撤回、および監督機関への苦情申し立ての権利があります。[email protected] までご連絡ください。30 日以内に回答いたします。
デスクトップアプリデータについて:権利はデータがあなたのマシン上にあるため直接行使できます。表示(Tools → Open Interaction Log)、エクスポート(セッションごとに TXT/PDF/JSONL)、削除(セッションごとまたは完全アンインストール)。
16. PDPA(タイ)の下でのあなたの権利
アクセス、訂正、削除、異議申し立て、データポータビリティ、同意の撤回の権利があります。撤回は同意の提供と同様に容易でなければなりません。pdpc.or.th の個人データ保護委員会(PDPC)に苦情を申し立てることができます。[email protected] までご連絡ください。
17. データ侵害通知
従来型のデータ侵害——サーバーデータベースへの不正アクセス——は、SOSA DevOps のアーキテクチャによって構造的に制限されています。私たちはあなたのインタラクションデータを保持するサーバーを運営していません。
私たちが保持するデータ(例:ウェブサイトのメーリングリストやアプリケーション署名キー)に影響するセキュリティインシデントを発見した場合、72 時間以内に PDPC および関連する EU 監督機関に通知し、権利と自由に対する高いリスクがある場合は不当な遅延なく影響を受けた個人に通知します。
18. 子どものプライバシー
私たちのサービスは子ども向けではありません。GDPR の下で、16 歳未満の子どものデータを意図的に収集することはありません。PDPA の下で、10 歳未満の子どもには保護者の同意が必要です。子どもがデータを提供したと思われる場合は、[email protected] までご連絡ください。
19. 本ポリシーの変更
テレメトリの追加、外部プロバイダーの接続、またはローカル専用の原則の変更などの重要な変更は、メールおよびアプリ内バナーで 30 日前に通知されます。軽微な変更(明確化、誤字修正)はプロジェクトの変更ログに記録されます。
20. お問い合わせ
プライバシーに関するお問い合わせ:[email protected]
AI に関するお問い合わせ:[email protected]
セキュリティ開示:[email protected]
法律に関するお問い合わせ:[email protected]