セキュリティとデータ保護
最終更新: 11.12.2025
Bananiにプロダクトのアイデア、デザイン、そして時には実際のユーザーデータを託していただいていることを理解しています。私たちの役割はシンプルです: 安全に保ち、プライバシーを守り、どう使うかを透明にすること。
このページでは、Banani AI UIデザインプラットフォームにおけるデータとセキュリティの扱いを説明します。
概要
Bananiは、プロダクトチーム、デザイナー、エンジニア、創業者向けのAI搭載UIデザインツールです。セキュリティとプライバシーは、私たちがプロダクトを設計・構築・運用するすべてに組み込まれています。
私たちが重視しているのは:
強固な技術的セキュリティ(暗号化、インフラ、アクセス制御)
データの収集・利用方法に関する明確なルール
お客様の情報に関する権利の尊重
データ保護
暗号化
強力な技術的セキュリティ(暗号化、インフラ、アクセス制御)
通信中: ブラウザとBanani間の通信はすべてTLS 1.3で暗号化されています。
保存時: 保存データはAES-256で暗号化されています。
データベース: PostgreSQLにエンタープライズ級のセキュリティ制御を採用しています。
アクセス制御: ロールベースの権限と監視で本番システムへのアクセスを制限します。
インフラセキュリティ
通信中: ブラウザとBanani間の通信はすべてTLS 1.3で暗号化されています。
ホスティング: Bananiは、強化済みの設定を備えた安全なクラウドインフラ上で稼働しています。
ネットワークセキュリティ: 多層ファイアウォールと侵入検知で攻撃から保護します。
バックアップ: 暗号化バックアップとポイントインタイム復旧に対応しています。
収集するデータ
アカウントと請求データ
アカウントの作成・管理のため、以下を収集します:
氏名、メールアドレス、基本プロフィール情報
認証情報(NextAuthで管理)
サブスクリプションと請求情報(Stripe、Apple Pay、Google Payなどの提供元が対応)
製品と利用データ
製品の運用と改善のため、以下を処理します:
あなたのデザインプロジェクト:フロー、チャット、フレーム、生成されたデザイン
入力したテキストプロンプト、PRD、スクリーンショット、参照画像
参照として提供されたFigma URL
利用傾向、機能採用状況、パフォーマンス指標(Amplitudeなどのツールを使用)
アプリのパフォーマンスとエラーログ(Sentry経由)
技術データ
他の多くのSaaS製品と同様、収集するのは:
ブラウザとデバイスの情報
IPアドレス(匿名化または一部省略される場合があります)
システムおよびセキュリティログ
4. AI処理
当社にご連絡いただいた際に、第三者からお客様に関する情報を受け取る場合があります。例えば、お客様が当社の顧客になることに関心を示し、{{メールアドレス}}を当社に送信された場合、当社は自動の不正検知サービスを提供する第三者から情報の提供を受けることがあります。
モデルプロバイダー
当社は、以下を含む主要なAIプロバイダーと連携しています:
OpenAI(GPTモデル)
Google AI(Geminiモデル)
お客様の入力は、ご依頼の結果を生成するためだけに、これらのプロバイダーに送信される場合があります。弊社の設定と各社のエンタープライズ規約に基づき、:
当社は、プロバイダーがお客様のデータをモデル学習に使用することを許可していません。
当社は、お客様のプロンプトやデザインを広告目的で販売・共有しません。
5. サードパーティサービス
Banani の運営には、専門の外部サービスを利用しています。
主要サービス
データベース & ORM: PostgreSQL と Drizzle ORM
認証: 安全なセッション管理のための NextAuth
分析 & モニタリング
GA4, dub.co Web 分析に
Amplitude プロダクト分析と利用インサイトに
Sentry エラー監視とパフォーマンス追跡に
Intercom カスタマーサポートとアプリ内コミュニケーションに
支払い
Stripeとモバイル決済プロバイダー(例: Apple Pay、Google Pay)による、安全でPCI準拠の決済処理。
各プロバイダーがサービスを提供するために必要な最小限のデータのみを、適切な契約上の保護のもとで共有します。
6. アプリケーション&運用セキュリティ
私たちは、あなたのプロジェクトとデザインデータを機密情報として扱います。すべてのデータは通信中・保存時ともに暗号化され、本番システムへのアクセスは厳格に制限しています。また、重要インフラへのアクセスは記録・監視しています。定期的にセキュリティレビューを実施し、外部の専門家と連携して、業界のベストプラクティスに沿うよう管理策を維持しています。現在はSOC 2のベストプラクティスに沿うセキュリティ管理策を設計しており、成長に合わせて正式なSOC 2監査を受ける予定です。
アプリケーションセキュリティ
安全な認証とセッション管理
CSRFとXSS対策(CSPと入力サニタイズを含む)
パラメータ化クエリとORM活用によるSQLインジェクション対策
定期的なセキュリティ重視のコードレビュー
運用セキュリティ
すべてのシステム/データアクセスで最小権限の原則
スタッフ向けの定期的なセキュリティ意識向上トレーニング
7. プライバシー制御とデータ最小化
Banani の提供と改善に必要なデータのみを収集することを目指しています。
データ最小化: 不要な項目や、必要のない長期トラッキングは行いません。
目的の限定: データは、製品の運用・改善・保護、および皆さまへの連絡のためにのみ使用します。
保持期間: データは、これらの目的に必要な期間、または法令で求められる期間のみ保持し、その後は削除または匿名化します。
アップロードする内容(例: スクリーンショットや参照資料)はあなたが管理します。そこに実際のユーザーデータが含まれる場合、そのデータを処理する権限の確保はあなたの責任です。私たちは、そのデータを安全に保管する責任を負います。
8. あなたの権利と選択肢
お住まいの地域や適用法(例: GDPR、CCPA)に応じて、次の権利を有する場合があります。
アクセス: 個人データのコピーを請求できます。
訂正: 不正確または不完全な情報を更新できます。
削除: データの削除、またはアカウントの閉鎖を請求できます。
ポータビリティ: 構造化された形式でデータをエクスポートできます。
制限 / 異議申し立て: 特定の処理を制限したり、異議を申し立てたりできます。
以下もご利用いただけます。
プロジェクト削除: 特定のプロジェクト、デザイン、またはコンテンツを削除できます。
アカウント削除: アカウント全体とデータの削除を請求できます(法定保存義務の対象)。
コミュニケーション管理: マーケティングメールの配信停止、製品およびサポート通知を管理できます。
これらの権利を行使するには、hi@banani.ai までご連絡ください。適用される規制に従い、合理的な期間内に対応します。
9. コンプライアンス
私たちはBananiを、次のようなグローバルなプライバシーとセキュリティ基準を意識して設計しています:
GDPRやその他のデータ保護規制
OWASPやNISTのガイダンスなど、業界のベストプラクティス
特定のコンプライアンス要件(例: SOC 2、ISO 27001、詳細なDPA要件)をお持ちなら、ご連絡ください。現在のセキュリティ管理とデータ処理の実践を共有し、要件を確認できます。
SOC 2 Type IIやISO 27001などの特定の認証は、監査と認証が正式に完了してからのみ表明します。
10. データ漏えいとインシデント対応
万一、データに影響するセキュリティインシデントが発生した場合、私たちは次を行います:
インシデントをできるだけ早く検知し、封じ込めます。
範囲、影響、原因を調査します。
脆弱性を修正し、管理体制を強化します。
必要に応じて、影響を受けたお客様と規制当局へ通知します。通常は通知対象の侵害を確認してから72時間以内です。
疑わしいセキュリティ問題は、hi@banani.ai まで直接ご報告ください。
11. 国際データ移転
インフラや提供事業者に応じて、データを異なる地域で処理・保存する場合があります。
個人データを国境を越えて移転する際は、次のような適切な保護措置を講じます。
標準契約条項(SCCs)
法的に認められたその他の移転手段
必要に応じた追加の技術的・組織的対策
特定のデータ所在地要件やローカライズ要件がある場合は、選択肢についてご相談ください。
12. このポリシーの更新
Bananiや適用法の変更に応じて、このページを更新する場合があります。
その際は「最終更新日」を変更します。
重要な変更がある場合は、アプリ内またはメールでもお知らせすることがあります。
最終更新日: 2025年12月11日
13. お問い合わせ
プライバシー、データ保護、セキュリティに関する質問/報告は、以下までご連絡ください:
hi@banani.co