セキュリティとデータ保護

最終更新日: 2026年6月23日

私たちは、あなたがプロダクトのアイデアやデザイン、そして時には実際のユーザーデータをBananiに託してくれていることを理解しています。私たちの役目はシンプルです。データを安全に保ち、プライバシーを守り、その使用方法を透明にすること。

このページでは、AI UIデザインプラットフォーム「Banani」におけるデータとセキュリティの取り扱いについて説明します。

  1. 概要

Bananiは、プロダクトチーム、デザイナー、エンジニア、創業者のためのAI搭載UIデザインツールです。セキュリティとプライバシーは、設計、構築、運用のあらゆるフェーズに組み込まれています。

私たちが重視しているのは以下の点です:

  • 強力な技術的セキュリティ(暗号化、インフラ、アクセス制御)

  • データの収集と使用に関する明確なルール

  • ユーザーの個人情報に対する権利の尊重


  1. データ保護

2.1. 暗号化

強力な技術的セキュリティ(暗号化、インフラ、アクセス制御)

  • 転送中: ブラウザとBanani間のすべての通信はTLS 1.3を使用して暗号化されます。

  • 保管時: 保存されたデータはAES-256を用いて暗号化されます。

  • データベース: エンタープライズレベルのセキュリティ制御を備えたPostgreSQLを採用しています。

  • アクセス制御: ロールベースの権限管理と監視により、本番システムへのアクセスを制限しています。

2.2. インフラのセキュリティ

転送中: ブラウザとBanani間のすべての通信はTLS 1.3を使用して暗号化されます。

  • ホスティング: 堅牢に構成された安全なクラウドインフラ上で運用されています。

  • ネットワークセキュリティ: 多層ファイアウォールと侵入検知により、攻撃から防御します。

  • バックアップ: ポイントインタイムリカバリ(PITR)機能を備えた暗号化バックアップを実施しています。


  1. 収集するデータについて

3.1. アカウント&請求データ

アカウントの作成と管理のために、以下のデータを収集します:

  • 氏名、メールアドレス、基本プロフィール情報

  • 認証情報(NextAuthによって管理)

  • 購読および決済データ(Stripe、Apple Pay、Google Payなどのプロバイダーが処理)

3.2. プロダクト&利用データ

製品の運営と改善のために、以下のデータを処理します:

  • 作成されたデザインプロジェクト(フロー、チャット、フレーム、生成されたデザイン)

  • アップロードされたテキストプロンプト、PRD、スクリーンショット、参考画像

  • 参照用に提供されたFigmaのURL

  • 利用パターン、機能の採用状況、パフォーマンス指標(Amplitudeなどのツールを使用)

  • アプリのパフォーマンスおよびエラーログ(Sentryを使用)

3.3. 技術データ

一般的なSaaS製品と同様に、以下のデータを収集します:

  • ブラウザおよびデバイス情報

  • IPアドレス(匿名化または切り詰め処理を行う場合があります)

  • システムログおよびセキュリティログ

4. AIによる処理

BananiはAIモデルを使用してUIデザインの生成と調整を行います。

以下のデータを処理します:

  • デザインプロンプトおよびその他のテキスト入力

  • 生成されたコンテンツ(レイアウト、コンポーネント、画面)

  • AIへのフィードバックなどのインタラクションデータ

4.1. モデルプロバイダー

私たちは以下を含む主要なAIプロバイダーと連携しています:

  • OpenAI(GPTモデル)

  • Google(Geminiモデル)

  • Anthropic(Claude models)

入力されたデータは、リクエストされた出力を生成するためだけにこれらのプロバイダーに送信されます。当社の設定および各社のエンタープライズ規約に基づき:

  • 提供会社が自社モデルのトレーニングにユーザーのデータを使用することは許可していません。

  • 広告目的でプロンプトやデザインを販売・共有することはありません。

4.2. 自社モデルの改善について
Banani独自のAIモデルのトレーニングと改善のために、個人を特定できないデザインデータ(プロンプト、生成されたレイアウト、インタラクション信号)を使用する場合があります。これは2026年6月23日以降に作成されたアカウントにのみ適用されます。

  • 有料プラン:モデルのトレーニングにユーザーのコンテンツを使用することは一切ありません。

  • 無料プラン:モデル改善のために、匿名化されたコンテンツを使用する場合があります。

トレーニングにデータを使用する前に、アカウント識別子やアップロードされた画面を削除し、個人データを除外します。トレーニングデータを使用してユーザーを特定したり、販売したりすることはありません。

5. サードパーティサービス

Bananiを運営するために、専門の外部サービスを利用しています。

5.1. コアサービス

  • データベース&ORM: PostgreSQLとDrizzle ORM

  • 認証: セキュアなセッション管理のためのNextAuth

5.2. 分析&モニタリング

  • ウェブ分析用のGA4、dub.co

  • プロダクト分析と利用インサイト用のAmplitude

  • エラー監視とパフォーマンス追跡用のSentry

  • カスタマーサポートとアプリ内チャット用のIntercom

5.3. 決済処理

  • 安全でPCI準拠の決済処理のためのStripeおよびモバイル決済(Apple Pay、Google Payなど)。

適切な契約上の安全保護措置のもと、各プロバイダーがサービスを提供するのに必要な最小限のデータのみを共有します。

6. アプリケーションおよび運用ルール

お預かりするプロジェクトやデザインデータは極めて機密性の高い情報として扱います。すべてのデータは転送中および保管時に暗号化され、本番システムへのアクセスは厳格に制限され、重要インフラへのアクセスはすべてログと監視が行われています。

定期的にセキュリティレビューを実施し、外部の専門家と協力して業界のベストプラクティスに準拠した管理体制を維持しています。当社のセキュリティ管理はSOC 2のベストプラクティスに沿うよう設計されており、今後の成長に伴い正式なSOC 2監査を受ける予定です。

6.1. アプリケーションセキュリティ

  • セキュアな認証とセッション管理

  • CSRFおよびXSS対策(CSPや入力値サニタイズを含む)

  • パラメータ化クエリとORMの使用によるSQLインジェクション対策

  • 定期的なセキュリティ重視のコードレビュー

6.2. 運用セキュリティ

  • すべてのシステムおよびデータアクセスに対する最小権限の原則適用

  • 全スタッフを対象とした定期的なセキュリティ意識トレーニングの実施

7. プライバシー制御とデータの最小化

Bananiの提供と改善に必要なデータのみを収集することを目指しています。

  • データの最小化: 不要な入力フィールドや不要な長期追跡は行いません。

  • 利用目的の制限: データは製品の運営、改善、セキュリティ保護、およびユーザーへの連絡のみに使用されます。

  • データ保存期間: データはこれらの目的、または法律で義務付けられている期間のみ保存され、その後は削除または匿名化されます。

アップロードする内容(スクリーンショットや参照データなど)は、ユーザー自身が管理します。それらに実際のユーザーデータが含まれる場合、そのデータを処理する権利はユーザーにあり、データを安全に保つ責任は当社にあります。


8. ユーザーの権利と選択肢

お住まいの地域および適用される法律(GDPR、CCPAなど)に応じて、以下の権利が認められる場合があります:

  • 開示請求(アクセス): 個人データの写しをリクエストする権利。

  • 訂正請求: 不正確な情報や不完全な情報を更新する権利。

  • 消去請求: データの削除またはアカウントの閉鎖をリクエストする権利。

  • 持ち出し(ポータビリティ): 構造化された形式でのデータ書き出しをリクエストする権利。

  • 制限 / 異議申し立て: 特定の種類の処理を制限または拒否する権利。

また、以下の機能も提供しています:

  • プロジェクト削除: 特定のプロジェクト、デザイン、またはコンテンツを削除可能。

  • アカウント削除: アカウント全体とデータの全削除をリクエスト可能(法的保管義務がある場合を除く)。

  • コミュニケーション制御: マーケティング等メールの購読解除、製品やサポート通知の管理が可能。

これらの権利を行使するには、hi@banani.coまでご連絡ください。適用される規制に準拠し、適切な期間内に対応いたします。

9. コンプライアンス

Bananiは、以下を含むグローバルなプライバシーおよびセキュリティ標準を念頭に置いて設計されています:

  • GDPRおよびその他のデータ保護規制。

  • OWASPやNISTのガイダンスなどの業界のベストプラクティス。

特定のコンプライアンス要件(SOC 2、ISO 27001、または詳細なDPA契約など)が必要な場合は、現在のセキュリティ管理状況とデータ処理方法を共有し、ご要件を伺いますので、お気軽にご連絡ください。

なお、当社は監査と認証が正式に完了した時点で、特定の認証(SOC 2 Type IIやISO 27001など)を表明します。

10. データ侵害とインシデント対応

万が一、お客様のデータに影響を与えるセキュリティインシデントが発生した場合、当社は以下の対応を行います:

  1. インシデントを可及的速やかに検知し、封じ込めます。

  2. 影響範囲、インパクト、および根本原因を調査します。

  3. 脆弱性を修正し、管理体制を強化します。

  4. 通知が必要なデータ漏洩が確認されてから通常72時間以内に、影響を受けるお客様と規制当局に必要な通知を行います。

セキュリティ上の懸念や問題は、直接 hi@banani.co までご報告いただけます。

11. 国境を越えたデータ転送

当社のインフラおよびプロバイダーに応じて、異なるリージョンでデータを処理・保存する場合があります。

個人データを国外に転送する際は、以下のような適切な安全管理措置を講じます:

  • 標準契約条項(SCC)

  • 法律で認められたその他のデータ転送メカニズム

  • 必要に応じた追加の技術的・組織的措置

特定のデータローカリゼーション(国内保存)要件がある場合は、ご相談ください。

12. 本ポリシーの改訂について

Bananiの進化や適用法の変更に伴い、このページを更新する場合があります。

  • 更新時には「最終更新日」の日付を変更します。

  • 重要な変更については、アプリ内またはメールでお知らせすることがあります。

13. お問い合わせ

プライバシー、データ保護、セキュリティに関するご質問やご報告は、以下までご連絡ください:

  • hi@banani.co