セキュリティとデータの取り扱い

1. データの取得範囲 — 読み取り専用

DatateamがGoogleアカウント連携で要求する権限は、読み取り専用スコープのみです。お客様のGA4プロパティやSearch Consoleの設定を変更したり、データを書き換えたりする権限は一切持ちません。

• ✓ Google Analytics（GA4）: analytics.readonly（閲覧のみ）
• ✓ Search Console: webmasters.readonly（閲覧のみ）

2. データの保管場所と暗号化

• 保管場所: すべてのデータはGoogle Cloud（東京リージョン: asia-northeast1）で保管・処理されます。国外へのデータ移転はありません。
• 通信の暗号化: ブラウザとサーバー間の通信は常時TLS（HTTPS）で暗号化されます。
• 保存時の暗号化: Google Cloudに保存されるデータは、Google Cloudの標準機能により保存時に暗号化されます。
• パスワード: ログインパスワードはハッシュ化（bcrypt）して保存され、平文では保管されません。

3. AI機能におけるデータの取り扱い

AIによる分析コメントの生成には、Google CloudのVertex AI（Gemini）を使用しています。

• 処理経路: 分析対象のデータはGoogle Cloud内のVertex AIで処理されます。第三者のAIサービスへ送信されることはありません。
• 学習への不使用: Google Cloudの規約により、Vertex AIに送信されたデータがGoogleの基盤モデルの学習に使用されることはありません。
• コスト管理とアクセス制御: AI機能は契約単位・プロジェクト単位で利用可否と利用上限を管理しています。

4. アクセス制御

• 権限種別: 一般ユーザー／管理者の権限を分離し、ユーザーは割り当てられたプロジェクトのデータにのみアクセスできます。
• 会社間の分離: データは契約企業ごとに分離され、他社のデータにアクセスすることはできません。
• 二要素認証: ログインにはメールによる二要素認証を利用できます。
• レポート共有: 社外向けに発行する共有URLは推測不可能なIDを使用し、検索エンジンへの登録を防止（noindex）しています。

5. データの削除

• プロジェクトの削除: プロジェクトをアーカイブすると、一定期間の猶予の後に削除されます。蓄積した分析データも対象です。
• Google連携の解除: Googleアカウントの連携はいつでも解除でき、解除後は新しいデータの取得が停止します。Googleアカウント側の設定（アカウントへのアクセス権限）からも取り消せます。
• 解約時: ご契約終了時のデータ削除のご要望に対応します。お問い合わせください。