プライバシー
ポリシー

ログインは Discord OAuth を経由する。要求する scope は identify と guilds の 2 種で、永続化するのは 次の 3 項目だけ。

• Discord user_id (snowflake)
• Discord username
• Discord avatar_hash

guilds scope で得られる 所属 guild の id 一覧 は、 OAuth callback 内で「AI 駆動開発研究部 guild の member であるか」の 一致確認のためだけに 1 回参照する。その後 cookie にも DB にも保持しない。

curator role の確認のため、Discord Bot API で対象 guild の guild member 情報 (role 一覧) を都度取得し、KV に短期 cache する (TTL 60 秒〜10 分)。

email、phone、message 履歴、reaction、DM、他 guild の詳細情報といった それ以外の Discord 情報は、scope に含めておらず一切取得しない。

収集した情報は、次の目的に限り利用する。

• curator 認証と表示 — Discord 研究部の member 確認、 curator role 判定、画面上の username / avatar 表示。
• 監査とセキュリティ調査 — login / publish / api key 操作等の audit 記録、不正利用やなりすましの追跡。
• サービス運用と障害対応 — クォータ計測 (1 日ごとの投稿数 / 転送量)、cron による自動失効・物理削除、障害発生時の原因調査。

広告配信、第三者への販売、profiling 目的では一切利用しない。

ログイン後は HMAC 署名された session cookie zuroku_session を 発行する。payload は user_id / username /avatar_hash / is_curator / exp のみ。

TTL は最大 7 日 (SESSION_TTL_SEC)。本人は /auth/logout で いつでも破棄できる。運営による即時 revoke 経路も別途用意している。

Discord access_token / refresh_token は cookie にも DB にも保持しない (OAuth callback で identify / guilds を取り終えたら破棄)。

保管先は Cloudflare の D1 / R2 / KV の 3 系統。それぞれの主な保管対象。

D1 (SQLite)

project metadata (title / description / visibility / owner_id 等)、 users、api_keys (平文ではなく HMAC hash)、likes / bookmarks、 project_assets (画像 metadata)、daily_quota (1 日ごとの投稿数 / byte 累計、 31 日保持)、audit_log (詳細は別 section)。

R2 (object storage)

投稿された HTML / 画像 / OG image。

KV (key-value)

curator role の短期 cache (TTL 60 秒〜10 分)、 revoke list (revoked_admin: / revoked_self:)。

いずれも Cloudflare のグローバル edge ネットワーク上で動作し、 D1 / R2 は Cloudflare のデータセンターに格納される。

login / logout / publish / visibility 変更 / API key の発行・revoke / 退会失効等の主要 action を D1 の audit_log table に記録する。 記録項目は user_id / action / target /details (JSON) と、リクエスト元の IP アドレス (CF-Connecting-IP)。

保管期間は 90 日。毎日 03:00 UTC に走る cron で cutoff より古い行を自動削除する (pruneAuditLog)。

Discord access_token / API key の平文 / cookie 値といった、本人特定や なりすましに直結する値は audit_log にも保管しない。

法令に基づく開示要請がある場合を除き、第三者へのデータ提供は行わない。

インフラと認証は次の事業者を subprocessor として利用する。

• Cloudflare — Workers / D1 / R2 / KV のインフラ提供
• Discord — OAuth ログイン + curator role 確認

Discord 研究部 guild を抜けた場合、または curator role を失った場合、 15 分周期の cron がそれを検知し、最大 16〜20 分以内に zuroku 側の session を失効させる。

投稿した project は owner が 設定画面から soft delete でき、30 日後に R2 の HTML / 画像 / OG image と、 D1 上の bookmarks / likes / project_assets /projects 行が cron により一括で物理削除される。

D1 上の user 行を含む完全消去を希望する場合は、下記「開示・訂正・利用停止・削除の請求」section の経路で運営まで連絡してほしい。

zuroku が発行する cookie は次の 2 種類のみ。tracking / analytics / 広告 cookie は 一切使用しない。第三者ドメインへ送信される cookie もない。

zuroku_session

ログイン session 維持。HMAC 署名 + HttpOnly + Secure + SameSite=Lax。 保存期間は最大 7 日 (SESSION_TTL_SEC)。送信先は zuroku worker (Cloudflare Workers) のみ。

zuroku_oauth_state

OAuth ログイン中の state 一致確認用 (CSRF 対策)。HttpOnly + Secure + SameSite=Lax。callback で即破棄される短命 cookie。送信先は zuroku worker のみ。

個人情報保護法に基づく 保有個人データの開示・訂正・追加・削除・利用停止の請求、およびプライバシーに関する一般の問い合わせは、いずれも次の窓口で受け付ける。

• Discord 経由 — AI 駆動開発研究部 guild 内で研究部主催者宛に DM。 現在 curator として在籍している場合はこちらが最短経路。
• email 経由 (Discord で連絡できない場合の代替) — support@bond-ai.co.jp。 既に研究部を退会済み、または Discord アカウントを失った方はこちらを利用してほしい。

請求の際は本人確認のため、Discord user_id または当時の username 等、 本人特定に必要な情報の提示をお願いする場合がある。

本ポリシーは予告なく改定することがある。重要な変更は Discord 研究部内で告知する。

Discord を既に退会している過去 curator など、研究部内の告知が届かない方は、 本ページ末尾の 最終更新日 を定期的に確認してほしい。 重要改定があった際はこの日付が更新される。

最終更新: 2026-05-19