Privacy Policy

1. Introduction

NipponVisa ("we", "our", "us") operates nipponvisa.jp, an AI-powered visa application preparation assistant for foreign residents in Japan. This Privacy Policy explains how we collect, use, store, and protect your personal information in compliance with Japan's Act on the Protection of Personal Information (APPI / 個人情報保護法).

2. Data We Collect

• Account information: Your name and email address when you sign up via Clerk.
• Application data: Nationality, visa type, form field entries (name, date of birth, passport number, address, phone number, etc.).
• Uploaded documents: Passport photos, residence cards, and other supporting documents uploaded for AI-assisted data extraction.
• Payment information: Processed entirely by Stripe. We do not store card numbers on our servers.
• Usage data: Pages visited, features used, and error logs for improving the service.

3. How We Use Your Data

• To generate pre-filled official visa application forms on your behalf.
• To process uploaded documents using AI (Google Gemini) to extract and auto-fill form data.
• To provide ward office guidance based on your registered address.
• To send transactional emails (account creation, payment receipts) via Resend.
• To improve our service through anonymised, aggregated usage analytics.

4. AI Document Processing

When you upload a document for scanning, the document image is sent to Google Gemini's API for text extraction. Extracted data (e.g. name, passport number, date of birth) is stored in your application record with sensitive fields encrypted at rest (see Section 7). Google's data processing is governed by their terms of service and privacy policy. We do not use your documents to train AI models.

5. Third-Party Services

We share data with the following trusted third parties only to the extent necessary to operate the service:

• Clerk — Authentication and user account management.
• Stripe — Payment processing. Subject to Stripe's Privacy Policy.
• Google Gemini (Google LLC) — AI-powered document scanning and data extraction.
• Cloudflare — CDN, DDoS protection, and DNS management.
• Hetzner Cloud (Germany) — Backend server and database hosting.
• Resend — Transactional email delivery.

We do not sell your personal data to any third party.

6. International Data Transfers

Your data is stored on servers located in Germany (Hetzner Cloud). Some data may be processed by US-based service providers (Google, Stripe, Clerk, Cloudflare, Resend) under their respective data processing agreements. These transfers are carried out with appropriate safeguards as required under applicable data protection laws.

7. Security Measures

We implement the following technical measures to protect your data:

• Encryption in transit: All data is transmitted over TLS/HTTPS with HSTS.
• Selective field-level encryption at rest: Sensitive personal information — including passport number, residence card number, date of birth, phone numbers, and home address — is encrypted using AES-256-GCM before being stored in the database. Non-sensitive fields (name, nationality, visa status) remain in plaintext for operational use.
• Content Security Policy (CSP): Browser security headers restrict script and resource loading to trusted domains.
• Rate limiting: API endpoints are rate-limited to prevent abuse.
• Minimal logging: Production logs do not contain personal information such as email addresses, passport numbers, or document numbers.

While we take extensive measures to protect your data, no system can guarantee absolute security.

8. Data Retention & Account Deletion

• Active accounts: Your data is retained as long as your account is active.
• Uploaded document files: Original uploaded files (images/PDFs) are automatically deleted from our storage systems after 90 days. The metadata (file type, upload date) is retained for service improvement.
• Account deletion: You can delete your account at any time from your Settings page. When you delete your account, all your applications and documents are immediately hidden from the application. You can re-register with the same login and start fresh at any time.
• Anonymised data retention: After account deletion, anonymised and non-identifiable data may be retained for aggregated analytics and service improvement, in accordance with APPI Article 2(9) regarding anonymously processed information (匿名加工情報).

9. Cookies & Local Storage

We use essential cookies for authentication (Clerk session tokens) and CSRF protection. We do not use tracking cookies or third-party advertising cookies. Temporary application data may be stored in your browser's session storage, which is automatically cleared when you close your browser tab.

10. Children's Data

Our service is intended for users aged 18 and over. We do not knowingly collect personal information from children under 18. If we become aware that a child under 18 has provided us with personal information, we will take steps to delete it promptly.

11. Data Breach Response

In the event of a data breach that may affect your personal information, we will notify affected users and relevant authorities as required by APPI within a reasonable timeframe, and take immediate steps to mitigate the impact.

12. Your Rights (APPI)

Under Japan's APPI, you have the right to:

• Request disclosure of the personal information we hold about you.
• Request correction or deletion of inaccurate personal information.
• Request suspension of use or erasure of your personal information.
• Delete your account directly from your Settings page at any time.

To exercise any of these rights, please contact us at support@nipponvisa.jp.

13. Changes to This Policy

We may update this Privacy Policy from time to time. Material changes will be communicated via email or through a notice on our website. The "Last updated" date at the bottom of this page indicates when the policy was last revised.

14. Contact

For any privacy-related inquiries, please email support@nipponvisa.jp.

1. はじめに

NipponVisa（以下「当社」）は、日本在住の外国人向けAIビザ申請準備アシスタント nipponvisa.jp を運営しています。 本プライバシーポリシーは、個人情報の保護に関する法律（APPI / 個人情報保護法）に準拠し、サービスご利用時に 収集する個人情報の取り扱いについて説明します。

2. 収集するデータ

• アカウント情報：Clerk経由で登録時の氏名・メールアドレス。
• 申請データ：国籍、ビザ種別、申請書フィールド（氏名、生年月日、パスポート番号、住所、電話番号など）。
• アップロード書類：パスポート写真、在留カード等、AIデータ抽出のためにアップロードされた書類。
• 決済情報：Stripeにより処理されます。カード番号は当社サーバーに保存されません。
• 利用データ：閲覧ページ、使用機能、エラーログ（サービス改善に使用）。

3. データの利用目的

• 公式ビザ申請書への事前入力・生成。
• AI（Google Gemini）を用いた書類スキャンおよびデータ抽出・自動入力。
• 登録住所に基づく市区町村窓口ガイダンスの提供。
• Resendを通じたアカウント作成・決済完了等のトランザクションメール送信。
• 匿名化された集計利用統計によるサービス改善。

4. AI書類処理

書類をスキャンのためにアップロードすると、書類画像はテキスト抽出のためにGoogle Gemini APIに送信されます。 抽出されたデータ（氏名、パスポート番号、生年月日など）は、機密フィールドが暗号化された状態で申請レコードに 保存されます（第7項参照）。Googleのデータ処理は、同社の利用規約およびプライバシーポリシーに従います。 お客様の書類をAIモデルの学習に使用することはありません。

5. 第三者サービス

サービス運営に必要な範囲で、以下の信頼できる第三者とデータを共有します：

• Clerk — 認証・ユーザー管理。
• Stripe — 決済処理。Stripeのプライバシーポリシーに準拠。
• Google Gemini（Google LLC） — AI書類スキャン・データ抽出。
• Cloudflare — CDN・DDoS対策・DNS管理。
• Hetzner Cloud（ドイツ） — バックエンドサーバー・データベースホスティング。
• Resend — トランザクションメール配信。

お客様の個人データを第三者に販売することはありません。

6. 国際データ移転

お客様のデータはドイツ（Hetzner Cloud）に所在するサーバーに保存されます。一部のデータは、 米国のサービスプロバイダー（Google、Stripe、Clerk、Cloudflare、Resend）により、 各社のデータ処理契約に基づいて処理される場合があります。

7. セキュリティ対策

以下の技術的措置によりお客様のデータを保護しています：

• 通信の暗号化：すべてのデータはTLS/HTTPSおよびHSTSで暗号化して送信されます。
• 保存時のフィールドレベル暗号化：パスポート番号、在留カード番号、生年月日、電話番号、住所などの 機密個人情報はAES-256-GCMで暗号化してからデータベースに保存されます。氏名、国籍、在留資格などの非機密フィールドは 運用上の必要性から平文のまま保持されます。
• Content Security Policy（CSP）：ブラウザセキュリティヘッダーにより、スクリプトおよびリソースの読み込みが信頼されたドメインに制限されます。
• レート制限：APIエンドポイントはレート制限により不正利用を防止しています。
• 最小限のログ：本番環境のログには、メールアドレス、パスポート番号、書類番号などの個人情報は含まれません。

データ保護のために広範な措置を講じていますが、絶対的なセキュリティを保証するものではありません。

8. データ保持・アカウント削除

• 有効なアカウント：アカウントが有効である間、データは保持されます。
• アップロードされた書類ファイル：アップロードされた元のファイル（画像/PDF）は、 アップロード後90日で自動的にストレージシステムから削除されます。メタデータ（ファイル種別、アップロード日）はサービス改善のため保持されます。
• アカウント削除：設定ページから いつでもアカウントを削除できます。アカウントを削除すると、すべての申請・書類はアプリケーションから直ちに非表示になります。 同じログインで再登録し、新たに開始することがいつでも可能です。
• 匿名化データの保持：アカウント削除後、匿名化された非識別データは、 個人情報保護法第2条第9項の匿名加工情報に関する規定に基づき、集計分析およびサービス改善のために保持される場合があります。

9. Cookie・ローカルストレージ

認証（Clerkセッショントークン）およびCSRF保護のために必須Cookieを使用しています。 トラッキングCookieやサードパーティ広告Cookieは使用していません。 一時的な申請データはブラウザのセッションストレージに保存される場合がありますが、 ブラウザタブを閉じると自動的に削除されます。

10. 子どものデータ

当社のサービスは18歳以上のユーザーを対象としています。18歳未満の子どもから故意に個人情報を 収集することはありません。18歳未満の子どもが個人情報を提供したことが判明した場合、 速やかに削除の措置を講じます。

11. データ漏洩時の対応

お客様の個人情報に影響を及ぼす可能性のあるデータ漏洩が発生した場合、個人情報保護法の定めに基づき、 合理的な期間内に影響を受けるユーザーおよび関係当局に通知し、影響を軽減するための措置を直ちに講じます。

12. お客様の権利（個人情報保護法）

個人情報保護法に基づき、以下の権利を有します：

• 当社が保有する個人情報の開示を請求する権利。
• 不正確な個人情報の訂正または削除を請求する権利。
• 個人情報の利用停止または消去を請求する権利。
• 設定ページからいつでも直接アカウントを削除する権利。

これらの権利を行使される場合は、support@nipponvisa.jp までご連絡ください。

13. ポリシーの変更

本プライバシーポリシーは随時更新される場合があります。重要な変更については、 メールまたはウェブサイト上の通知でお知らせします。

14. お問い合わせ

プライバシーに関するお問い合わせは、support@nipponvisa.jp までご連絡ください。