プライバシーポリシー

1. サービスの概要

夢リスト（Dream List）は、ユーザーが自分の夢・目標を Google Sheets に記録するための個人向けウェブアプリケーションです。

2. 収集する情報

本サービスは、Google アカウントでのログイン時に以下の情報を取得します。

• メールアドレス
• 表示名
• プロフィール画像のURL

また、Google Sheets API を通じてユーザーのスプレッドシートへのアクセストークンを一時的に使用します。

3. 情報の使用目的

• ユーザー認証およびセッション管理
• ユーザーが入力した夢のテキストを、ユーザー自身の Google Sheets に記録するため
• ユーザーが使用するスプレッドシートを識別するため（スプレッドシートIDの保存）

4. Google API の使用について

本サービスは以下の Google API スコープを使用します。

• Google Drive API（drive.file）: 本アプリが作成したスプレッドシートファイルへのアクセスに限定して使用します。ユーザーのDrive内の他のファイルにはアクセスしません。

これらのスコープから取得したデータは、ユーザー自身の Google Sheets に夢を記録する目的のみに使用し、第三者との共有や広告目的への使用は一切行いません。

本サービスによる Google API から取得した情報の使用は、Google API Services User Data Policyに準拠します（Limited Use の要件を含む）。

5. データ保護メカニズム

本サービスは、ユーザーの機密データを保護するために以下のセキュリティ対策を実施しています。

• 通信の暗号化: すべての通信は HTTPS（TLS）によって暗号化されます。
• データの暗号化保存: スプレッドシートIDは AES-256-GCM（業界標準の認証付き暗号化）を使用して暗号化した上でデータベースに保存します。
• 最小権限の原則: Google API へのアクセスは、本アプリが作成したファイルのみに限定された drive.file スコープを使用します。ユーザーの他のファイルへはアクセスしません。
• セッション管理: 認証トークンは HttpOnly・Secure フラグ付きの Cookie に保存され、JavaScript からのアクセスを防ぎます。
• アクセストークンの自動更新: アクセストークンの有効期限切れを検知し、リフレッシュトークンで自動的に更新します。

6. データの保存について

• 夢のデータ: ユーザー自身の Google Sheets にのみ保存されます。本サービスのサーバーには保存しません。
• スプレッドシートID: AES-256-GCM で暗号化した上で、Turso データベースに保存します。
• セッション情報: JWT 形式でブラウザのクッキーに保存されます（有効期限 30 日）。

7. データの第三者提供

本サービスは、ユーザーの個人情報を第三者に販売・共有・提供することは一切ありません。

8. データの削除方法

• 設定画面からスプレッドシートIDを削除することで、本サービスに保存された情報を削除できます。
• Google アカウントの設定から、本サービスへのアクセス権を取り消すことができます。

9. Cookie の使用

本サービスはセッション管理のみを目的として Cookie を使用します。広告や分析目的での Cookie は使用しません。

10. プライバシーポリシーの変更

本ポリシーは必要に応じて更新することがあります。重要な変更がある場合はアプリ上でお知らせします。