| layout | default |
|---|---|
| title | SafeScribe — データ保護影響評価 |
| description | GDPR および KVKK に基づく SafeScribe 音声文字起こしサービスの正式なリスク評価。 |
| lang | ja |
主な結論:音声が揮発性メモリで処理され即座に削除される — 処理後にサーバー上に個人データが残らない — ため、特定されたすべてのリスクは緩和措置の適用後に低まで軽減されます。処理は文書化された法的根拠と保護措置のもとで実施できます。
SafeScribe AI 音声文字起こし · バージョン 1.0 · 2026 年 3 月 · ローンチ前評価 · 次回レビュー:ローンチ後 6 か月
第 1 節
| 目的 | 処理されるデータ | 法的根拠(GDPR) | KVKK の根拠(トルコ) |
|---|---|---|---|
| 音声文字起こし | 音声ファイル(RAM のみ、処理後削除) | 第 6 条 (1)(b) — 契約の履行 | 明示的な同意 |
| アカウントと課金 | 仮名ユーザー ID、残高、利用メタデータ | 第 6 条 (1)(b) — 契約の履行 | 明示的な同意 |
| 認証 | OIDC アカウント ID(ハッシュ済み、原本破棄) | 第 6 条 (1)(b) — 契約の履行 | 契約の履行 |
| アプリ内購入 | App Store / Play Store の IAP レシート | 第 6 条 (1)(b) — 契約の履行 | 契約の履行 |
| 年齢確認 | 自己申告による年齢確認(17 歳以上) | GDPR 第 8 条 / KVKK 第 6 条 | 法的義務 |
| クラッシュレポート | 匿名化されたエラーレポート(オプトイン、個人情報削除済み) | 第 6 条 (1)(a) — 同意 | 明示的な同意 |
| データ | サーバーでの保持期間 |
|---|---|
| 音声ファイル | RAM のみ — 文字起こし後に削除 |
| 文字起こしテキスト | クライアントの確認まで(ACK がない場合は 24 時間サーバー TTL フェイルセーフ) |
| 仮名ユーザー ID | アカウント削除まで |
| アカウント残高 + 利用メタデータ | アカウント削除まで |
| メールアドレス | 通過のみ — 保存しない |
| IP アドレス | 通過のみ — ログに記録しない |
| クラッシュレポート(オプトイン) | SafeScribe 独自のクラッシュレポートエンドポイント — 第三者と共有しない |
データ目録の詳細については、プライバシーポリシー § 収集するデータをご覧ください。
ジョブごとのメタデータには、音声の長さ(秒)、ファイルサイズ(バイト)、文字数、請求金額(USD)、処理タイムスタンプが含まれます。音声コンテンツ、文字起こしテキスト、ユーザーを識別できる情報は含まれません。
バックアップの保持。サービス継続のためにアカウントレコードの日次バックアップを 1 件保持します。各バックアップは前のバックアップを上書きします。アカウント削除により削除されたデータはライブシステムから即座に、バックアップからは 24 時間以内に削除されます — それ以降はコピーが残りません。
1. ユーザーがデバイスで音声を録音または選択する
2. デバイスで音声を前処理(80 Hz ハイパスフィルター、冒頭無音のトリミング、-16 LUFS へのラウドネス正規化、ピークリミッティング、16 kHz リサンプリング、FLAC エンコード)
3. SafeScribe サーバーへ暗号化してアップロード(TLS 1.2+)
4. サーバーが RAM で音声を処理 — 自己ホスト型、faster-whisper / CTranslate2 経由の Whisper ファミリーの強力なモデル、サードパーティ API 呼び出しなし
5. SHA-256 整合性チェックサム付きで文字起こしを返送
6. クライアントがチェックサムを検証し受信確認
7. サーバーが RAM から文字起こしと音声を即座に削除
8. 文字起こしをデバイスの AES-256 暗号化ストレージにローカル保存
第 2 節
- ✓音声のアップロードは必要ですサーバーサイドの AI 処理は、SafeScribe が要求する品質レベルで現在のオンデバイス代替手段より高い精度を実現します
- ✓認証は必要ですユーザーごとの課金とジョブの分離に必要です
- ✓クラッシュレポートは適切です送信前に個人情報を削除;オプトインのみ
- ✓データの最小化音声は RAM のみで処理され、ディスクへの書き込みはありません
- ✓最小限の保持期間文字起こしは確認時に即座に削除されます;クライアントが確認しない場合は 24 時間サーバー TTL フェイルセーフが適用されます
- ✓二次利用なし音声はモデルのトレーニングや分析に使用されません
GDPR および KVKK に基づくすべてのデータ主体の権利(アクセス、訂正、削除、制限、ポータビリティ、異議申し立て、同意の撤回)は、アプリ内または privacy@safescribe.dev への連絡で行使できます。詳細はプライバシーポリシー § できることをご覧ください。
第 3 節
| リスク | 固有リスク | 緩和措置 | 残余リスク |
|---|---|---|---|
| 音声に機密個人データが含まれる(健康、法律、財務) | 高 | RAM 専用処理;即時削除;永続的なストレージなし;第三者アクセスなし | 低 |
| 転送中の文字起こしへの不正アクセス | 中 | TLS 1.2+;SHA-256 整合性チェックサム | 低 |
| サーバー侵害による音声や文字起こしの漏洩 | 中 | 永続的な音声ストレージなし;認証 API;ジョブ分離;TTL フェイルセーフ | 低 |
| ローカル暗号化ストレージへの不正アクセス | 低 | AES-256 暗号化コンテナ;鍵は iOS Keychain / Android Keystore | 低 |
| クラッシュレポートによる個人情報漏洩 | 低 | SafeScribe 独自のクラッシュレポートエンドポイントへの送信前にメール、電話、IP およびトークンのパターンベース削除 | 低 |
| 国境を越えたデータ転送 | 中 | トルコ(KVKK — トルコ個人データ保護法)初回起動時の明示的同意;GDPR 第 49 条 (1)(a) に基づく初回起動時の明示的な十分な情報に基づく同意 | 低 |
| AI が機密コンテンツの不正確な文字起こしを生成 | 低 | 文字起こしは情報提供のみ;ユーザーがすべての出力を確認;自動化された意思決定なし | 低 |
すべての残余リスクは低です。主なリスク要因 — 機密音声コンテンツ — はアーキテクチャレベルで対処されています:音声はディスクに書き込まれることなく、処理後に保持されることもなく、第三者と共有されることもありません。
第 4 節
初回利用前に、4 つの独立したカードからなる詳細な同意画面が表示されます:
- 同意・拒否ボタンは同等の視覚的重要性を持ちます(ダークパターンに関する EDPB ガイドラインに準拠)
- ユーザーはいつでもプライバシー設定から同意を撤回し、アカウントを削除できます
- 本評価は年 1 回、または処理に重大な変更があった場合にレビューされます
- 公開透明性のためこの URL に掲載されています
第 5 節
上記の評価に基づき、すべての残余リスクは低です。処理は特定された法的根拠のもと、文書化された保護措置を講じて実施できます。監督機関への事前協議は不要です。
レビューログ
| 日付 | バージョン | 変更内容 |
|---|---|---|
| 2026 年 3 月 | 1.0 | 音声文字起こしパイプライン、同意画面設計、リスク評価、法的根拠の文書化を網羅したローンチ前初期評価 |