開発者向けのGDPR対応アストロロジーAPI
最初の EU 居住型アストロロジー REST API。 EU 市場向けの B2C 製品を開発する場合、GDPR への対応は最初のコードを書く前に検討すべき課題です。AstroWay は追加料金や法的手続きなしで、これをデフォルトで解決します。
なぜこれが重要なのか
Section titled “なぜこれが重要なのか”他のアストロロジー API(DivineAPI、AstrologyAPI、Prokerala)は米国/インドにホストされています。これは次のような問題を引き起こします。
birth.date、birth.time、birth.lat、birth.lon(GDPR 上の個人情報)が米国/インドを経由する- プライバシーポリシーで subprocessor の開示が必要:管轄地域を列挙しなければならない
- DPA(データ処理契約)は Enterprise プランでのみ利用可能、または別契約が必要
- EU-EUR データ保護当局による監査リスク:SCC なしの越境移転は €10M 以上の罰金につながる可能性
AstroWay の Pro プラン($59/月)では、EU 居住型をデフォルトで提供:全データが Hetzner Nuremberg で処理され、越境移転はありません。
技術スタック
Section titled “技術スタック”| 層 | 場所 / プロバイダー |
|---|---|
| Compute | Hetzner CPX32, Nuremberg (Germany) |
| データベース | 同一 VPS 上の EU 居住型 — データは Nuremberg インフラから出ない |
| CDN / DNS | Cloudflare with EU-region cache rules(EU からのリクエストは EU エッジで処理) |
| トランザクションメール | Brevo(旧 Sendinblue)、EU 拠点、GDPR 対応 SMTP |
| PDF ストレージ | Hetzner Storage Box(Nuremberg)— 署名付き URL TTL 24h、越境複製なし |
| アナリティクス | anonymizeIp を有効化した GA4 + イベントに個人データなし(Plausible self-hosted はロードマップ上) |
| ログ | 構造化 JSON、IP はハッシュ化のみ(生 IP なし)、保持期間 30 日 |
GDPR — 提供するもの
Section titled “GDPR — 提供するもの”デフォルト(Pro+ キー向け)
Section titled “デフォルト(Pro+ キー向け)”- ✅ EU 内のみのデータフロー — birth-data は Nuremberg から出ない
- ✅ 個人データの越境移転なし — インフラレベルの設定で確認済み
- ✅ IP ハッシュ化 — ログには SHA-256 ハッシュ + リクエスト制限用の先頭 16 ビットのみ保存
- ✅ ログ保持期間 30 日 — 30 日後に自動削除
- ⚠️ 匿名化アナリティクス(GA4) — anonymize_ip + イベントに個人データなし。Plausible self-hosted(cookie なし)はロードマップ上。移行までの間、B2C フロントエンドに独自の cookie バナーを実装することを推奨。
- ✅ 削除権(Right to erasure):
DELETE /v1/me/account(Bearer JWT、ボディ{"confirmation": "DELETE"})— アカウントと関連データを即座に削除
要望時(Pro+ サブスクライバー向け)
Section titled “要望時(Pro+ サブスクライバー向け)”- 📄 DPA(データ処理契約) — GDPR Art. 28 標準テンプレート、双方署名済み。5 営業日以内に提供。
legal@astroway.infoまでメールで。 - 📋 Sub-processor リスト — Hetzner、Cloudflare、SMTP プロバイダー、Stripe(Stripe 顧客向け)などの完全リストと各社のコンプライアンス文書。Brevo は DPA 付録に記載。
- 🗂️ DPIA(データ保護影響評価)への技術的入力 — 顧客の法務チームが DPIA を実施する場合、当社側の技術資料を提供。
Enterprise 顧客向け(個別プラン)
Section titled “Enterprise 顧客向け(個別プラン)”- 🛡️ SOC 2 Type II — ロードマップ上(監査会社未決定、ETA TBD)。これが統合の障害となる場合は
legal@astroway.infoまでご連絡ください。個別監査の可能性を検討します。 - 🇪🇺 EU 内法人 — 現在の法人形態はウクライナの個人事業主(Maxim Burkhan)。調達部門がドイツ/エストニアの GmbH を要求する場合は
legal@astroway.info経由で個別に対応(4–8 週間)。 - 🔐 専用インフラ(要望時) — Nuremberg の専用 VPS、独立した DB、共有 compute なし
- 📞 セキュリティ専用連絡先 — インシデント対応用
security@astroway.info
比較:AstroWay vs 米国ホストの競合他社
Section titled “比較:AstroWay vs 米国ホストの競合他社”| EU 開発者にとって重要な要素 | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| EU 内 Compute | ✅ Hetzner Nuremberg | ❌ 米国 | ❌ 米国 | ❌ インド |
| 標準 DPA 利用可 | ✅ Pro+ 向け | ❌ Enterprise のみ | ❌ Enterprise のみ | ❌ Enterprise のみ |
| GDPR 対応(デフォルト) | ✅ インフラレベル | ⚠️ SCC 経由 | ⚠️ SCC 経由 | ⚠️ SCC 経由 |
| Cookie なしアナリティクス | ⚠️ GA4 匿名化(Plausible はロードマップ上) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| EU 内データフロー保証 | ✅ 書面で保証 | ❌ | ❌ | ❌ |
| DPIA への技術的入力 | ✅ 提供可 | ❌ | ❌ | ❌ |
| 削除権エンドポイント | ✅ DELETE /v1/me/account | ❌ チケット経由 | ❌ チケット経由 | ❌ チケット経由 |
EU 居住型、DPA、インフラレベルの GDPR 対応 — 全て Pro プラン($59/月)に含まれています。別料金、営業への問い合わせ、個別価格設定は不要です。
これは意図的な戦略です:Hetzner へのホスティングは追加費用がかからず(当社 VPS は常に Nuremberg にあるため)、DPA はメールで一度署名するだけの標準テンプレートです。プライバシーのために余分にお金を払う必要はありません。
GDPR 感受性の高いプロジェクトに Free プランを使用できますか?
Section titled “GDPR 感受性の高いプロジェクトに Free プランを使用できますか?”可能です — Free プランでも同じインフラ(Hetzner Nuremberg)、同じ匿名化アナリティクス、同じ 30 日ログ保持期間を提供しています。Free プランでは DPA は利用できません(管理オーバーヘッドが大きく、有料プランでのみカバー)。技術的にはデータ処理は同一です。
顧客の法務チームが署名済み DPA を要求する場合、Indie プラン($5/月)でも DPA は提供されません。DPA が必要な場合の最安プランは Pro($59/月) です。
ECJ Schrems II 判決への対応は?Cloudflare CDN は米国企業ですが?
Section titled “ECJ Schrems II 判決への対応は?Cloudflare CDN は米国企業ですが?”Cloudflare は米国企業ですが、EU-region cache rules を使用しています(EU からの IP は EU エッジで処理)。また、origin server(実際のデータ処理場所)は Hetzner Nuremberg です。個人情報(birth-data)は Cloudflare エッジを通過しますが、同一地域内であり、エッジに保存されることはありません。
医療アプリケーションや B2G などの機密性の高いシナリオでは、Cloudflare をバイパスして DNS ルーティングでオリジンに直接接続することも可能です。legal@astroway.info までご連絡ください。
Pro プラン加入後に DPA を受け取るまでの時間は?
Section titled “Pro プラン加入後に DPA を受け取るまでの時間は?”- 標準 DPA(当社テンプレート)— 初回決済後にダッシュボードで
astroway-dpa-v1.pdfを即座に入手可能 - 顧客の法務チームによるカスタム修正 — 3–5 営業日。Art. 28 の標準条項については柔軟に対応します。
PII を扱わない B2B 開発者でも DPA に署名する必要はありますか?
Section titled “PII を扱わない B2B 開発者でも DPA に署名する必要はありますか?”顧客の製品が PII を扱う場合(birth-data は PII に該当)は、顧客の法務チームが sub-processor 全社との DPA 署名を要求する可能性が高いです。当社では標準で DPA を提供します。社内利用(従業員のみ)の場合は DPA が不要な場合もありますが、署名することを推奨します。
DELETE /v1/me/account を実行した場合、AstroWay はどう処理しますか?
Section titled “DELETE /v1/me/account を実行した場合、AstroWay はどう処理しますか?”- API キー — ソフト削除(abuse 防止のための cooldown あり)
- アカウントとキーの関連付け — 解除され、キーは再割り当て不可
- ユーザープロファイル — 削除フラグとタイムスタンプ付きでマーク
- 使用ログ — IP ハッシュは PII ではないため、課金監査用に保持
- 注文履歴 — GDPR Art. 17 §3 e に基づく法定財務保持期間 7 年で保持
- トランザクションメール — SMTP プロバイダーにより 90 日後に自動削除
完全なフローは legal@astroway.info までご依頼ください。
お問い合わせ
Section titled “お問い合わせ”- 法務/DPA: legal@astroway.info
- セキュリティインシデント: security@astroway.info
- Subprocessor リスト / DPIA: hello@astroway.info