1. 概要 / Overview
LemonCake (運営: Evid AI / contact@aievid.com) は AI エージェントが有料 API を USDC で従量課金しながら利用するためのマーケットプレイスです。本ポリシーは LemonCake のダッシュボード (lemoncake.xyz)、API (api.lemoncake.xyz)、npm パッケージ `agent-payment-mcp` および `create-lemon-agent` で取り扱う情報を対象とします。
2. 取得するデータ / Data we collect
1. アカウント情報: メールアドレス、表示名、ハッシュ化されたパスワード (email サインアップ時のみ)、Google OAuth の sub ID。 2. 決済情報: Stripe Customer ID、Coinbase Commerce charge ID、課金トランザクション履歴 (金額・タイムスタンプ・冪等性キー・サービス ID)。 3. ウォレット情報: バイヤーが手動で登録した Polygon ウォレットアドレス (送金先用)。LemonCake は秘密鍵を取得・保管しません。 4. エージェント識別子: permit に紐づく `buyerTag`、`agentName`、`agentDescription` (任意入力)。 5. テクニカルログ: API リクエスト IP、User-Agent、X-LemonCake-Client ヘッダ、Charge レコードのリクエスト/レスポンスハッシュ (SHA-256)。本文そのものは保存しません。 6. 会計連携: 連携済みの freee / Money Forward / QuickBooks 認可トークン (暗号化済み、自動仕訳目的のみ)。
3. データの利用目的 / How we use data
- 課金処理 (permit 発行、charge 確定、provider への USDC 送金、手数料計算) - アカウント管理 (ログイン、KYC ステータス、KYA / KYC 段階管理) - 不正検知 (リスクスコア、レート制限、Token 無効化) - 会計連携 (連携同意済みの会計ソフトに仕訳を自動投稿) - 法令遵守 (国税庁適格請求書照合、源泉徴収判定 — 日本居住者のみ) - サービス改善 (集計済みのテレメトリのみ。個人特定可能情報を含む形での解析は行いません)
4. 第三者サービス / Third-party services
LemonCake は以下の事業者と限定的にデータを共有します。各社のプライバシーポリシーは各社サイトをご参照ください。 - Stripe (カード/銀行振込決済) — 決済情報 - Coinbase Commerce (USDC 直接決済) — メールアドレス、charge ID - Anthropic / Google (OAuth サインアップ時) — メールアドレス、表示名 - freee / Money Forward / QuickBooks (会計連携した場合のみ) — 仕訳金額・取引先名 - Polygon ネットワーク (USDC 送金) — 送信元/送金先ウォレットアドレス、金額。Polygon は public blockchain のため、これらは公開情報です。 - マーケットプレイス上の各 Provider (例: Hunter.io, Serper, Firecrawl) — エージェントが call_service で叩いた path / body。LemonCake はリクエスト本文を保存しませんが、Provider 側のログには残ります。
5. データ保管期間 / Data retention
- 課金トランザクション (Charge / PlatformRevenue / ProviderPayout): 7 年 (日本の電子帳簿保存法に準拠) - アカウント情報: アカウント削除リクエスト後 30 日以内に消去 (法令で保管義務がある会計データを除く) - API ログ (テクニカル): 90 日でローリング削除 - permit: 失効 (`expiresAt`) または revoke 後 90 日でメタデータ削除 - 会計連携トークン: 連携解除と同時に即時削除
6. セキュリティ / Security
- 通信は全て HTTPS (TLS 1.2+) - パスワードは bcrypt でハッシュ化、原文は保存しません - HOT_WALLET / Treasury の秘密鍵は本番環境変数 (Railway / GCP Secret Manager) で管理、リポジトリには commit しません - Stripe / Coinbase webhook は HMAC SHA-256 署名検証 - 脆弱性報告: SECURITY.md に従ってください (https://github.com/evidai/lemon-cake/blob/main/SECURITY.md)
7. ユーザーの権利 / Your rights
日本居住者は個人情報保護法、EU 居住者は GDPR、カリフォルニア州居住者は CCPA に基づき、以下の権利を行使できます。 - アクセス: 当社が保有するあなたのデータの開示請求 - 訂正: 不正確なデータの修正請求 - 削除: アカウント削除によるデータ消去 (法令上保管義務のあるデータを除く) - 移植: 機械可読形式 (JSON) でのエクスポート 請求は **contact@aievid.com** までメールで。30 日以内に対応します。
9. AI エージェント特有の事項 / AI agent specific
LemonCake は AI エージェントが自律で paid API を呼ぶことを想定しています。これに伴う特殊な取り扱い: - **permit は agent に渡される** ことを前提に、強制 expiry / 強制 limit / sandbox flag / scope 限定を提供しています。漏洩時の被害を最小化するためです。 - **エージェントが叩いた API リクエスト本文** (例: Hunter.io への "domain=anthropic.com") は LemonCake サーバー側では SHA-256 ハッシュのみ保存し、原文は保存しません。Provider 側 (Hunter.io 等) のログには保管されます。 - **エージェントの "考えていること"** (LLM のプロンプト本文や思考過程) は LemonCake には一切送信されません。MCP サーバー経由で受け取るのは tool 呼び出しの引数のみです。
10. 本ポリシーの変更 / Changes to this policy
本ポリシーを変更する場合、変更日 30 日前までに登録メールアドレスへ通知し、本ページの "最終更新日" を更新します。継続的に LemonCake を利用することで変更後のポリシーに同意したものとみなします。
11. お問い合わせ / Contact
本ポリシー、データ取扱い、削除リクエスト等は以下まで: - Email: **contact@aievid.com** - 運営: Evid AI (Tokyo, Japan) - セキュリティ脆弱性: SECURITY.md (https://github.com/evidai/lemon-cake/blob/main/SECURITY.md)