AIアプリの『外部送信ポリシー』の書き方｜Lovable・Supabase・OpenAI等を使うサービス向けテンプレート

Lovable・Supabase・OpenAI・Google Analytics などを組み合わせてWebサービスを公開する場合、2023年6月施行の改正電気通信事業法（いわゆる『外部送信規律』）により、利用者の端末から外部事業者へ情報を送信する場合は事前に公表する義務があります。AI/バイブコーディングで素早く作ったサービスほど、知らないうちに多くの外部送信が行われがちです。

なぜAIアプリで特に重要か#

• Lovable AI Gateway / OpenAI / Gemini への入力テキストが米国サーバーへ送信される
• Supabase（Lovable Cloud）のセッションCookie・認証トークンが外部に保管される
• Google Analytics / Vercel Analytics / PostHog などのアクセス解析タグが自動で同梱されがち
• Stripe・Resend・Twilio など決済/通知系も利用者情報を外部送信する

ポリシーに最低限書く3項目#

1. 外部送信の目的（解析・広告・認証・AI推論など）
2. 送信先事業者名と送信される情報（IP、Cookie、入力テキスト等）
3. ポリシー変更時の周知方法と問い合わせ窓口

AIサービス向けテンプレート（コピペ可）#

# 利用者情報の外部送信ポリシー

当社が運営する本サービスでは、機能提供・品質改善・アクセス解析等のため、利用者の端末から以下の外部事業者へ情報を送信しています（電気通信事業法第27条の12）。

## 1. 外部送信の目的
- AI機能の提供（入力テキストの推論）
- 認証・セッション維持
- アクセス解析・不具合検知
- 決済・メール配信

## 2. 外部送信先と送信情報
| 送信先 | 送信される情報 | 目的 |
|---|---|---|
| OpenAI, L.L.C.（米国） | 利用者が入力したテキスト | AI応答の生成 |
| Supabase Inc.（米国） | セッショントークン、IPアドレス | 認証・DBアクセス |
| Google LLC（米国） | Cookie、閲覧URL、IP | アクセス解析（GA4） |
| Stripe, Inc.（米国） | 決済情報、IP | 決済処理 |

## 3. 変更・お問い合わせ
本ポリシーは予告なく変更される場合があります。改定時は本ページに掲示します。
お問い合わせ：xxx@example.com

他社の外部送信ポリシー事例（参考リンク）#

実際の書き方は他社事例を見るのが一番早いです。業種・規模感が違うものを並べて読むと、自社に必要な粒度が掴めます。

Lovableで作ったサイトでの設置手順#

1. /legal/external-transmission のようなページをルーティング追加
2. テンプレートを貼り付け、実際に使っているSaaSだけを残す
3. フッターに『外部送信ポリシー』のリンクを設置（プライバシーポリシーとは別ページが推奨）
4. Cookie同意バナーを併用する場合は、解析タグを同意後に発火させる

よくある誤解#

Q. プライバシーポリシーに書けばOK？

総務省ガイドラインでは『容易に知り得る状態』であれば独立ページでなくても可ですが、プライバシーポリシー内で混在させるとユーザーが見つけにくく、行政指導リスクが上がります。独立ページ＋フッターリンクが安全側です。

Q. 個人を特定できない情報なら不要？

対象は『利用者に関する情報』全般で、Cookieや端末識別子など個人情報に該当しないものも含まれます。匿名でも対象になり得ます。