プライバシー & セキュリティ
Privacy & Security
FigmaNavi がどのようにデザインデータ・AI プロンプト・お客様情報を扱うかについて。
How FigmaNavi handles your design data, AI prompts, and customer information.
最終更新: 2026 年 4 月 Last updated: April 2026
3 行で言うと
In short
- Figma ファイルの内容(レイヤー、テキスト、画像、構造)はサーバーに送信しません。 We never send your Figma file contents (layers, text, images, structure) to any server.
- AI 生成機能で送信するのは、あなたが入力したテキストプロンプトだけです。 Only your typed text prompt is sent for AI generation — nothing else from your file.
- Anthropic API は、入力データを学習に使用しません(デフォルト)。 Anthropic does not use API inputs to train its models (default policy).
データの取り扱い
Data handling
いいえ。アクセシビリティスキャン(コントラスト、Alt、見出し構造、Linter など)は、すべてプラグイン内(Figma が提供する iframe サンドボックス)で完結します。レイヤー名、テキスト、画像、フレーム構造などのデザインデータが FigmaNavi のサーバーや第三者に送信されることはありません。
No. All accessibility scans (contrast, alt text, heading structure, linter, etc.) run entirely inside the plugin's Figma sandbox. No layer names, text, images, or frame metadata leave your machine.
あなたが入力フィールドに記入した自然言語プロンプト(例: 「ログインフォームを作って」)のみが、FigmaNavi の Cloudflare Worker 経由で Anthropic Claude API に送信されます。Figma ファイルの内容、選択ノード、メタデータは送信しません。
送信ペイロードに含まれるのは以下のみです:
・プロンプト文字列
・同一会話内の過去メッセージ履歴
・ライセンスキー、または匿名のトライアル識別子(Figma User ID + HMAC 署名)
Only the natural-language prompt you type (e.g. "create a login form") is sent through the FigmaNavi Cloudflare Worker to the Anthropic Claude API. Figma file contents, selected nodes, and metadata are never sent.
The request payload contains only:
・Your prompt text
・Prior message history within the same conversation
・Your license key, or an anonymous trial identifier (Figma User ID + HMAC signature)
いいえ(デフォルト)。Anthropic の Commercial API は「By default, we will not use your inputs or outputs … to train our models」を明文化しています。
保持期間は最大 30 日(Anthropic 標準)で、その後自動削除されます。Trust & Safety ポリシー違反として分類された場合のみ最大 2 年保持されます。
No, by default. Anthropic's commercial API states: "By default, we will not use your inputs or outputs … to train our models."
Default retention is up to 30 days, after which data is automatically deleted. Only data flagged for Trust & Safety review may be retained up to 2 years.
Reference: Anthropic Privacy Center
レイヤー別の処理場所は以下の通りです:
・プラグイン UI: Figma サンドボックス内(あなたのブラウザ内)
・API プロキシ: Cloudflare Workers(グローバルエッジ、最寄り PoP)
・ライセンス DB: Cloudflare D1(現状: 米国リージョン、EU 化対応中)
・LLM 推論: Anthropic API(米国、inference_geo パラメータで地域指定可)
・決済: Polar.sh (Merchant of Record) + Stripe(米国・EEA)
Processing locations by layer:
・Plugin UI: Figma sandbox (your browser)
・API proxy: Cloudflare Workers (global edge, nearest PoP)
・License DB: Cloudflare D1 (currently US region; EU residency in progress)
・LLM inference: Anthropic API (US; geo-routable via inference_geo)
・Payments: Polar.sh (Merchant of Record) + Stripe (US / EEA)
いいえ。FigmaNavi は Polar.sh を Merchant of Record として利用しており、決済情報は Polar / Stripe が直接処理します。FigmaNavi のサーバー(Cloudflare D1)に保存されるのは、発行されたライセンスキーと月次使用回数のみです。カード番号・氏名・住所などは FigmaNavi 側に到達しません。
No. FigmaNavi uses Polar.sh as Merchant of Record, and payment data is handled by Polar / Stripe directly. FigmaNavi's database (Cloudflare D1) stores only your license key and monthly usage count. Card numbers, names, and addresses never reach FigmaNavi.
プラグイン内でライセンスキーを削除すると、Figma の clientStorage から消去されます。サーバー側のライセンス情報および使用回数の削除は、お問い合わせフォームからリクエストください(GDPR 第 17 条に基づく削除権を尊重します)。
Deleting your license key in the plugin removes it from Figma's clientStorage. To delete your server-side license record and usage history, please request via support (we honor GDPR Article 17 right to erasure).
サブプロセッサ
Subprocessors
FigmaNavi は以下の第三者サービスをサブプロセッサとして利用しています。 FigmaNavi uses the following third-party services as subprocessors.
| 事業者Provider | 用途Purpose | 認証Compliance |
|---|---|---|
| Anthropic | AI 推論 (Claude API)AI inference (Claude API) | SOC 2 Type II / ISO 27001 / ISO 42001 |
| Cloudflare | API プロキシ (Workers) + ライセンス DB (D1)API proxy (Workers) + license DB (D1) | SOC 2 Type II / ISO 27001 / ISO 27018 / ISO 27701 / PCI DSS |
| Polar.sh | 決済 (Merchant of Record) + ライセンス発行Payments (Merchant of Record) + license issuance | GDPR / Stripe sub-processor |
| Stripe | 決済処理 (Polar 経由)Payment processing (via Polar) | PCI DSS Level 1 / SOC 2 / ISO 27001 |
| Figma | プラグインホスティングPlugin hosting | SOC 2 Type II / ISO 27001 / ISO 27018 |
エンタープライズ向け
For enterprise customers
FigmaNavi 自体は現時点で SOC 2 / ISO 27001 認証を取得していません(個人開発者によるサービスのため)。基盤として利用している Anthropic、Cloudflare はいずれも SOC 2 Type II / ISO 27001 を取得しており、各社の Trust Center からレポートを請求いただけます。
FigmaNavi itself is not currently SOC 2 or ISO 27001 certified (we are an indie operation). The infrastructure providers we depend on — Anthropic and Cloudflare — both hold SOC 2 Type II and ISO 27001, and reports are available from their respective Trust Centers.
エンタープライズ契約をご希望のお客様には、カスタム DPA を個別にご相談しています。お問い合わせください。
We discuss custom DPAs case-by-case for enterprise customers. Please contact us.
これらは個別のエンタープライズプランとしてご提供を準備中です。具体的には:
・Anthropic との ZDR 契約(プロンプト・レスポンスを Anthropic 側に永続保存しない)
・Cloudflare D1 の EU Jurisdiction 固定
・inference_geo による LLM 推論の地理的制御
導入時期や条件についてはお問い合わせください。
These are available as a custom Enterprise plan, including:
・ZDR contract with Anthropic (no persistent storage of prompts / responses)
・Cloudflare D1 pinned to EU Jurisdiction
・LLM inference geo-pinned via inference_geo
Please contact us for timeline and pricing.
設計上、Figma ファイルの内容そのものはバックエンドに送信しないため、スキャン機能はオフラインプラグインと同等のプライバシーレベルです。AI 生成機能はユーザーが入力したプロンプトのみが Anthropic API に送信されるため、プロンプトに機密情報を含めない運用をご検討ください。社内ポリシーとして第三者 LLM ベンダーへのデータ送信が禁止されている場合は、AI 生成機能のみを無効化してご利用いただけます。
By design, Figma file contents never leave your machine, so scan features have the same privacy posture as a fully-offline plugin. The AI generation feature sends only your typed prompt to the Anthropic API — please avoid pasting confidential information into prompts. If your organization prohibits sending data to third-party LLM providers, you can use FigmaNavi with the AI generation feature disabled.
セキュリティ・プライバシーに関するご質問、DPA・エンタープライズ契約のご相談は、GitHub Issues までお願いします。
For security or privacy questions, DPAs, or enterprise inquiries, please open an issue on GitHub.