プライバシーポリシー

1. 事業者情報

• 商号: Bookyou株式会社
• 法人番号: 8010001213708
• 適格請求書発行事業者登録番号 (インボイス番号):
• 代表者: 梅田 茂利
• 所在地: 〒112-0006 東京都文京区小日向2-22-1
• 個人情報取扱いに関する問合せ窓口: [email protected]

2. 取得する個人情報

当社は、本サービスの提供に必要な範囲で、以下の個人情報を取得いたします。

• メールアドレス
• 氏名 (任意項目)
• 決済情報 (Stripe, Inc. 経由で処理されるクレジットカード情報。カード番号・有効期限・セキュリティコードは当社において一切保持いたしません)
• IPアドレス
• 本サービスAPIのアクセスログ (リクエスト日時、エンドポイント、レスポンスステータス、消費クレジット等)
• User-Agent 情報
• Cookie その他の識別子
• お問い合わせフォームまたは電子メールによりご提供いただいた内容

3. 利用目的

当社は、取得した個人情報を以下の目的の範囲内で利用いたします。

• (a) 本サービスの提供、利用者の認証および課金処理
• (b) 障害対応、不正利用の検知および防止、セキュリティ維持
• (c) 利用統計の作成および本サービスの品質改善・機能開発
• (d) 法令遵守、監督官庁への対応、紛争対応および権利行使・義務履行
• (e) 本サービスに関するお知らせおよびアップデート情報の通知 (利用者は電子メール内の指示に従い、いつでもオプトアウト (配信停止) することが可能です)

4. 第三者提供

当社は、法令に基づく場合を除き、あらかじめ本人の同意を得ることなく、個人情報を第三者に提供することはいたしません。ただし、本サービスの提供に必要な範囲において、次条に列挙する業務委託先に対して個人情報の取扱いを委託する場合があり、この場合は個人情報保護法第27条第5項第1号に基づき「第三者提供」には該当いたしません。

5. 業務委託および外国にある第三者への提供 (個人情報保護法第28条)

当社は、本サービスの運営のため、以下の外国にある第三者に対して個人情報の取扱いを委託しております。本項目に関する本人の同意は、本サービスの利用登録時において本ポリシーへの同意として取得するものといたします。

5.1 Stripe, Inc. (米国)

• 委託内容: 決済処理、請求書発行、Customer Portal の提供
• 所在国: アメリカ合衆国
• 当該国の個人情報保護制度: 米国には連邦統一の包括的個人情報保護法は存在せず、州法によるパッチワーク規制 (カリフォルニア州 CCPA / CPRA、バージニア州 VCDPA 等) および分野別連邦法 (HIPAA、GLBA 等) により構成されています
• 適切かつ合理的な方法により講ずる措置: 同社は EU-US Data Privacy Framework、UK Extension および Swiss-US Data Privacy Framework に自己認証 (self-certification) を行っており、個人情報の適切な保護が担保されております。当社は同社との間で個別に契約を締結し、Standard Contractual Clauses (SCC) に準じた保護措置を講じております

※ 当社の決済代行契約は Stripe Payments Japan 株式会社 (日本法人) と締結しており、決済データは同社経由で米国親会社 Stripe, Inc. に処理委託されます。

5.2 Fly.io, Inc. (米国)

• 委託内容: 本サービスのアプリケーションホスティング (東京リージョン nrt)
• 所在国: アメリカ合衆国 (データ保管地は東京データセンターですが、管理会社が米国法人であるため個人情報保護法第28条の適用対象となります)
• 当該国の個人情報保護制度: 前項5.1に記載のとおりです
• 適切かつ合理的な方法により講ずる措置: 同社との個別契約により、Standard Contractual Clauses (SCC) に準じた保護措置を講じております。at-rest 暗号化および TLS1.2 以上による通信暗号化を適用しております

5.3 Cloudflare, Inc. (米国)

• 委託内容: DNS、CDN、Cloudflare Pages (静的サイト配信)、Cloudflare Web Analytics によるアクセス解析
• 所在国: アメリカ合衆国
• 当該国の個人情報保護制度: 前項5.1に記載のとおりです
• 適切かつ合理的な方法により講ずる措置: 同社は EU-US Data Privacy Framework に自己認証を行っております。当社は同社との間で個別契約を締結し、Standard Contractual Clauses (SCC) または DPF に基づく適切保護措置を講じております

5.4 Sentry (Functional Software, Inc.) (米国)

• 委託内容: エラー監視および例外通知
• 所在国: アメリカ合衆国
• 当該国の個人情報保護制度: 前項5.1に記載のとおりです
• 適切かつ合理的な方法により講ずる措置: 同社との個別契約により Standard Contractual Clauses (SCC) に準じた保護措置を講じております。本人を特定し得る文字列 (メールアドレス、APIキー、氏名等) を含むエラーメッセージは、送信前に当社アプリケーションにおいて匿名化・マスキング処理を実施しております

6. 漏えい等の報告 (個人情報保護法第26条)

当社は、個人情報の漏えい、滅失または毀損 (以下「漏えい等」といいます) を検知した場合、個人情報保護法第26条および個人情報保護委員会規則に従い、以下のとおり対応いたします。

• 速報: 漏えい等の事態の発生を把握した日から概ね3日から5日以内に、個人情報保護委員会に対して速報を行います
• 確報: 当該事態を知った日から30日以内 (不正の目的をもって行われたおそれがある漏えい等にあっては60日以内) に、個人情報保護委員会に対して確報 (最終報告) を行います
• 本人への通知: 影響を受ける本人に対して、事態の発生を把握した時点から72時間以内を目安として、電子メールによる通知を実施いたします。ただし、本人への通知が困難な場合は、個人情報保護法第26条第2項ただし書に従い、当社ウェブサイト上の公表その他の本人に代わる措置を講じます
• Public postmortem (事後公開報告): 発生から7営業日以内を目途に、当社ブログ等において事象の概要、原因、再発防止策を公表いたします

7. 採択事例等に含まれる個人事業主氏名の取扱い

当社は、本サービスまたは当社ウェブサイト上において補助金等の制度の採択事例を紹介する場合、J-Grants、各省庁・地方公共団体・外郭団体の公式公表資料等において既に公表済みの情報のみを転載する方針といたします。当該再掲は、個人情報保護法第27条第5項第7号 (取得の経緯その他の事情を考慮し、本人の権利利益を不当に害するおそれがないと認められる場合として、公開情報を適法に取得した第三者に提供する場合) を根拠とし、かつ本サービスの情報提供目的 (公的制度の普及・検証) に照らして必要最小限の範囲で行います。

本人から削除請求を受領した場合、当社は7営業日以内に削除対応を実施いたします。また、プライバシー保護を希望される本人の方向けに、氏名・屋号を非表示とし、業種および都道府県名のみを残すマスキングオプションを提供しております。マスキングをご希望される場合は、[email protected] 宛てに当該採択事例を特定する情報 (掲載URL、採択年度、事業名等) を添えてご連絡ください。

なお、法人の商号、法人の代表者の氏名および法人の所在地は、個人情報保護法上の「個人情報」 (生存する個人に関する情報) に該当しないため、本項の削除・マスキング対象には含まれません。ただし、当該法人の代表者自身が個人として削除を希望される場合、および個人事業主の屋号と氏名が一致する場合については、本項の手続の対象として受け付けます。

7-2. 行政処分・判例情報に含まれる氏名等の取扱い

当社は、本サービスにおいて行政処分事例 (行政機関による指名停止、営業停止、登録取消等) および裁判所判例情報を提供する場合、各所管官庁の公表資料、官報、裁判所ウェブサイト (判例検索) その他の既に社会に広く公表された一次情報源からのみ情報を取得し、原則として当該情報源と同一の範囲で掲載いたします。

本人またはその代理人から削除・訂正を希望される場合、当社は、公益性 (行政処分情報の公開目的) と本人の権利利益 (名誉権、プライバシー権) の比較衡量を行ったうえで、個別に対応可否を判断いたします。一次情報源において既に削除・訂正が行われた情報については、当社も速やかにこれに追従いたします。ご請求は [email protected] までお願いいたします。

8. 安全管理措置

当社は、取り扱う個人情報の漏えい、滅失または毀損の防止その他の個人情報の安全管理のため、以下の措置を講じております。

• 組織的安全管理措置: 個人情報保護管理責任者を1名配置し、個人情報の取扱いに関する責任体制を明確化しております
• 人的安全管理措置: 当社代表者のみが本番データベースへのアクセス権を保有し、その他の者にはアクセス権を付与しておりません。また、代表者が当該職を退任した場合には、退任と同時にアクセス権を剥奪いたします
• 物理的安全管理措置: 個人情報を含むデータは Fly.io, Inc. 提供の東京データセンター (nrt リージョン) に保存し、物理的セキュリティが確保された環境で管理しております
• 技術的安全管理措置: 通信は TLS 1.2 以上による暗号化を適用し、保管時 (at-rest) においても暗号化を実施しております。APIキーはハッシュ化して保存し、原文は再取得不可能な形式で管理しております。すべての本番系アクセスについてアクセスログを保管しております

8.1 ログ等の保持期間

当社は、個人情報を含むログおよび記録を、その種別に応じて以下の期間保持し、経過後は速やかに削除または匿名化いたします。

• API アクセスログ (リクエスト日時、エンドポイント、IPアドレス等): 90 日間 (不正利用調査およびレート制限監査のため)
• エラーログ (Sentry 経由): 180 日間 (障害再発防止および品質改善のため)
• 請求関連情報 (インボイス、課金明細、Stripe 連携ログ): 7 年間 (法人税法、消費税法、電子帳簿保存法に基づく保存義務のため)
• 本人確認資料 (開示等請求時): 請求対応完了後 3 年間 (再請求時の本人性確認および紛争対応のため)
• 解約済アカウントの API キー履歴: 解約後 90 日間 (未払料金精算および不正利用調査のため)

9. 開示・訂正・利用停止請求の手続き (個人情報保護法第27条から第34条)

本人または代理人は、当社が保有する個人データに関し、個人情報保護法に基づく開示、訂正、追加、削除、利用停止、消去および第三者提供の停止 (以下「開示等請求」といいます) を請求することができます。

• 請求先: [email protected]
• 請求方法: 上記宛てに、請求内容および本人確認資料 (運転免許証、パスポート、マイナンバーカード (個人番号を黒塗りしたもの) 等の写し) を添付のうえご請求ください
• 回答期限: 請求受領後30 日以内に一次応答を行い、開示・訂正・削除等の実行を完了いたします。ただし、調査対象が広範である場合その他の合理的理由によりこの期間内に対応を完了できない場合は、その旨および見込期日を請求者に通知いたします
• データポータビリティ (自己データのエクスポート): 有償利用者の方は、当社ダッシュボードおよび Stripe Customer Portal から、自己のアカウントに紐づくアクセスログおよび請求明細を電子的に出力することができます (セルフサービス、申請不要)
• 手数料: 原則として無料ですが、調査・開示にかかる実費が1件あたり1,000円を超える場合は、請求者に対して事前にその旨および概算額を通知し、同意を得たうえで請求させていただきます

10. Cookie およびアクセス解析

当社は、本サービスおよび当社ウェブサイトにおけるアクセス解析ツールとして、Cloudflare Web Analytics のみを使用しております。Cloudflare Web Analytics は Cookie を使用せず、個人を特定し得る情報 (PII) との紐付けも行いません。

当社は、Google Analytics その他の Cookie ベースの第三者解析ツールを使用しておりません。

11. 本ポリシーの改定

当社は、法令の改正、本サービス内容の変更その他の理由により、本ポリシーを改定することがあります。

• 重要な変更: 本人の権利義務に重大な影響を及ぼす変更を行う場合、変更の30日前までに本ページ上で告知いたします
• 軽微な変更: 表現の修正、連絡先の軽微な変更等、本人の権利義務に実質的影響を及ぼさない変更については、本ページへの掲載をもって即時反映いたします
• 法令改正への対応: 個人情報保護法その他関連法令の改正があった場合、当該改正法の施行日までに本ポリシーを必要な範囲で改定し反映いたします

12. 問合せ窓口

• 事業者: Bookyou株式会社
• 担当部署: 個人情報保護管理責任者
• 電子メール: [email protected]
• 対応時間: 営業日 (土日祝日および当社の定める休業日を除く平日) の合理的時間内

関連文書

• 利用規約
• 特定商取引法に基づく表記