プライバシーポリシー
1. はじめに
本プライバシーポリシー(以下「本ポリシー」)は、Japan Onsen & Sauna Guide(以下「当サイト」)が、ユーザーの皆様(以下「ユーザー」)の個人情報をどのように収集、使用、保護、共有するかについて説明するものです。
当サイトは、日本国内および国際的なユーザーに対してサービスを提供しており、以下の法令を遵守します:
- 日本の個人情報保護法(APPI)
- EU一般データ保護規則(GDPR)
- カリフォルニア消費者プライバシー法(CCPA)
- その他適用される各国のデータ保護法
2. 事業者情報
サービス提供者: 株式会社ForceEngine
注記: 施設検索・記事閲覧等の無料部分について、特定商取引法上の「通信販売」に該当しない取引が中心です。一方、プレミアムマガジン等の有料デジタルコンテンツを購入される場合は、特定商取引法に基づく表示をご確認ください。
3. 収集する個人情報
3.1 ウェイトリスト登録時に収集する情報
プレミアムマガジンのウェイトリストに登録する際、以下の情報を収集します。
- メールアドレス(ユーザーが任意で入力)
- 登録日時
- 登録時の言語設定
収集した情報は、マガジン公開時の通知メール送信のみに使用します。ウェイトリストはメール内の解除リンクからいつでも解除できます。
3.2 お問い合わせ時に収集する情報
お問い合わせフォームから送信される以下の情報を収集します。
- メールアドレス
- お問い合わせ内容
- 送信日時
3.3 自動的に収集される情報
当サイトへのアクセス時、以下の情報が自動的に収集されます:
- IPアドレス
- ブラウザの種類とバージョン
- オペレーティングシステム
- リファラーURL(当サイトへのアクセス元のページ)
- アクセス日時
- 閲覧ページ
- Cookie ID(後述)
3.4 位置情報
施設検索機能を使用する際、ユーザーの許可を得た上で、デバイスの位置情報(緯度・経度)を取得する場合があります。この情報は検索結果の提供のみに使用され、保存されません。
3.5 プレミアムマガジン等の購入・決済時に収集する情報
Stripe Checkout 等を通じて有料コンテンツを購入する際、以下の情報が当社または決済代行業者を通じて処理されます。
- メールアドレス(購入者確認、マジックリンク送信用)
- 購入したコンテンツの識別情報(雑誌の識別子等)
- 決済・注文に関する識別子(決済代行業者が発行する取引ID等。カード番号そのものは当社のサーバーに保存しません)
- お支払い金額・通貨・決済日時(取引記録として)
カード番号やセキュリティコード等の機微な決済情報は、決済代行業者が PCI DSS に準拠した形で取り扱います。
3.6 マジックリンク等によるログイン(認証)時に扱う情報
有料コンテンツ閲覧のためのログインには、当社が利用する認証基盤が関与します。この際、以下の情報が生成・保存される場合があります。
- メールアドレス(ログイン用リンクの送付先)
- セッション識別子・認証トークン(ブラウザの Cookie 等に保存されることがあります)
- ログイン試行に関する技術的ログ(不正利用防止のための IP アドレス、アクセス日時等)
4. 個人情報の利用目的
収集した個人情報は、以下の目的で利用します:
4.1 サービスの提供
- コンテンツの表示と管理
- 有料コンテンツの購入処理、購入履歴の管理、閲覧権限の付与
- マジックリンク等によるログインの実現、セッションの維持
- 購入完了通知、閲覧用リンクの送付、再ログイン用リンクの送付(ユーザーが手続を行った場合)
4.2 サービスの改善
- アクセス解析
- サイトの使いやすさの向上
- 新機能の開発
4.3 コミュニケーション
- お問い合わせへの対応
- 重要なお知らせの送信(セキュリティ関連、サービス変更等)
- ウェイトリスト登録者へのマガジン公開通知メールの送信(登録者の同意に基づく)
- 有料コンテンツに関する購入完了の案内、マジックリンク等によるログイン用メールの送付(ユーザーが手続を行った場合)
4.4 不正利用の防止
- スパムやボットの検知
- セキュリティインシデントの調査
4.5 法令遵守
- 法的義務の履行
- 法的請求への対応
5. 個人情報の処理の法的根拠(GDPR対応)
EU住民の個人情報を処理する法的根拠は以下の通りです:
5.1 正当な利益(GDPR Article 6(1)(f))
- サービス改善のための分析
- 不正利用の防止
- セキュリティの維持
5.2 同意(GDPR Article 6(1)(a))
- 分析Cookieの使用
- ウェイトリストへの登録
5.3 法的義務の遵守(GDPR Article 6(1)(c))
- 法令により要求される情報の保持
5.4 契約の履行(GDPR Article 6(1)(b))
EU域内ユーザーを含み、有料コンテンツの購入契約の締結・履行に必要な範囲で、メールアドレス、購入・決済に関する情報を処理します。
6. Cookieの使用
当サイトでは、以下のCookieを使用します:
6.1 必須Cookie(同意不要)
| 目的 | 保存期間 | | ------------------------------------------ | -------------------- | | 言語設定の保存 | 30日 | | ログインセッションの維持(有料閲覧認証等) | 認証基盤の設定に従う |
6.2 分析Cookie(同意が必要)
| 目的 | 保存期間 | | ------------------------------------------------ | -------- | | アクセス解析(訪問者数、ページビュー数等の統計) | 最大2年 |
アクセス解析サービスについて: 当サイトでは、サイトの利用状況を分析するためにサードパーティのアクセス解析サービスを使用しています。これらのサービスは、Cookieを使用してユーザーの行動を追跡しますが、個人を特定する情報は収集しません。
Cookie の管理: ブラウザの設定で、Cookieの受け入れを拒否したり、既存のCookieを削除することができます。ただし、必須Cookieを無効にすると、サービスの一部機能が正常に動作しない場合があります。
7. 個人情報の第三者提供
当サイトは、以下の場合を除き、ユーザーの個人情報を第三者に提供しません。
7.1 サービス提供に必要な第三者
| カテゴリー | 目的 | 提供する情報 | 所在地 | | -------------------------- | ---------------------------------- | ------------------------------------------------------------ | ------ | | クラウドデータベース・認証 | データベース、認証、ストレージ | ウェイトリスト・購入・認証に関する情報、セッション関連データ | 米国等 | | アクセス解析サービス | サイト利用状況の分析 | アクセスログ | 米国 | | ホスティングプロバイダー | ウェブサイトのホスティング | アクセスログ | 米国 | | メール配信サービス | 通知・マジックリンク等メールの配信 | メールアドレス、メール本文に含まれるリンク用トークン等 | 米国 | | 決済代行 | クレジットカード決済の処理 | 決済に必要な情報(カードの完全番号は当社に非保持) | 米国等 |
これらの第三者は、適切なデータ保護契約(Data Processing Agreement)に基づき、厳格なセキュリティ基準の下で個人情報を管理しています。
7.2 国際データ転送
上記の通り、一部の個人情報は米国やEU外に転送されます。これらの転送は、以下のメカニズムにより保護されています:
- 標準契約条項(Standard Contractual Clauses, SCC)
- 適切性認定(該当する場合)
- その他GDPR第5章に準拠した保護措置
7.3 法令に基づく開示
以下の場合、法的義務により個人情報を開示することがあります:
- 裁判所の命令
- 法執行機関からの正式な要請
- 緊急の生命・身体の保護のため
8. ユーザーの権利
8.1 すべてのユーザーの権利
- アクセス権:自分の個人情報を確認する権利
- 修正権:誤った情報を修正する権利
- 削除権:個人情報を削除する権利
- 異議申し立て権:個人情報の処理に異議を申し立てる権利
8.2 EU住民(GDPR対象者)の追加の権利
- データポータビリティ権:個人情報を機械可読形式で受け取り、他のサービスに移行する権利
- 処理の制限権:特定の状況下で処理を制限する権利
- プロファイリングを含む自動化された意思決定への異議申し立て権
8.3 カリフォルニア州住民(CCPA対象者)の追加の権利
- 知る権利:収集される個人情報のカテゴリーと具体的な情報を知る権利
- 削除権:個人情報の削除を要求する権利
- 販売の拒否権:個人情報の販売を拒否する権利(当サイトは個人情報を販売していません)
- 差別されない権利:権利行使を理由にサービスを差別されない権利
8.4 権利の行使方法
これらの権利を行使するには、お問い合わせフォームから申請してください。
対応期間:
- 通常のリクエスト:30日以内に対応
- 複雑なリクエスト:最大60日(延長の場合は事前に通知)
9. データ保持期間
| データの種類 | 保持期間 | | -------------------------------------- | ------------------------------------------------------------------------ | | ウェイトリスト登録情報 | 解除リンクからの解除まで、またはマガジン公開後90日 | | 有料コンテンツの購入・決済に関する記録 | 法令および会計・税務上の必要に応じた期間(期間経過後、不要なものは削除) | | お問い合わせ内容 | 対応完了後最大1年 | | アクセスログ | 最大90日 | | バックアップデータ | 最大180日 | | Cookie | Cookie毎に異なる(上記参照) |
法令遵守のための保持: 税務関連記録など、特定の法的義務により保持が必要な情報がある場合のみ、法令で定められた期間保持します。
10. データセキュリティ
当サイトは、個人情報を不正アクセス、紛失、破壊、改ざんから保護するために、以下の技術的・組織的措置を講じています:
10.1 技術的措置
- SSL/TLS暗号化:すべての通信をHTTPSで暗号化
- 定期的なセキュリティアップデート
10.2 組織的措置
- アクセス権限の厳格な管理
- セキュリティインシデント対応計画の整備
10.3 データ侵害時の対応
万が一、個人情報の漏洩が発生した場合:
- 72時間以内に監督機関へ報告(GDPR要件)
- 高リスクの場合、影響を受けるユーザーへ直接通知
- 原因調査と再発防止策の実施
11. 子どもの個人情報
当サイトは、13歳未満の子ども(EU居住者の場合は16歳未満)を対象としたサービスではありません。故意に13歳未満(EU居住者は16歳未満)の子どもから個人情報を収集することはありません。
13歳未満の子どもが当サイトに個人情報を提供したことが判明した場合、速やかにその情報を削除します。
保護者の方で、お子様が当サイトに個人情報を提供したと思われる場合は、直ちにご連絡ください。
12. プライバシーポリシーの変更
当サイトは、法令の変更やサービスの改善に伴い、本ポリシーを随時更新する場合があります。
12.1 変更の通知方法
- サイト上での告知
12.2 変更の発効
変更後のポリシーは、サイトへの掲載時点で発効します。継続してサービスを利用することで、変更後のポリシーに同意したものとみなされます。
13. EU住民の方へ(GDPR対応)
13.1 データ管理者
当サイト運営者が、あなたの個人情報のデータ管理者です。
13.2 EU代理人(GDPR 第27条)
EU域外に本拠を置く当サイトのように、サーバーや決済代行などで個人データが EU 外(例:米国)に送られること(越境移転)はあり得ます。これは GDPR 上、主に第V章(十分性認定・標準契約条項など、移転のための保障)の話として整理されます。
一方、第27条でいう「EU域内代表者」(いわゆる EU 代理人)の任命は、「越境移転があるから」という理由だけでは決まりません。EU域外の管理者が、EU にいる方々に対して継続的に商品・サービスを提供するなどの関係で個人データを扱う場合に、法律上の要件を満たすと任命が求められることがある、という別のルールです。
当サイトは現時点で EU 代理人を置いていません。EU 居住者の方からのご利用が継続的・一定規模となり、第27条の対応が必要と判断したときは、本ポリシー等でお知らせするなどして対応します。個別の法的判断については、必要に応じて専門家へご相談ください。
13.3 監督機関への苦情申し立て
GDPRに関する苦情がある場合、お住まいの国のデータ保護監督機関に申し立てることができます。
主要なEUデータ保護機関:
- ドイツ:Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
- フランス:Commission Nationale de l'Informatique et des Libertés (CNIL)
- 各国の監督機関リスト
14. カリフォルニア州住民の方へ(CCPA対応) {#ccpa-rights}
14.1 個人情報の販売と共有について
重要なお知らせ:当サイトは個人情報を販売していません。
当サイトでは、以下を行っていません:
- 金銭的対価と引き換えに個人情報を第三者に販売すること
- CCPAが定義する「共有」(クロスコンテキスト行動広告目的での個人情報の開示)
第三者への提供について:
当サイトがサービス提供者(クラウドプロバイダー、分析サービス等)と共有する個人情報は、サービス提供に必要な範囲に限定されており、これらのサービス提供者は厳格なデータ保護契約の下で活動しています。これらの共有は、CCPAが定義する「販売」や「共有」には該当しません。
14.2 Global Privacy Control (GPC) 対応
当サイトは、Global Privacy Control (GPC) 信号を自動的に認識し、尊重します。
GPCとは:
- ブラウザやブラウザ拡張機能を通じて送信される信号
- 「個人情報を販売・共有しないでほしい」というユーザーの意思表示
- カリフォルニア州法(CCPA)で義務化されている対応
当サイトの対応:
- GPCが有効なブラウザで当サイトを訪問した場合、自動的に分析Cookieを無効化します
- バナーは表示されず、即座にプライバシー重視の設定が適用されます
GPCの設定方法:
- 対応ブラウザ:Brave、Firefox(拡張機能)、DuckDuckGo等
- 詳しくは:https://globalprivacycontrol.org/
14.3 カリフォルニア州の権利行使
本ポリシー第8条に記載の方法で権利を行使できます。
カリフォルニア州住民の特別な権利:
- 知る権利:過去12ヶ月間に収集された個人情報のカテゴリーと具体的な情報
- 削除権:当サイトが保有する個人情報の削除を要求
- 販売の拒否権(当サイトは販売していません)
- 差別されない権利:権利行使を理由にサービス品質が低下しない
権利行使の方法:
お問い合わせフォームから申請してください。
対応期間: 45日以内(複雑な場合は最大90日、延長時は事前通知)
15. ウェイトリストへの登録と解除
15.1 登録について
プレミアムマガジンのウェイトリストは、マガジン公開時の通知を希望するユーザーが任意で登録できるサービスです。登録にはメールアドレスのみ必要です。
ウェイトリストへの登録は、以下の法的根拠に基づいて個人情報を処理します(GDPR Article 6(1)(a)):
- 同意:ユーザーが自発的にメールアドレスを入力し、登録ボタンを押すことで同意したとみなします。
15.2 通知メールについて
登録後、以下のメールを送信する場合があります:
- 登録確認メール
- マガジン公開通知メール
スパムメールは一切送信しません。マガジン公開通知のみご連絡します。
15.3 解除方法
ウェイトリストはいつでも解除できます:
- メール内の解除リンク:受信したメール内の「配信停止」リンクをクリック
- お問い合わせフォーム:解除を希望する旨をお問い合わせフォームからご連絡
解除後、登録情報は速やかに削除されます。
16. プレミアムマガジン購入者向けの処理(決済・認証用リンク)
16.1 購入と決済
有料コンテンツの購入時、メールアドレス、購入内容、決済代行業者が発行する取引識別子等が、契約の履行および法令遵守のために処理されます。クレジットカードの番号等は、原則として決済代行業者のシステム上で取り扱われ、当サイトのサーバーに当社が保存することはありません。
16.2 認証用リンク
閲覧権限のあるユーザーに対し、メールアドレス宛にワンタイムのログイン用 URLを送信する場合があります。これは、パスワードを当社が恒常的に保持しない認証方式を採用するためです。リンクの有効期限・再発行の手順は、当該メールおよびサイト上の案内に従います。
16.3 第三者サービス
決済、認証・データベース、メール送信等の処理の詳細は、本ポリシー第7条および各提供者のプライバシーポリシーをご確認ください。
17. 準拠法と管轄
17.1 準拠法
本ポリシーの解釈および適用は、日本法に準拠します。
ただし、以下の法令が優先的に適用される場合があります:
- EU住民に対しては、EU一般データ保護規則(GDPR)
- カリフォルニア州住民に対しては、カリフォルニア消費者プライバシー法(CCPA)
- その他、ユーザーの居住地の強行法規
17.2 管轄裁判所
本ポリシーに関する紛争については、東京地方裁判所を第一審の専属的合意管轄裁判所とします。
ただし、強行法規により他の裁判所の管轄が優先される場合は、この限りではありません。
