プライバシーポリシー
Hagyyyy 株式会社(以下「当社」といいます。)は、「忘ランス(wasulance)」 (以下「本サービス」といいます。)における個人情報の取扱いについて、以下のとおり プライバシーポリシー(以下「本ポリシー」といいます。)を定めます。 当社は、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)を遵守します。
1. 取得する情報
- メールアドレス(アカウント識別・通知のため)
- パスワード(bcrypt によるハッシュ化後のみ保管)
- 通知先情報(Slack / Discord Webhook URL、Chatwork API トークン・ルーム ID、 LINE ユーザー ID 等)
- 取引先情報(クライアント名・通知件名・送信期日等)
- 任意でご登録いただくプロフィール情報(お名前・ニックネーム、屋号・会社名、職種、事業形態、 月間請求書発行数、本サービスを知ったきっかけ、特に興味のある機能)。いずれも入力は任意で、 サービス改善の分析に利用します。設定画面からいつでも変更・削除できます。
- 決済情報(Stripe 経由。クレジットカード番号は当社サーバーに保存しません)
- お問い合わせ時に任意で添付されたスクリーンショット画像およびそのメタデータ
- アクセスログ(IP アドレス・ユーザーエージェント・操作日時)
2. 利用目的
- 本サービスの提供および機能改善
- 請求書送付のリマインド通知の送信
- ユーザー認証・不正利用の防止
- 料金請求・サブスクリプション管理
- サポート対応・お問い合わせ対応
- サービス利用状況の統計分析(個人を特定しない形に加工した上で)
3. 外部サービスの利用および外的環境の把握
当社は、本サービスを提供するために以下のクラウドサービス・外部 SaaS を利用します。 このうち、データの保管・配信・送信・障害監視等の基盤を担う事業者は、当社との契約条項 および適切なアクセス制御により、当社が保存する個人データをその事業者自身の目的では 取り扱いません。当社は、法第 23 条に基づく安全管理措置の一環として、以下のとおり外的環境を 把握しています(個人情報保護委員会 Q7-53 / Q10-25 参照)。なお、プロダクト分析を担う PostHog への個人データの提供は、提供先が外国の法人であるため「外国にある第三者への提供」(法第 28 条) に該当します。これについては下記 §3-1 で別途開示します。
| サービス事業者 | 事業者所在国 / サーバ所在国 | 取り扱う個人データ | 安全管理のための措置 |
|---|---|---|---|
| Stripe, Inc. | 米国 / 米国 | 決済関連情報(カード番号は当社サーバーを経由せず Stripe へ直接送信されます) | PCI DSS Level 1 準拠 / SOC 1・2 報告書取得 |
| Amazon Web Services, Inc.(AWS / SES / Lambda / S3 / CloudFront / Secrets Manager 等) | 米国 / シンガポール(ap-southeast-1 リージョン) | アプリケーションデータ全般(保存時暗号化) | ISO 27001 / 27017 / 27018, SOC 1 / 2 / 3 認証取得済。当社は IAM・最小権限・ アクセスログ取得を実施 |
| Functional Software, Inc.(Sentry) | 米国 / 米国 | エラー発生時のスタックトレース・リクエスト情報(メールアドレス・トークン等の PII はマスク処理した上で送信) | SOC 2 Type II 取得 / TLS 通信 |
| Neon, Inc. | 米国 / シンガポール(ap-southeast-1 リージョン) | 本サービスのデータベース全般 | TLS 通信 / 保存時暗号化 / 接続元 IP 制限 |
| PostHog, Inc.(プロダクト利用状況の分析。詳細は §3-1) | 米国(契約主体 PostHog, Inc.)/ ドイツ(EU リージョン保存) | アクセス解析 Cookie に同意した場合のみ送信される、プロダクト内の操作イベント (サインアップ・メール認証・取引先追加・スケジュール登録・アップグレード等)および ログイン後の内部ユーザー識別子。取引先名・請求額・メールアドレス等は送信しません。 IP アドレスはイベントに保存されません(§3-1 参照) | SCC 込み DPA 締結 / EU-US 等データプライバシーフレームワーク参加 / SOC 2 Type II 取得 / TLS 通信 / EU リージョン(独)保存 / IP 非保存(取り込み時破棄)/ autocapture 無効・ 明示イベントのみ / セッションリプレイ無効 |
| Slack Technologies, LLC.(お問い合わせ通知に利用する場合) | 米国 / 米国 | お問い合わせ本文、メールアドレス、氏名、対象 URL、ユーザーエージェント、 添付スクリーンショット画像の閲覧用 URL | HTTPS 通信 / S3 署名付き URL / 期限付き保存 / アクセス制御 |
| Slack Technologies, LLC. / Discord Inc. / Chatwork 株式会社 / LINE 株式会社(ユーザーが連携した場合のみ) | 米国 / 日本 | 通知メッセージ本文(取引先名・通知件名・送信期日等)および送信に必要な通知先情報 | HTTPS 通信 / Webhook URL・API トークンの暗号化保存 / 画面上の再表示なし / 利用者による連携解除可 |
各国の個人情報保護制度の概要については、個人情報保護委員会の 「外国にある第三者への提供編」ガイドライン および同委員会公表情報をご参照ください。
3-1. PostHog(プロダクト分析)への個人データの越境提供について
プロダクト分析に利用する PostHog は、当社の委託先として、アクセス解析 Cookie に同意した 利用者の操作イベントおよびログイン後の内部ユーザー識別子を、当社のために取り扱います。 契約主体である PostHog, Inc. は米国法人であるため、当社から PostHog への当該データの提供は、 個人情報保護法 第 28 条にいう「外国にある第三者への提供」に該当します。
当社は、本人の同意に代えて、同条が定める「個人情報保護委員会規則で定める基準に適合する体制を 整備している者」への提供として取り扱います。具体的には、PostHog, Inc. との間で標準契約条項 (EU 標準契約条項 / 英国 IDTA)を含むデータ処理契約(DPA)を締結し、EU 一般データ保護規則 (GDPR)と同等の保護措置の実施を担保します。データは PostHog の EU リージョン(ドイツ・ フランクフルト)に保存され、クライアント IP アドレスはイベントに保存されません(取り込み時の 不正検知等に一時利用された後に破棄されます)。
同条第 3 項に基づき、当社は移転先における個人情報の取扱いについて継続的に確認するとともに、 利用者のご請求に応じて、移転先の国(米国)の個人情報保護制度および PostHog が講じる保護措置に 関する情報を提供します。ご請求は support@wasulance.com までお問い合わせください。 なお、アクセス解析 Cookie に同意されない場合、当該データは PostHog に送信されません (同意の撤回は §6-2 の手順で可能です)。
4. 保存期間
- アカウント情報: アカウント有効期間中
- 取引先・請求情報: アカウント有効期間中(退会後、遅滞なく削除します。バックアップ上のデータは一定期間 経過後に消去されます)
- 問い合わせスクリーンショット: 取得後最大 30 日間
- アクセスログ・監査ログ: 取得後最大 1 年間
5. 開示請求等への対応
ユーザーは、当社に対し、保有個人データに関する以下の事項を請求することができます。
- 利用目的の通知
- 開示(個人情報保護法 第 33 条第 5 項に基づく第三者提供記録の開示を含みます)
- 訂正・追加・削除
- 利用停止・消去・第三者への提供の停止
請求の受付および対応は、以下の手順で行います。
- 受付方法: support@wasulance.com 宛に、件名を「個人情報の開示等請求」としてメールでご連絡ください。
- 本人確認: 当社は、登録済みアカウントのメールアドレスからの送信および登録時パスワードに よる認証をもって本人確認を行います。なりすましの疑義がある場合に限り、公的書類の 写し等の追加提出をお願いすることがあります。
- 手数料: オンラインでの開示等は無料です。書面による開示を希望される場合に限り、 郵送費等の実費(書留料金相当額)をご負担いただくことがあります。
- 回答期限: ご請求を受領後、遅滞なく(最長 30 日以内に)回答します。 調査に時間を要する場合は、その旨と理由をあらかじめ通知します。
- 不承諾の場合: 個人情報保護法その他の法令に基づき請求の全部または一部に応じない場合は、 その旨および理由を本人に書面または電磁的記録によりお知らせします(同法 第 34 条第 3 項)。
6. Cookie および外部送信される利用者情報
本サービスは、ページの正常な動作・利便性向上・サービス改善のために、 ユーザーの端末に Cookie を保存することがあります。Cookie の受け入れはブラウザ設定で 拒否できますが、その場合は本サービスの一部機能が利用できないことがあります。
本サービスは、電気通信事業法 第 27 条の 12(外部送信規律)に基づき、 以下の外部サービスへ送信される利用者情報を公表します。
| 送信先 | 送信される情報 | 送信目的 |
|---|---|---|
| Google LLC(Google Analytics 4) | Cookie ID / IP アドレス / アクセス URL / リファラー / ユーザーエージェント / 画面サイズ / 利用言語 | アクセス解析・サービス改善 |
| Functional Software, Inc.(Sentry) | エラー発生箇所のスタックトレース / IP アドレス / ユーザーエージェント / リクエスト URL(メールアドレス・トークン等の PII はマスク処理した上で送信) | エラー監視・障害対応 |
| PostHog, Inc.(プロダクト分析。越境移転の詳細は §3-1) | アクセス解析 Cookie に同意した場合のみ送信される、ログイン後の内部ユーザー識別子 / プロダクト内の操作イベント名(サインアップ・取引先追加・スケジュール登録等)/ ユーザーエージェント / IP アドレス(イベントには保存されず取り込み時に破棄)。 取引先名・請求額・メールアドレス等は送信しません | プロダクト内の利用状況・離脱分析・サービス改善 |
| Stripe, Inc.(決済処理を利用する画面のみ) | Cookie ID / IP アドレス / ユーザーエージェント / 決済関連情報(カード番号は 当社サーバーを経由せず Stripe へ直接送信されます) | 決済処理および不正利用検知 |
| Slack Technologies, LLC.(お問い合わせ通知) | お問い合わせフォームに入力されたメールアドレス、氏名、本文、対象 URL、 ユーザーエージェント、添付スクリーンショット画像の閲覧用 URL | サポート対応・問い合わせ管理 |
| Slack Technologies, LLC. / Discord Inc. / Chatwork 株式会社 / LINE 株式会社(ユーザーが通知連携した場合のみ) | ユーザーが通知先として設定した Webhook URL、API トークン、ルーム ID、LINE / Discord ユーザー ID 等、および通知メッセージ本文(取引先名・通知件名・送信期日等) | ユーザーが指定した外部通知サービスへのリマインド送信 |
Google Analytics は Google Consent Mode v2 に対応しており、初期状態では analytics_storage を denied として起動します。利用者が明示的に同意するまで、 分析・広告目的の Cookie 保存および計測は行いません。
6-1. 使用 Cookie 一覧
本サービスが端末に保存する主な Cookie は以下のとおりです。
| Cookie 名 | 種別 | 目的 | 保存期間 |
|---|---|---|---|
auth_token | 機能 Cookie(必須) | ログイン状態の維持(JWT アクセストークンの httpOnly 保存) | 15 分(アクセストークン有効期限) |
wasulance_analytics_consent(localStorage) | 機能 Cookie(必須) | Cookie 同意状態の保存。ページ再訪時にバナーを再表示しないために使用 | 永続(手動削除またはブラウザ設定でのクリアまで) |
_ga | アクセス解析 Cookie(任意) | Google Analytics 4 によるユーザー識別(匿名 ID) | 2 年 |
_ga_* | アクセス解析 Cookie(任意) | Google Analytics 4 のセッション維持 | 2 年 |
広告目的の Cookie(ad_storage / ad_user_data / ad_personalization)は当サービスでは常に denied となり、保存されません。
6-2. Cookie 同意の管理・撤回
本サービスは初回訪問時に Cookie 同意バナーを表示します。「同意する」をクリックすると アクセス解析 Cookie(analytics_storage)が有効になります。「拒否する」をクリックした 場合はアクセス解析 Cookie は保存されません。
同意はいつでも撤回できます。ページ下部のフッターにある「Cookie 設定」リンクから Cookie 同意バナーを再表示し、設定を変更してください。
GDPR / CCPA / 改正個人情報保護法(第 18 条・第 26 条)に基づき、利用者はいつでも Cookie 同意を撤回する権利を有します。撤回後は新たなアクセス解析 Cookie の保存を 停止します。ただし、撤回以前に収集済みのデータは各サービス事業者のポリシーに従い 保持される場合があります。
当社は Cookie 同意状態(granted / denied)をハッシュ化された識別子とともに 当社データベースに記録します。これはユーザーが「同意した事実」「拒否した事実」を 立証するための法務証跡(個人情報保護法 第 18 条)として保管します。 記録には個人を特定できる情報は含まれず、SHA-256 で変換されたフィンガープリントのみ保存されます。
7. セキュリティ
当社は、個人情報への不正アクセス・紛失・破壊・改ざん・漏えい等を防止するため、 パスワードの適切なハッシュ化、通信の TLS 暗号化、Webhook URL・API トークンの保存時暗号化、認証情報の非表示、ログ・監査ログ・エラー監視への認証情報非出力、 その他の技術的・組織的安全管理措置を講じます。
8. お問い合わせ窓口
個人情報の取扱いに関するお問い合わせは、以下までお願いいたします。
- 事業者名: Hagyyyy 株式会社
- 代表者氏名・所在地: ご請求があり次第、遅滞なく開示します
- 連絡先: support@wasulance.com
9. 改定
当社は、法令の変更等に応じて本ポリシーを改定することがあります。重要な変更がある場合は、 本サービス上で告知します。