T-Recs プライバシーポリシー
バージョン: v1.2.0 最終更新日: 2026-05-20 根拠法: 個人情報の保護に関する法律 (個人情報保護法、2022 改正法 含む)
重要 (α0 段階の注意): 本書は 自前ドラフト であり、弁護士による正式レビューを受けていません。MVP α0 検証段階での暫定運用です。スケール後 (α1 GA 以降) に正式レビューを実施し、v2.0.0 として置き換える予定です。
v1.2.0 改定要旨 (2026-05-20、I1 sprint): 検証パートナー教室配布 (W17 Pre-distribution phase) 着手に伴い、 §1 事業者情報の
<TBD>placeholder を実値で充填しました。 v1.1.0 から legal 内容変更はなし、 placeholder 充填のみ。
v1.1.0 改定要旨 (2026-05-16、β2a sprint): 月謝集金機能 (β2 phase) の有効化に伴い、決済代行事業者 Stripe Payments Japan 株式会社 への個人情報提供および業務委託に関する記載を追加・更新しました。具体的な変更箇所は §2 (集金情報行)、§4.1 (第三者提供)、§5 (業務委託)、§10 (海外移転) です。
1. 事業者情報
- 事業者名: 石川洸平 (個人事業主)
- 代表者: 石川洸平
- 住所: 静岡県浜松市中央区篠原町3999
- Email (個人情報担当窓口): band0000ball@gmail.com
2. 取得する個人情報
本サービスは、以下の個人情報を取得します:
| 種別 | 内容 | 取得方法 |
|---|---|---|
| アカウント情報 | メールアドレス、表示名 | user 登録時 |
| 教室情報 | 教室名、所在地、運営者情報 | 教室オーナー登録時 |
| 子供 user 情報 | 子供の名前 (ニックネーム可)、生年月 (年齢確認用)、性別 (任意) | 保護者が登録 |
| 通信記録 | 教室オーナーと保護者間のチャット、お知らせ既読状態 | サービス利用時 |
| 集金情報 (β2 以降) | 教室オーナーの本人確認情報 (氏名 / 生年月日 / 住所 / 電話番号)、銀行口座情報、決済履歴 | Stripe Connect Express の onboarding 画面で Stripe 側が直接取得し、T-Recs は受領しません。保護者のクレジットカード情報も同様に Stripe Payment Element 経由で Stripe が直接受領 します。T-Recs サーバーはカード番号を一切取扱いません |
| アクセス情報 | IP アドレス、ユーザーエージェント、access 日時 | サービス利用時 |
| 監査記録 (audit log) | 規約同意の事実 (内容自体は記録しない)、ログイン日時 | 自動 |
子供 user の個人情報: 16 歳未満の子供 user の個人情報を取得する場合、保護者の同意を必須 とします (個人情報保護法 改正法 16 歳未満同意取得義務に準拠)。
3. 利用目的 (個人情報保護法 §17 + §18)
取得した個人情報は、以下の目的でのみ利用します:
- 本サービスの提供、運営、品質向上
- user との連絡 (お知らせ、お問い合わせへの返信)
- 利用料金の決済処理 (β2 以降)
- 不正利用の防止、セキュリティの維持
- 利用状況の統計分析 (個人を特定しない形で)
- LLM 機能 (教室
llm_enabled=true時のみ、別途 LLM 利用同意書を参照) - 法令に基づく対応 (税務、捜査機関からの要請等)
利用目的を変更する場合、変更前後の利用目的が 合理的に関連性を有する範囲内 に限り、user への通知 / 公表により実施できます。
4. 第三者提供 (個人情報保護法 §27)
当方は、user の 事前同意 がない限り、個人情報を第三者に提供しません。ただし、以下の場合は同意なく提供できる場合があります:
- 法令に基づく場合 (税務当局、捜査機関等からの正当な要請)
- 人の生命、身体、財産の保護のために必要で、本人同意を得ることが困難な場合
- 公衆衛生の向上、児童の健全な育成の推進のために特に必要で、本人同意を得ることが困難な場合
- 国の機関または地方公共団体への協力で、本人同意を得ることで該当事務の遂行に支障を及ぼすおそれがある場合
4.1 決済処理のための第三者提供 (β2 以降)
本サービスの月謝・イベント参加費・入会金集金にあたり、user (教室オーナーおよび保護者) の 事前同意 を得たうえで、以下の個人情報を決済代行事業者に提供します:
| 提供先 | 提供項目 | 提供目的 |
|---|---|---|
| Stripe Payments Japan 株式会社 (関東財務局長第 00626 号、資金移動業者登録) | 氏名、メールアドレス、取引金額、取引日時 | Stripe Connect Express プラットフォーム経由での決済処理、本人確認 (KYC)、不正利用検知 |
カード情報の取扱い (重要):
- クレジットカード番号は T-Recs サーバーを 一切経由せず、Stripe Payment Element (PCI DSS Level 1 認証) が Stripe へ直接送信 します。T-Recs はカード番号を保持・受領・閲覧しません。
- Stripe Payments Japan 株式会社は、Stripe Connect Express の仕組みにより、教室オーナーごとに開設される Connected Account を通じて直接集金を行います。T-Recs は集金の主体ではなく、プラットフォーム手数料のみを受領 します (資金決済法の資金移動業に該当しない設計)。
5. 業務委託 (個人情報保護法 §27 業務委託除外)
本サービスの提供のため、以下の業務委託先に個人情報の取扱を委託します。委託先は 当方の監督下で 個人情報を取扱います:
| 委託先 | 委託業務 | データ範囲 |
|---|---|---|
| Supabase (BaaS、Supabase Inc.) | 認証 / DB / Storage | アカウント情報、教室情報、通信記録 |
| Vercel (ホスティング、Vercel Inc.) | アプリケーション配信 | アクセス情報 |
| Cloudflare R2 / Workers (CDN、Cloudflare Inc.) | 静的ファイル配信、bot 対策 | アクセス情報 |
| Stripe Payments Japan 株式会社 (関東財務局長第 00626 号、資金移動業者登録、決済代行、β2 以降) | Stripe Connect Express による決済処理、本人確認 (KYC)、不正利用検知 | 集金情報 (氏名、メールアドレス、取引情報) |
Anthropic Claude API (LLM、Anthropic PBC、llm_enabled=true 教室のみ) | AI 質問応答 | LLM 入力内容 (チャット履歴は 送信しない) |
| Sentry (エラー監視、Functional Software Inc.) | エラーレポート | エラー発生時の状況 (個人特定情報は redact) |
海外移転: 委託先の一部は 米国所在 です (Supabase US region 利用時、Vercel、Cloudflare 等)。海外移転に該当する場合、user の 事前同意 を取得します (個人情報保護法 §28)。詳細は本ポリシー §10 参照。Stripe Payments Japan 株式会社は日本法人 (日本国内に主たる事務所、関東財務局長登録) であるため、§10 の海外移転には該当しません。
6. 保存期間
| データ種別 | 保存期間 |
|---|---|
| アカウント情報、教室情報、通信記録 | アカウント有効中 + 退会後 6 ヶ月 |
| 規約同意記録 (consents) | 永続 (audit 用、user 削除でも保持、不可逆) |
| アクセスログ | 90 日 |
| 集金情報 (β2 以降) | 法令に基づく期間 (税法 7 年等) |
LLM 入力履歴 (llm_enabled=true 教室のみ) | 30 日 |
7. 安全管理措置
当方は、個人情報の 漏えい / 滅失 / 棄損 を防ぐため、以下の措置を講じます:
- 技術的措置: TLS 1.3 通信暗号化、Supabase Row-Level Security による access 制限、bcrypt password hashing (Supabase Auth default)、定期的なセキュリティパッチ適用
- 組織的措置: 個人情報担当者の指定、access 権限の最小化、業務委託先の契約上の守秘義務
- 人的措置: 個人情報取扱者への教育、access ログの定期確認
- 物理的措置: 業務委託先 (Supabase 等) の SOC2 / ISO27001 等の認証を確認
8. 開示 / 訂正 / 削除 / 利用停止の請求 (個人情報保護法 §32-§39)
user は、当方に対して以下の請求ができます:
- 開示請求: 当方が保有する自身の個人情報の開示
- 訂正請求: 個人情報の内容が事実でない場合の訂正
- 削除請求: 利用目的が達成された場合、または違法に取得された場合の削除
- 利用停止請求: 利用目的外で利用されている場合、または違法に取得された場合の利用停止
- 第三者提供停止請求: 第三者提供の停止
請求方法: band0000ball@gmail.com 宛にメール、または本サービス内 /dpr/request フォームから提出してください。
対応期限: 請求受理から 30 日以内 に対応します (個人情報保護法 §32 即時開示原則に従い、合理的な期間内)。
9. Cookie / 解析ツール
本サービスは、以下を利用します:
- Cookie: ログイン session 維持 (Supabase Auth、HttpOnly + Secure + SameSite=Lax)
- Vercel Analytics: ページビュー、応答時間の統計 (個人を特定しない)
- Sentry: エラー監視 (個人特定情報は redact)
第三者 cookie / advertisement tracker は 利用しません。
10. 国境を越える個人情報の移転 (個人情報保護法 §28)
本サービスの一部委託先 (Supabase US region、Vercel、Cloudflare、Anthropic) は 米国 に所在します。米国の個人情報保護法制は日本と異なる部分があるため、移転にあたっては user の 事前同意 を取得します。
user は、本サービス登録時の規約同意により、上記移転に同意したものとみなされます。同意撤回をご希望の場合、本サービスの利用を停止 (退会) してください。
将来、Supabase の東京 region (ap-northeast-1) のみを利用する構成が確定した場合、本ポリシーを更新します。
Stripe Payments Japan 株式会社は日本法人 (主たる事務所所在地: 東京都、関東財務局長第 00626 号にて資金移動業者として登録) であり、Stripe Inc. (米国) の日本子会社として日本国内で決済処理を担います。Stripe 経由の集金情報の取扱いは日本国内で完結するため、本条 (国境を越える個人情報の移転) には該当しません。
11. 苦情申出先
個人情報の取扱いに関する苦情は、第 1 項の事業者情報 (privacy 担当) にご連絡ください。
また、当方の対応に納得いただけない場合は、以下の機関にもご相談いただけます:
- 個人情報保護委員会 (PPC): https://www.ppc.go.jp/
12. 改定
本ポリシーは、法令変更 / サービス内容変更 / 委託先変更等に応じて改定する場合があります。重要な変更は、本サービスを通じて user に通知します。
以上