プライバシーポリシー

1. 事業者情報

• 名称：Poterra（ポテラ）
• 代表者：佐久間智紀
• 所在地：神奈川県川崎市（詳細はお問い合わせください）
• 連絡先：support@meshitoku.jp

2. 取得する個人情報

当社は以下の情報を取得します。

3. 利用目的

取得した個人情報は以下の目的で利用します。

1. 本サービスの提供・運営
2. 予約の確認・管理
3. ポイントの付与・管理（近日公開予定）
4. お問い合わせへの対応
5. 重要なお知らせ・規約変更の通知
6. 不正利用の防止・サービスの安全管理
7. サービス改善・新機能開発のための統計分析（個人を特定しない形式）

4. 第三者提供

当社は、以下の場合を除き、個人情報を第三者に提供しません。

1. ユーザーの同意がある場合
2. 法令に基づき開示が必要な場合（警察・裁判所等からの要請）
3. 生命・身体・財産の保護のために緊急に必要な場合
4. 予約に関し、必要な範囲で飲食店に予約情報を提供する場合（予約内容・確認コード）

5. 業務委託先への提供

当社は、決済処理・システム運用等の業務を外部委託する場合があります。その際、委託先に対して適切な監督を行い、個人情報の安全管理を徹底します。

6. Cookie（クッキー）の利用および外部送信

本サービスはCookieを使用します。Cookieはサービスの利便性向上・利用状況の分析に使用します。ブラウザの設定によりCookieを無効にすることもできますが、その場合サービスの一部機能が制限される場合があります。

【Cookieの3分類】

• 必須Cookie：ログイン状態の維持・CSRF対策・同意状態の記憶等、サービス提供に必要なもの（ホスティング基盤としての Vercel を含みます）。無効化することはできません。
• 分析Cookie：Google Analytics・Vercel Analytics / Speed Insights 等によるアクセス解析・パフォーマンス計測。初回アクセス時のバナーで同意いただいた場合のみ有効化します（ホスティング基盤としての Vercel と、分析目的の Vercel Analytics / Speed Insights は別カテゴリです）。
• マーケティングCookie：広告配信・効果測定（将来実装予定）。将来、広告連携を実装する際には本ポリシーを改定のうえ、改めて同意取得を行います。

同意は、初回アクセス時に画面下部に表示される同意バナーから取得します。同意の取消・再設定の方法はCookieポリシーをご参照ください。

【外部送信先一覧（電気通信事業法 第27条の12 対応）】

7. 個人情報の安全管理

当社は、個人情報への不正アクセス・紛失・破壊・改ざん・漏えいを防止するため、組織的・人的・物理的・技術的な安全管理措置を講じます。

【主な技術的安全管理措置】

• 通信経路の暗号化（TLS による全通信の暗号化）
• パスワードのハッシュ化保存（当社は平文のパスワードを保有しません）
• 機微度の高い情報（電話番号・外部認証識別子等の連絡先・認証関連情報）については、保存時の暗号化を行います。具体的には、Supabase Vault（pgsodium 等のサーバー側暗号化機構）を利用し、データベース格納時に暗号化することを計画しています。
• クレジットカード情報（カード番号・有効期限・セキュリティコード）は、当社サーバーに保存せず、決済代行事業者（Stripe）が保持します。Stripe は PCI DSS 認定事業者です。
• アクセス権限の最小化、操作ログの記録、定期的な権限見直し

具体的な実装の一部は、サービスの状況に応じて段階的に導入を進めています。現時点での導入状況については、お問い合わせ窓口までご照会ください。

8. 保存期間

個人情報は、利用目的に必要な期間保存します。退会後は、法令上の保存義務がある場合を除き、合理的な期間内に削除します。

9. ユーザーの権利（アクセス権・訂正権・削除権等）

ユーザーは、個人情報保護法その他の関連法令（EU/英国に居住の場合は GDPR/UK GDPR 等）に基づき、以下の権利を行使することができます。

• 保有する個人情報の開示請求（アクセス権）
• 誤りがある場合の訂正・追加・削除請求（訂正権）
• 利用目的外の利用停止・消去請求（削除権）
• 第三者提供の停止請求
• 同意の撤回（同意を根拠とする処理について、将来に向かって撤回することが可能です）
• 処理に対する異議の申立て、データの可搬性の請求（適用される法令で認められる範囲）

ご希望の場合は、下記お問い合わせ先までご連絡ください。本人確認を行ったうえで、法令に従い対応します。当社の対応にご不満がある場合は、個人情報保護委員会等の監督当局へ申立てを行う権利があります。

9-2. データ削除請求への対応

1. ユーザーから個人情報の削除請求を受けた場合、当社は本人確認を行ったうえで、原則として受領後30日以内に対応いたします。請求内容の確認に追加の時間を要する場合は、その旨を別途ご連絡します。
2. 削除または匿名化の対象には、氏名・メールアドレス・電話番号・LINE等の外部認証識別子・住所等の直接的識別子に加え、プロフィール情報、予約履歴に紐付くユーザー識別子、問い合わせ履歴等が含まれます。
3. 法令上保存が義務付けられている情報（例：電子帳簿保存法に基づく取引記録、特定商取引法に基づく契約関連書類等）は、所定の期間保存します。これらの情報も、保存期間の経過後は速やかに削除します。
4. サービス改善・統計分析のため、個人を識別できない形に匿名化・統計化された情報は、削除請求後も保持される場合があります。
5. クレジットカード情報については、Stripe側に対しても削除のための要請を行います。ただし、Stripe側の不正利用調査・法令対応等の都合により、一定期間記録が残る場合があります。

9-3. 国境を越える個人データの移転

本サービスは、以下の海外SaaS事業者を利用しており、これに伴い個人データが日本国外で取り扱われる場合があります。各事業者の所在国・依拠する保護措置は次のとおりです。

• Stripe, Inc.（米国）— 決済処理。Stripeは PCI DSS 認定事業者であり、自社のプライバシー保護枠組み（Stripe Privacy Center 公開のデータ保護条項）に基づき個人情報を取り扱います。
• LINE Yahoo!（日本／関連グループ会社）— LINEログイン。LINEヤフー株式会社の定めるプライバシーポリシーに従い取り扱われます。
• Resend（米国）— 取引メール・通知メールの送信。
• Supabase, Inc.（米国／一部リージョンはアジア太平洋等）— 認証・データベース基盤。
• Vercel, Inc.（米国）— ホスティング・配信基盤。
• Google LLC（米国）— アクセス解析（Google Analytics、同意取得時のみ）。

海外への個人データの提供に際しては、個人情報保護法第28条等の関連法令に従い、各事業者が継続的に適切な体制を整備していることの確認に努めます。各事業者のプライバシーポリシーの詳細については、必要に応じて当社窓口までお問い合わせください。

9-4. 広告・分析パートナーへの提供

現時点で、当社は広告配信を目的とした個人データの第三者提供は行っておりません。アクセス解析の目的で Google Analytics 等の分析サービスを利用しますが、これらは「6. Cookie（クッキー）の利用および外部送信」に記載した範囲に限られます。将来、広告配信・効果測定等のために第三者にデータを提供する場合は、事前に本ポリシーを改定したうえで、必要に応じて改めて同意を取得します。

10. 年齢制限

本サービスはアルコール提供店舗の予約を含むため、20歳以上の方のみご利用いただけます。20歳未満の方は登録・利用できません。

11. プライバシーポリシーの変更

当社は、法令の改正やサービスの変更に伴い、本ポリシーを変更する場合があります。変更の際はサービス上でお知らせします。