プライバシーポリシー

Pianofortia（屋号、以下「当社」といいます）は、当社が提供するサービス（以下「本サービス」といいます）における個人情報の取扱いについて、以下のとおりプライバシーポリシー（以下「本ポリシー」といいます）を定める。

第1条（事業者情報）

個人情報を管理する事業者の情報は以下のとおりである。
屋号：Pianofortia
事業者名：井出龍之介
代表者：井出龍之介
連絡先メールアドレス：privacy@pianofortia.com
電話番号：080-7823-5209

第2条（適用範囲）

本ポリシーは、当社が運営するPianofortiaのウェブサイト、fortia各機能、Blog、問い合わせ窓口等において取得する個人情報に適用される。

第3条（取得する個人情報）

当社は、本サービスの提供にあたり、以下の個人情報を取得する。

1. 基本情報：氏名、メールアドレス、生年月日、ニックネーム、プロフィール画像、その他任意で登録される属性情報
2. サービス利用情報：練習日記、レッスン記録、タイムライン投稿、フォロー関係、分析データ、アップロードファイル
3. 決済情報：契約プラン、決済ステータス、Stripeが発行するトークン（クレジットカード番号は当社では保持しない）
4. 問い合わせ情報：氏名、連絡先、問い合わせ内容、社内対応メモ
5. コンテンツモデレーション情報：他のユーザーから報告された内容（対象コンテンツの識別子、報告カテゴリ、報告者ID、任意の説明文）、ブロック関係（ブロックを行ったユーザーIDと対象ユーザーID）
6. 技術情報：IPアドレス、ブラウザ情報、Cookie、アクセスログ、端末情報
7. 広告関連情報：Cookie 識別子、広告識別子（AAID/IDFA 等）、IP アドレスから推定されるおおよその位置情報、デバイス情報（OS、ブラウザ）、サイト内の閲覧履歴・行動履歴。これらは広告配信事業者（Google AdSense 等）が直接取得・利用する場合がある。

第4条（利用目的）

当社は、取得した個人情報を、アカウント管理、年齢確認および未成年者保護（18歳未満の場合の親権者同意確認）、fortia Diary等の機能提供、コミュニティ運営、指導者によるレッスン管理、料金請求および決済、問い合わせ対応、コンテンツモデレーション（不適切な投稿・コメント・ユーザーに関する報告内容の確認・対応、ブロック関係の管理）、サービス改善・分析・セキュリティ対策、本サービスの運営費用を賄うための広告配信および広告の効果測定、法令遵守および権利行使のために利用する。報告内容およびブロック情報は、運営チーム内のみで閲覧し、対応の必要性を判断するために使用する。なお、18歳未満の利用者の個人情報をパーソナライズ広告の配信目的で利用することはない。

第5条（第三者提供）

次に掲げる場合を除き、当社は個人情報を第三者に提供しません。

1. Stripe（決済サービス）への情報提供：決済処理のため、氏名、メールアドレス、契約プラン、決済金額、Stripeが発行する顧客IDおよび決済トークンを提供します。クレジットカード番号およびセキュリティコード等のカード情報は当社では保持せず、Stripeが直接処理します。StripeはPCI DSS Level 1に準拠しています。Stripeのプライバシーポリシーは、https://stripe.com/jp/privacy を参照してください。
2. RevenueCat, Inc.（サブスクリプション管理サービス）への情報提供：モバイルアプリにおけるアプリ内課金（Apple IAP）の処理・管理のため、ユーザーID、購入履歴およびサブスクリプション状態を提供します。RevenueCatのプライバシーポリシーは、https://www.revenuecat.com/privacy を参照してください。
3. Google LLC（広告配信サービス：Google AdSense）への情報提供：本サービス上での広告配信および広告の効果測定のため、IP アドレス、Cookie 識別子、広告識別子、サイト訪問履歴、デバイス情報を提供する。これらは Google LLC が直接取得する場合を含み、Google LLC により広告のパーソナライズ、不正クリック検出およびレポーティング目的で利用される。Google の広告に関するプライバシーポリシーは、https://policies.google.com/technologies/ads、Google のプライバシーポリシーは、https://policies.google.com/privacy を参照されたい。利用者は https://adssettings.google.com/ からパーソナライズ広告を無効化することができる。
4. Google LLC（アクセス解析サービス：Google Analytics 4 等）への情報提供：サービス利用状況の分析・改善のため、IP アドレス、Cookie 識別子、ページ閲覧履歴、デバイス情報を提供する場合がある。IP アドレスは Google により匿名化処理される。Google Analytics の利用規約およびプライバシーポリシーは前項のリンクを参照されたい。利用者は https://tools.google.com/dlpage/gaoptout で配布されている Google Analytics オプトアウト アドオンによって解析を拒否することができる。
5. 法令に基づく開示：法令に基づく開示請求があった場合
6. 人命・財産の保護：人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
7. 公衆衛生の向上：公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
8. 国の機関等への協力：国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

第6条（委託）

当社は、個人情報の処理をSupabase, Inc.等のクラウド事業者に委託する場合がある。委託先とは適切な契約を締結し、安全管理措置を徹底する。

第7条（安全管理措置）

当社は、個人情報の漏えい、滅失または毀損の防止その他の個人情報の安全管理のため、アクセス制御、暗号化通信、権限管理、監査ログ、脆弱性対策、バックアップおよび従業員・委託先に対する教育を実施する。

第8条（保管期間・削除）

当社は、取得した個人情報を以下の期間保管し、目的達成後は遅滞なく削除または匿名化する。

1. 会員情報：契約期間中および退会後2年間（法令で別段の定めがある場合を除く）
2. アクセスログ：セキュリティ監査および不正アクセス調査のため、最大3年間
3. エラーログ：システム改善のため、最大1年間
4. バックアップデータ：災害対策のため、最大3年間

第9条（個人情報の国外移転）

1. データ保管場所
本サービスは、Supabase（バックエンド）およびVercel（フロントエンド）を利用している。Supabaseのサーバーリージョンは日本（東京リージョン：AWS ap-northeast-1）であり、Vercelのサーバーリージョンは日本を含むグローバルCDNである。

2. 国外移転の有無
日本リージョンを利用しているため、原則として個人データは日本国内に保管される。ただし、Stripe（決済）、RevenueCat（サブスクリプション管理）、Google LLC（広告配信およびアクセス解析）への情報提供により、米国およびEUへ国外移転が発生する。

3. 外的環境の把握（APPI 第 28 条に基づく情報提供）
個人情報の保護に関する法律第 28 条および同法施行規則第 17 条に基づき、外国にある第三者への個人データ提供に関する以下の情報を提供する。

米国の個人情報保護に関する制度等の詳細については、個人情報保護委員会が公表する 外国における個人情報の保護に関する制度等 を参照されたい。各提供先のプライバシーポリシーは前項のリンクのほか、本ポリシー第 5 条および第 10 条に記載のリンクから確認することができる。

第10条（クッキー等の利用・第三者送信）

1. Cookie の分類
当社は、本サービスにおいて、以下の Cookie および類似技術を利用する。

1. 必須 Cookie：ログイン状態の保持、セキュリティ対策（CSRF 保護等）、その他サービス提供に必要不可欠な機能のために利用する。これらは無効化するとサービスの中核機能が動作しない。
2. 機能 Cookie：ユーザー設定の保存、表示言語の記憶等、利便性向上のために利用する。
3. 分析 Cookie：Google Analytics 等のアクセス解析サービスを通じて、利用者のサイト内行動を分析しサービス改善に活用するために利用する。
4. 広告 Cookie：Google AdSense 等の広告配信事業者を通じて、利用者の関心に応じた広告（パーソナライズ広告）を配信し、広告の効果を測定するために利用する。

2. 第三者サービス（提供先一覧）
本サービスは、以下の第三者サービスを利用しており、各サービスは独自に Cookie・広告識別子・IP アドレス等の情報を取得・送信する場合がある。

1. Stripe（決済）：https://stripe.com/privacy
2. Supabase（認証・データベース）：https://supabase.com/privacy
3. Google AdSense（広告配信）：https://policies.google.com/technologies/ads
4. Google Analytics（アクセス解析）：https://policies.google.com/privacy

3. 第三者送信に関する利用者の同意（個人関連情報の第三者提供）
本サービスが Google AdSense 等の広告配信事業者および Google Analytics 等の解析事業者に対し送信する Cookie 識別子、広告識別子、IP アドレス、閲覧履歴等の個人関連情報は、送信先において当該事業者が保有する個人データと紐付けて取り扱われる場合がある。当社は、個人情報の保護に関する法律第 31 条第 1 項に基づき、利用者から事前に当該個人関連情報の第三者提供についての同意を取得する。同意の取得は、本サービス上に表示する同意管理プラットフォーム（CMP）または初回アクセス時の同意バナーにおいて行う。同意取得前については、当社は広告配信事業者に対して非パーソナライズ広告（NPA：Non-Personalized Ads）の配信を要求するフラグを設定し、パーソナライズ広告目的での個人関連情報の送信を行わない。利用者は、同意の取得後も、本ポリシー第 10 条第 4 項に定める方法によりいつでも同意を撤回し、または対象 Cookie の利用を停止することができる。

4. 拒否・無効化（オプトアウト）
利用者は、以下の方法により Cookie の利用および第三者送信を拒否することができる。

1. ブラウザの設定により Cookie を無効化する。ただし、必須 Cookie を無効化した場合、ログイン機能等が正常に動作しない場合がある。
2. Google 広告のパーソナライズを無効化する：https://adssettings.google.com/
3. Google Analytics による解析を拒否する：https://tools.google.com/dlpage/gaoptout
4. 本サービス上で同意管理プラットフォーム（CMP：Consent Management Platform）が表示された場合は、当該画面から広告 Cookie および分析 Cookie の利用について個別に同意・拒否を選択することができる。

5. 同意管理プラットフォーム（CMP）の導入
当社は、欧州経済領域（EEA）・英国その他の地域からのアクセスに対して、Google Funding Choices 等の同意管理プラットフォームを通じて、広告 Cookie および分析 Cookie の利用に関する同意を取得する。日本国内からのアクセスについても、Google AdSense その他のパーソナライズ広告配信事業者への個人関連情報の送信を開始するまでの間、当該事業者に対して非パーソナライズ広告（NPA：Non-Personalized Ads）の配信を要求するフラグを設定する。日本国内向け CMP の本稼働後は、利用者の同意に基づきパーソナライズ広告 Cookie の送信を行う。

6. 外部送信に関する公表事項（電気通信事業法第 27 条の 12）
当社は、本サービスの利用者の端末から第三者（外部送信先）に対し利用者に関する情報を送信させるにあたり、電気通信事業法第 27 条の 12 および総務省「外部送信規律」ガイドラインに基づき、以下の事項を公表する。本ポリシーはサイトフッターから直接アクセスでき、外部送信に関する事項は本第 10 条に集約されている。

上記の公表事項は、外部送信先サービスの追加・変更・削除に応じて随時更新する。重要な変更を行う場合は、本第 15 条に基づき個別に通知する。

第11条（統計データの取扱い）

当社は、個人を識別できない形に加工した統計データ（ユーザー数、平均練習時間、人気楽曲ランキング、時代別楽曲分布等）を、サービス改善、マーケティング資料、公開レポート等に利用することがある。

第12条（利用者の権利・開示請求手続き）

利用者は、自己の個人情報について、開示、訂正、追加、削除、利用停止等を求めることができる。

1. 開示請求の方法
開示等を希望する利用者は、privacy@pianofortia.comに請求するものとする。請求にあたっては、開示請求書（当社指定フォーマットまたはメール本文）および本人確認書類（運転免許証、パスポート等のコピー）を提出するものとする。代理人による請求の場合は、委任状および代理人の本人確認書類を併せて提出するものとする。

2. 手数料および対応期間
開示請求に係る手数料は無料とする。ただし、郵送による開示の場合、郵送料の実費を請求することがある。当社は、請求を受領した日から原則として2週間以内に対応する。

3. 対象となる権利
開示請求、訂正・追加・削除、利用停止、第三者提供の停止

4. 開示されない場合
当社は、ユーザーから当社の保有する個人情報の開示を求められたときは、ユーザー本人からのご請求であることを確認の上で、ユーザーに対し、遅滞なくこれを開示します。但し、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないこともあり、開示しない場合には、その旨を遅滞なく通知します。

1. ユーザー又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3. 他の法令に違反することとなる場合

第13条（未成年者・児童の情報）

1. 18 歳未満の保護者同意
18 歳未満の者が本サービスを利用する場合、親権者の同意を得た上で利用するものとする。有料プランの契約にあたっては、親権者名義のクレジットカードを使用するものとする。

2. 13 歳未満の児童の利用について（米国 COPPA・AdSense ポリシー対応）
本サービスは、13 歳未満の児童を主たる対象とするサービスではない。当社は、13 歳未満の児童であることが判明している者については、親権者の確認・同意がない限り個人情報を取得しない。13 歳未満の利用者に対しては、パーソナライズ広告を含む一切の広告 Cookie・広告識別子の利用を行わず、広告配信事業者（Google LLC 等）に対して非パーソナライズ広告（NPA）配信フラグを強制設定する。本規定は、米国 Children's Online Privacy Protection Act（COPPA）および Google AdSense プログラムポリシー（児童向けコンテンツに関する制限）に準拠するものである。

3. 16 歳未満の利用者の同意（欧州 GDPR-K 対応）
欧州経済領域（EEA）または英国からアクセスする 16 歳未満の利用者については、一般データ保護規則（GDPR）第 8 条および各国の国内法に従い、親権者その他の法定代理人による同意の取得を必要とする。EEA・英国からのアクセスに対しては同意管理プラットフォーム（CMP）を通じて年齢確認および法定代理人同意の取得を行う。

4. 未成年者データの特別な保護
当社は、18 歳未満の利用者の個人情報について、特に厳格な安全管理措置を講じる。また、18 歳未満の利用者についてはパーソナライズ広告の配信目的での Cookie 利用を行わず、当社の責任において広告配信事業者に対して非パーソナライズ広告（NPA）配信フラグを設定する。18 歳未満の利用者の個人情報をマーケティング目的で利用することはない。

第14条（お問い合わせ窓口）

個人情報の開示等の請求、苦情および相談は、privacy@pianofortia.comで受け付ける。

第15条（ポリシーの変更）

当社は、本ポリシーを改定する場合、改定内容および施行日を本サービス上で公表する。重要な変更を行う場合は、個別に通知の上、必要に応じて同意を再取得する。

以上