最終更新: 2026-04-25 · v1.0(弁護士 review 前暫定版)
プライバシーポリシー
株式会社 CAPXLE(以下「当社」)は、CAPXLE / Nekopunch / ARIKA を含む本サービス(以下「本サービス」)において、利用者の個人情報を以下の方針(以下「本ポリシー」)に従い取り扱います。
1. 取得する情報
当社は以下の情報を取得します。本人の同意なく機微情報(要配慮個人情報)を取得しません。
| カテゴリ | 項目 | 法的根拠 |
|---|---|---|
| 識別情報 | 氏名 / email / 電話番号 | 個情法 17 条・GDPR Art.6(1)(b) |
| 認証情報 | hashed password / phone OTP | 個情法・GDPR Art.6(1)(b) |
| 課金情報 | Stripe customer_id / 取引履歴 | 個情法・GDPR Art.6(1)(b) |
| サービス利用 | 予約日時 / Nekopunch 履歴 / HP 内容 | 個情法 17 条・GDPR Art.6(1)(b) |
| 技術情報 | IP / UA / Cookie / device fingerprint | GDPR Art.6(1)(f) セキュリティ |
| 任意情報 | プロフィール画像 / 自己紹介文 | 個情法 17 条・GDPR Art.6(1)(a) 同意 |
2. 利用目的
- サービス提供(予約管理・課金・HP 生成・Nekopunch 実行・サポート)
- 本人確認(KYC・Stripe Connect・多要素認証)
- 品質改善(ARIKA / Nekopunch 応答精度向上・PII scrub 後の集計のみ)
- マーケティング(opt-in のみ:新機能告知・業界 newsletter)
- 法令遵守(税法 7 年保管・GDPR・個情法・特商法)
3. 第三者提供
以下の業務委託先に対して、各社との Data Processing Agreement (DPA) に基づき必要範囲で提供します。法令に基づく場合を除き、本人同意なき第三者提供は行いません。
| 提供先 | 目的 | DPA |
|---|---|---|
| Stripe Inc. | 課金処理 | ✓ stripe.com/legal/dpa |
| Supabase Inc. | データホスティング | ✓ Supabase DPA |
| AWS | compute インフラ | ✓ AWS DPA |
| Anthropic API | AI コーチング応答(PII scrub 後) | ✓ Anthropic DPA |
| Google Cloud (Gemini) | 軽量 LLM 応答(PII scrub 後) | ✓ Google Cloud DPA |
| Vercel Inc. | HP hosting | ✓ Vercel DPA |
4. データ保管期間
| データ種別 | 保持期間 | 根拠 |
|---|---|---|
| 予約履歴・課金(token_transactions / billing_cycle_log) | 7 年 | 税法(帳簿保管義務) |
| account_erasure_log | 7 年 | GDPR Art.30 |
| アクセスログ・監査ログ | 7 年 | hash chain audit |
| ARIKA / Nekopunch session memory | アクティブ + 退会後 30 日 grace | サービス継続必要範囲 |
| Cookie(functional) | 6 ヶ月 | session 維持 |
| Cookie(analytics・opt-in) | 12 ヶ月 | 利用統計 |
5. 本人権利(開示・訂正・削除)
利用者は以下の請求権を有します。
| 権利 | 連絡先 | 期限 |
|---|---|---|
| 開示請求(export) | privacy@capxle.co.jp | 30 日以内 |
| 訂正請求 | privacy@capxle.co.jp | 30 日以内 |
| 削除請求(erasure・GDPR Art.17) | privacy@capxle.co.jp | 30 日以内(税法保管対象は法定期間後) |
| 同意撤回(consent_flags) | アカウント設定 / 同窓口 | 即時反映 |
| 苦情申立 | 同上 + 個人情報保護委員会 | 法定 |
6. Cookie 利用
| 種別 | 用途 | opt-in 必要 |
|---|---|---|
| Functional | session 維持(login state・CSRF token) | 不要(サービス必須) |
| Analytics | 利用統計(PV / CV / funnel) | ✓ EU ユーザー必須 |
| Marketing | 広告連携 | ✓ 全ユーザー必須 |
7. セキュリティ
- 暗号化:TLS 1.3(通信中)・AES-256(保管中)・Supabase RLS
- 改竄不可 audit:hash chain 監査ログ(全トランザクション)
- erasure 経路:GDPR Art.17 完全対応(退会後 30 日 grace 削除)
- データ漏洩通知:GDPR Art.33 72h 以内通知 + 個情法 26 条届出
8. 国際移転
AWS(us-east-1 + ap-northeast-1)・Vercel(Global CDN)で日本国外への移転が発生します。GDPR 標準契約条項(SCC)締結済。利用者は本ポリシー同意により国際移転に同意するものとします。
9. 未成年者
- 13 歳未満は利用不可(signup 時確認)
- 13-17 歳は法定代理人同意必須
10. 改定
本ポリシーは 30 日前通知後に改定できます。重要変更は email + in-app 通知で告知します。
11. 連絡先
株式会社 CAPXLE プライバシー窓口privacy@capxle.co.jp
所在地: (登記住所 確認中)
個人情報保護管理者: 代表取締役(別途任命)