プライバシーポリシー
施行日: 2026年4月30日 / 最終更新日: 2026年4月30日 / バージョン: 1.0(ドラフト)
本書はドラフトです。リリース前に弁護士(沖元氏または指定法律事務所)によるレビューが必要です。
MOLTSINC合同会社(以下「当社」)は、当社が提供する世界の成功事例検索・分析サービス「SPAAAN」(以下「本サービス」)における個人情報の取り扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
第1条(事業者情報)
| 項目 | 内容 |
|---|---|
| 社名 | MOLTSINC合同会社 |
| 代表者 | 代表社員 [要確認] |
| 所在地 | [要確認] |
| お問い合わせ先 | privacy@spaaan.jp(または [要確認]) |
| 本サービスURL | https://spaaan.jp |
第2条(適用範囲)
本ポリシーは、本サービスのすべての利用者(以下「ユーザー」)に適用されます。本サービスのWebサイト(https://spaaan.jp)、MCP/APIエンドポイント、およびSlack連携機能を通じた一切の個人情報の取り扱いに適用されます。
第3条(取得する個人情報の種類と利用目的)
当社は、本サービスの提供に際し、以下の個人情報を取得します。
3-1. アカウント情報
| # | 情報の種類 | 取得元 | 取得タイミング | 利用目的 |
|---|---|---|---|---|
| A-1 | メールアドレス | ユーザー入力(サインアップフォーム) | アカウント作成時 | アカウント識別・ログイン認証・重要なお知らせの送信 |
| A-2 | パスワード(bcryptハッシュ値) | ユーザー入力 | アカウント作成時 | ログイン認証。bcryptハッシュ化後に保存し、平文では保存しません |
| A-3 | プラン情報(free / pro / team) | システム付与 | 登録時・プラン変更時 | 機能制限の判定・課金管理 |
| A-4 | Stripe顧客ID(stripe_customer_id) | Stripe決済システム | 課金登録時 | 決済管理・請求書発行 |
3-2. 課金・サブスクリプション情報
| # | 情報の種類 | 取得元 | 取得タイミング | 利用目的 |
|---|---|---|---|---|
| B-1 | サブスクリプションID(Stripe subscription_id) | Stripe | 課金登録時 | サブスクリプション状態管理 |
| B-2 | プランの有効期間(current_period_start/end) | Stripe Webhook | 課金・更新時 | サービス利用期間の管理 |
| B-3 | 支払い状態(active / canceled / past_due 等) | Stripe Webhook | 決済イベント発生時 | アクセス制御・督促処理 |
※ クレジットカード番号等の決済情報は、当社のサーバーを経由せず、PCI DSSに準拠したStripe Inc.(米国)が直接取り扱います。当社はカード番号を一切保存しません。
3-3. APIキー・Webhook情報
| # | 情報の種類 | 取得元 | 取得タイミング | 利用目的 |
|---|---|---|---|---|
| C-1 | SPAAANアクセスキー(SHA-256ハッシュ値) | システム生成 | APIキー発行時 | MCPおよびAPI経由の認証。ハッシュ値のみを保存し、平文のキーは保存しません |
| C-2 | Slack Webhook URL(AES-256-GCM暗号化) | ユーザー入力(設定画面) | Slack配信設定時 | Slackチャンネルへの事例通知。AES-256-GCM方式で暗号化した上で保存します |
3-4. 利用状況データ
| # | 情報の種類 | 取得元 | 取得タイミング | 利用目的 |
|---|---|---|---|---|
| D-1 | spaaan_ask利用回数(月別) | システム記録 | 各クエリ実行時 | Free プラン月5回制限の管理 |
| D-2 | マイライブラリ件数(favorite_count) | システム記録 | お気に入り操作時 | Free プラン10件制限の管理 |
| D-3 | 保存済み事例(favorites テーブル) | ユーザー操作 | お気に入り登録時 | マイライブラリ機能の提供 |
3-5. アクセスログ・技術的情報
| # | 情報の種類 | 取得元 | 取得タイミング | 利用目的 |
|---|---|---|---|---|
| E-1 | IPアドレス | サーバーログ | リクエスト時 | 不正アクセスの検知・セキュリティ管理 |
| E-2 | ユーザーエージェント | サーバーログ | リクエスト時 | サービス品質の維持・障害対応 |
| E-3 | アクセス日時 | サーバーログ | リクエスト時 | サービス品質の維持・障害対応 |
第4条(利用目的)
当社は、取得した個人情報を以下の目的で利用します。
- 本サービスのアカウント管理・認証
- 本サービスの機能提供(事例検索・分析・マイライブラリ・Slack配信)
- 利用料金の課金・決済処理
- ユーザーサポートへの対応
- 本サービスの改善・新機能開発
- 利用規約違反・不正利用の検知・対応
- 法令に基づく開示対応
第5条(個人情報の第三者提供)
当社は、以下の場合を除き、ユーザーの事前同意なく個人情報を第三者に提供しません。
5-1. 業務委託先への提供(法27条3項・委託)
当社は、以下の外部サービスを利用してサービスを提供しています。これらの事業者は委託先であり、当社の指示に従い個人情報を取り扱います。
| サービス | 事業者 | 所在国 | 提供情報 | 目的 |
|---|---|---|---|---|
| Supabase(認証・DB) | Supabase, Inc. | 米国(東京リージョン) | メールアドレス・ハッシュ化パスワード・プラン情報・利用データ | ユーザー認証・データ保存 |
| Stripe(決済) | Stripe, Inc. | 米国 | メールアドレス・Stripe顧客ID・サブスクリプション情報 | 決済処理・請求管理 |
| Anthropic Claude API | Anthropic, PBC | 米国 | ユーザーのクエリテキスト(氏名等の個人情報は含まれない設計) | AI回答生成・事例構造化 |
| OpenAI Embedding API | OpenAI, LLC | 米国 | 事例テキスト(ユーザーの個人情報は含まれない) | ベクトル化・類似度検索 |
| Vercel(ホスティング) | Vercel, Inc. | 米国 | アクセスログ・IPアドレス | サービスホスティング |
| Upstash Redis(キャッシュ) | Upstash, Inc. | 米国 | キャッシュデータ(一時的) | レートリミット・パフォーマンス |
| Inngest(ジョブ管理) | Inngest, Inc. | 米国 | ジョブ実行ログ | バックグラウンド処理 |
5-2. 越境移転(個人情報保護法28条)
上記の委託先の一部は日本国外に所在します。当社は、当該委託先との間で個人情報保護法28条に基づく適切な措置(個人情報保護委員会規則で定める基準を満たす体制の整備または本人の同意取得)を講じます。
5-3. 法令に基づく提供
裁判所・警察・行政機関等から法令に基づく開示要求があった場合。
第6条(外部送信規律に関する公表)
電気通信事業法第27条の12に基づき、以下の外部送信について公表します。
| ツール名 | 送信先事業者 | 送信情報 | 利用目的 | オプトアウト |
|---|---|---|---|---|
| Google Analytics 4(※使用する場合) | Google LLC(米国) | Cookie ID・閲覧ページ・滞在時間・デバイス情報 | アクセス解析・サービス改善 | ブラウザのCookie設定 または GA オプトアウトアドオン |
| Vercel Analytics(※使用する場合) | Vercel, Inc.(米国) | アクセスログ・Core Web Vitals | サービスパフォーマンス計測 | — |
| Sentry(エラー監視) | Functional Software, Inc.(米国) | エラーログ・スタックトレース | 障害検知・品質改善 | — |
※ 上記の一部ツールは実装状況により変動します。変更時は本ポリシーを更新します。
第7条(安全管理措置)
当社は、個人情報の漏えい・滅失・毀損を防止するため、以下の安全管理措置を講じます。
| 措置の種類 | 具体的内容 |
|---|---|
| 技術的安全管理措置 | 通信の暗号化(TLS 1.2以上)、APIキーのSHA-256ハッシュ保存、Slack Webhook URLのAES-256-GCM暗号化保存、SupabaseのRow Level Security(RLS)全テーブル有効化、パスワードのbcryptハッシュ化 |
| 組織的安全管理措置 | 個人情報へのアクセス権限の最小化、従業員に対する教育・研修 |
| 物理的安全管理措置 | クラウドインフラ(Supabase東京リージョン・Vercel)のデータセンターによる物理的セキュリティ |
第8条(Cookieおよびアクセス解析)
- 当社は、本サービスの利用状況を把握し、サービス改善を目的として、Cookieおよびアクセス解析ツールを使用することがあります。
- ブラウザの設定によりCookieを無効にすることができますが、本サービスの一部機能(ログイン状態の維持等)がご利用いただけなくなる場合があります。
- 外部送信規律に基づく対象ツールおよびオプトアウト方法は第6条のとおりです。
第9条(個人情報の保存期間)
| データの種類 | 保存期間 |
|---|---|
| アカウント情報(メールアドレス・プラン情報) | 退会後180日間(不正利用対応のため) |
| 課金・サブスクリプション情報 | 最終取引から7年間(法人税法等の会計帳簿保存義務に対応) |
| 利用状況データ(ask_count等) | 退会後30日間 |
| アクセスログ | 90日間 |
| APIキー(ハッシュ値) | 退会後30日間 |
第10条(ユーザーの権利)
ユーザーは、当社が保有する自己の個人情報について、以下の権利を有します。
- 開示請求(法33条): 保有個人データの開示を求める権利
- 訂正・追加・削除請求(法34条): 内容が事実でない場合に訂正等を求める権利
- 利用停止・消去請求(法35条): 利用目的の範囲を超えた利用等がある場合に停止・消去を求める権利
- 第三者提供停止請求(法37条): 第三者提供の停止を求める権利
- データポータビリティ: 個人情報の電磁的記録による提供の請求
請求手続き
- お問い合わせ先: privacy@spaaan.jp(または [要確認])
- 本人確認: ご本人であることを確認させていただいた上で対応します
- 対応期限: ご連絡から30日以内(合理的な期間内)に回答します
第11条(未成年者の個人情報)
本サービスは18歳以上を対象としています。18歳未満の方が保護者の同意なく本サービスに登録した場合、当社は当該アカウントを削除することがあります。
第12条(個人情報保護法に基づく漏えい等報告)
個人情報の漏えい等の事態が発生した場合、個人情報保護法26条に基づき、個人情報保護委員会への報告(速報:3〜5日以内、確報:30日以内)および影響を受けるユーザーへの通知を適切に行います。
第13条(プライバシーポリシーの改定)
- 当社は、法令の改正・サービス内容の変更等に伴い、本ポリシーを改定することがあります。
- 重要な変更を行う場合は、改定日の30日前までに、本サービス上での掲示またはメールによりユーザーに通知します。
- 軽微な変更の場合は、本サービス上での掲示のみで通知します。
- 改定後も本サービスを継続して利用された場合は、改定後のポリシーに同意したものとみなします。
第14条(お問い合わせ窓口)
個人情報の取り扱いに関するご意見・ご質問・苦情は、以下の窓口までお問い合わせください。
- 窓口名: SPAAAN 個人情報お問い合わせ窓口
- メールアドレス: privacy@spaaan.jp(または [要確認])
- 対応時間: 平日 10:00〜17:00(土日祝・年末年始を除く)
- 対応言語: 日本語
MOLTSINC合同会社 / 施行日: 2026年4月30日