プライバシーポリシー
NitenLabs合同会社(以下「当社」)は、当社が提供するペットサロン向けSaaS「Pawly(ポーリー)」(以下「本サービス」)において、ユーザーの個人情報を適切に取り扱うため、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
第1条(定義)
本ポリシーにおける用語の定義は以下のとおりです。
- 「個人情報」:個人情報の保護に関する法律(以下「個人情報保護法」)第2条第1項に定める個人情報をいいます。
- 「個人データ」:個人情報保護法第16条第3項に定める個人データをいいます。
- 「保有個人データ」:個人情報保護法第16条第4項に定める保有個人データをいいます。
- 「店舗ユーザー」:本サービスを契約・利用するペットサロンのオーナーおよびスタッフをいいます。
- 「飼い主ユーザー」:本サービスを通じてペットサロンの予約・カルテ閲覧等を行うペットの飼い主をいいます。
- 「ユーザー」:店舗ユーザーおよび飼い主ユーザーの総称をいいます。
第2条(取得する個人情報の種類)
当社は、本サービスの提供にあたり、以下の情報を取得します。
2-1. 店舗ユーザー(オーナー)から取得する情報
- 氏名
- メールアドレス
- パスワード(Argon2によりハッシュ化して保存。平文では保持しません)
- 店舗名・住所・電話番号
- 動物取扱業登録証(画像ファイル)
- 決済情報:無料トライアル期間中または有料プラン移行時にクレジットカード情報を登録いただきます。カード番号等の決済情報はStripe, Inc.が管理し、当社のサーバーには保存しません。当社が保持するのはStripeが発行するカードの末尾4桁・有効期限・決済トークンのみです。
2-2. 店舗ユーザー(スタッフ)から取得する情報
- 氏名・メールアドレス
- シフト情報・勤務時間
- 担当予約・施術記録(作成者情報として記録)
スタッフの情報は、予約管理・シフト管理・施術記録の帰属確認・スタッフ紹介ページ表示の目的で利用します。スタッフのシフト情報は同じ店舗のオーナーが閲覧できます。
2-3. 飼い主ユーザーから取得する情報
- 氏名
- メールアドレス(メール登録を選択した場合)
- LINEユーザーID・LINEプロフィール情報(LINEログインを利用した場合)
- 住所・電話番号
2-4. ペットに関する情報(飼い主ユーザーに紐づく情報)
- ペット名・種別・犬種・性別・年齢・生年月日
- アレルギー情報・投薬記録・ワクチン接種情報
- ワクチン証明書(画像ファイル)
- 施術写真・ビフォーアフター写真・プロフィール写真
- 施術記録・カルテ情報
- ペット性格診断結果
ペットの健康・医療情報について: アレルギー情報・投薬記録・ワクチン情報等のペットの健康・医療情報は、ペット自体に関する情報であり、個人情報保護法上の「要配慮個人情報」(人の病歴等)には原則として該当しません。ただし、カルテの備考欄等に飼い主ご本人の健康情報・アレルギー情報が記載される場合は、当該情報を要配慮個人情報として厳重に管理します。いずれの場合も機微性の高い情報として、アクセス制御・暗号化等の安全管理措置を講じます。
2-5. スタッフによる代理入力について
店舗スタッフが飼い主の氏名・連絡先・ペット情報を本サービスに入力する場合があります(来店時の手動登録等)。この場合、当社は飼い主ユーザーご本人から直接情報を取得していませんが、当該情報も本ポリシーに定める目的の範囲内で取り扱います。店舗スタッフは、情報を入力する前に飼い主の同意を得るよう、当社は店舗ユーザーに求めています。
2-6. 自動的に取得する情報
- IPアドレス・ブラウザ種別・OSの種別
- 本サービスへのアクセスログ・操作ログ
- Cookie・セッション情報
第3条(個人情報の利用目的)
当社は、取得した個人情報を以下の目的で利用します。
- 本サービスの提供(予約管理・カルテ管理・施術記録・通知送信)
- ユーザーの本人確認・アカウント管理・ログイン認証
- UI改善・機能追加・バグ修正・障害対応等のサービス改善
- 動物取扱業登録証の審査・資格確認
- Stripeを通じた課金処理・請求書発行・未払い対応
- AI機能(日誌生成・カルテサマリー等)の提供
- カスタマーサポート・お問い合わせ対応
- 不正アクセス・不正利用の検知・防止
- 匿名加工した統計情報の作成・分析
- 法令に基づく開示・報告
- 飼い主ユーザーが予約・カルテ共有等のために登録した情報を、当該飼い主と契約関係にある店舗のオーナー・スタッフが施術・予約管理等の業務目的で閲覧・利用すること(詳細は第11条をご覧ください)
第4条(第三者提供)
当社は、以下の場合を除き、ユーザーの個人情報を第三者に提供しません。
- ユーザーの事前の同意がある場合
- 法令に基づく場合(裁判所・行政機関等からの適法な照会等)
- 人の生命・身体・財産の保護のために必要であり、かつ本人の同意を得ることが困難な場合
- 公衆衛生の向上または児童の健全な育成のために特に必要であり、かつ本人の同意を得ることが困難な場合
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
なお、当社はオプトアウト方式(個人情報保護法第27条第2項)による第三者提供は行いません。
事業承継について
合併・会社分割・事業譲渡その他の事由により事業が承継される場合、当社が保有する個人情報は承継先に引き継がれることがあります(個人情報保護法第27条第5項第2号)。この場合、承継先に対して本ポリシーと同等の保護水準を求めます。
第5条(業務委託先への提供)
当社は、本サービスの提供に必要な範囲で、以下の外部サービスに個人情報の取扱いを委託します。当社は、委託先との間で個人情報の取扱いに関する契約(Data Processing Addendum等)を締結し、適切な監督を行います。
| 委託先 | 委託内容 | プライバシーポリシー等 |
|---|---|---|
| Amazon Web Services, Inc.(AWS) | データベース(RDS)・ファイルストレージ(S3)・メール配信(SES)の運用 | https://aws.amazon.com/jp/privacy/ |
| Stripe, Inc. | 決済処理・課金管理 | https://stripe.com/jp/privacy |
| LINEヤフー株式会社 | LINEログイン認証・LINE通知メッセージの送信 | https://line.me/ja/terms/policy/ |
| Anthropic, PBC | AI機能(Claude API)の提供 | https://www.anthropic.com/privacy |
| Vercel, Inc. | アプリケーションのホスティング | https://vercel.com/legal/privacy-policy |
| Functional Software, Inc.(Sentry) | エラー監視 | https://sentry.io/privacy/ |
各委託先はサービス提供のために自社のインフラ事業者等に再委託することがあります。当社は委託先に対し、再委託先の選定・監督について当社と同等の水準を求めます。
AI機能(Claude API)について
AI日誌生成・AIカルテサマリー等の機能を利用する際、当社の委託先であるAnthropic, PBCが提供するClaude APIにデータが送信されます。送信するデータはペット名・犬種・施術記録等の業務情報に限定しており、飼い主の氏名・住所・連絡先等の直接識別情報は送信しません。
AnthropicのAPI商用利用者向けポリシーに基づき、送信されたデータはモデルの学習・改善には使用されません(APIログは7日間保持後に自動削除)。当社はAnthropicとの間でData Processing Addendum(DPA)の締結を進めており、この保護を契約上も確保する予定です。
本処理は個人情報保護法第27条第5項第1号に基づく委託であり、本人の別途同意は不要ですが、個人情報保護委員会の生成AIに関する注意喚起(令和5年6月2日)に従い、送信データの範囲を最小化しています。
第6条(外部送信について)
当社は、電気通信事業法第27条の12に基づき、以下のとおり利用者情報の外部送信に関する情報を公表します。
| 送信先 | 送信される情報 | 送信目的 | オプトアウト |
|---|---|---|---|
| LINEヤフー株式会社 | LINEユーザーID・認証トークン | ログイン認証・通知送信 | LINEアカウント設定より(LINEログインを利用しない場合は送信されません) |
| Functional Software, Inc.(Sentry) | IPアドレス・ブラウザ情報・エラーログ | エラー監視・障害対応 | Cookie同意バナーで「必須のみ許可」を選択することで送信を停止できます |
| Vercel, Inc. | IPアドレス・アクセスログ | サービス提供・CDN配信 | 対応なし(本サービスの利用に不可欠なインフラのため。本サービスを利用しない場合は送信されません) |
第7条(Cookieおよびトラッキング)
当社は、以下の目的でCookieおよびセッション情報を利用します。
- ログイン状態の維持(セッションCookie)
- サービスの正常な動作の確保
- アクセス解析によるサービス改善(個人を特定しない形で実施)
ブラウザの設定によりCookieを無効にすることができますが、本サービスの一部機能が利用できなくなる場合があります。当社は、広告目的のトラッキングCookieを使用していません。
第8条(個人情報の保存期間と削除)
当社は、以下の基準に従い個人情報を管理・削除します。
| データ種別 | 保存期間 |
|---|---|
| 店舗ユーザーのアカウント情報・カルテ・施術記録・写真 | 契約終了後30日間。期間経過後に完全削除します |
| 飼い主ユーザーのアカウント情報・カルテ・写真 | 紐づく店舗の契約終了後30日間、または飼い主の最終ログインから3年間のいずれか早い方 |
| 請求履歴・売上データ | 契約終了後7年間(消費税法第58条・電子帳簿保存法第7条に基づく保存義務) |
| 動物取扱業登録証(画像) | 審査承認後は店舗の契約期間中保持し、契約終了後30日以内に削除。審査却下の場合は却下確定後30日以内に削除 |
| アクセスログ | 取得から90日間 |
| Cookie同意記録(同意日時・選択内容・バージョン等) | 同意取得日から1年間(アクセスログとは別管理) |
再契約について: 契約終了後30日以内に再契約いただいた場合、データを復元できる場合があります。30日を経過した場合は復元できませんのでご注意ください。
第9条(個人情報の安全管理)
当社は、個人情報の漏洩・滅失・毀損を防止するため、以下の安全管理措置を講じます(個人情報保護法第32条第1項第4号に基づく公表)。
組織的安全管理措置:個人情報保護管理者を設置し、取り扱い状況を定期的に点検します。インシデント発生時の対応体制を整備します。
人的安全管理措置:従業者への個人情報保護に関する教育・啓発を実施し、個人情報を取り扱う従業者を必要最小限に限定します。
物理的安全管理措置:個人情報を取り扱う機器・電子媒体の盗難・紛失を防止するため、施錠管理等の措置を講じます。
技術的安全管理措置:以下の措置を実施します。
- 通信の暗号化(HTTPS/TLS)
- パスワードのArgon2ハッシュ化(平文保存なし)
- テナント分離機能による異なる店舗間のデータアクセス遮断
- ロール別アクセス制御(オーナー・スタッフで権限を分離)
- ログイン失敗10回で15分間のアカウントロック(ブルートフォース対策)
- ファイル(写真・書類)のAmazon S3への保存とアクセス制御
インシデント対応:個人情報(データベースへの登録前のものを含む)の漏洩・滅失・毀損等が発生した場合、個人情報保護法第26条および2024年4月施行の改正施行規則に基づき、速やかに個人情報保護委員会への報告および本人への通知を行います。報告基準に満たない軽微な事案についても、当社内でインシデント記録を作成・保管します。
第10条(ユーザーの権利)
ユーザーは、当社が保有する自己の保有個人データについて、以下の請求を行うことができます。
- 利用目的の通知
- 開示(書面または電磁的記録による提供を含む。ご希望の方法をお申し出ください)
- 訂正・追加・削除
- 利用停止・消去
- 第三者提供の停止
請求手続き
請求を行う場合は、第16条に定める窓口へメールまたは問い合わせフォームよりご連絡ください。以下の手順で対応します。
- 本人確認:ご登録のメールアドレスからのご連絡または、当社が定める方法による本人確認書類のご提出をお願いします。
- 回答期限:法令の定める期限(原則として請求受領後30日以内)に従い対応します。
- 手数料:現時点では無料です(今後変更する場合は事前にお知らせします)。
- 開示方法:書面または電磁的記録(PDFメール送付等)のご希望をお申し出ください。
以下に該当する場合は、請求に応じられないことがあります。その場合は理由をご説明します。
- 本人確認が取れない場合
- 第三者(他の飼い主・スタッフ等)の権利・利益を害するおそれがある場合
- 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 法令に違反することとなる場合
削除請求の対応について
飼い主ユーザーから個人情報の削除・利用停止請求があった場合、当社は以下の対応を行います。
- 当社が直接管理するアカウント情報(メールアドレス・LINEユーザーID等)は、請求から30日以内に削除します。
- 店舗との施術記録・カルテ・予約履歴については、店舗ユーザーへの告知後、合理的な期間内に削除します。ただし、当該店舗が法令上の保存義務を負う場合や、係争中のトラブル対応に必要な場合は、その目的の範囲内で保存を継続することがあります。
- 削除完了後は、その旨をご連絡します。
スタッフ内部メモについて
店舗スタッフが作成する内部メモ(施術上の技術的注意点等)は、店舗の業務管理目的で作成・保持されるものです。当該メモに含まれる業務上のノウハウ・技術的判断に関する部分は、「当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合」(個人情報保護法第33条第2項第2号)として、開示請求の対象外となることがあります。
第11条(当社と店舗ユーザーの責任関係)
本サービスにおいて、飼い主ユーザーの個人情報は以下の立場で取り扱われます。
- 当社(NitenLabs):システムの提供者として、飼い主ユーザーの個人情報を保管・処理する個人情報取扱事業者に該当します。
- 店舗ユーザー(サロン):飼い主との直接のサービス提供者として、入力・管理するカルテ・施術記録等について独立した個人情報取扱事業者に該当する場合があります。
店舗ユーザーへの情報の提供について
飼い主ユーザーが本サービスに登録した個人情報(ペット情報・予約情報・施術記録等)は、第3条第11号に定める利用目的のとおり、当該飼い主と契約関係にある店舗のオーナー・スタッフが施術・予約管理等の業務目的で閲覧・利用します。これはサービスの本来の目的の範囲内での利用であり、飼い主ユーザーは本サービスへのログイン・同意の際にこの点を確認・同意いただきます。
各自が個人情報保護法上の義務を負います。当社は店舗ユーザーに対し、本ポリシーに準じた取り扱いを求めます。
第12条(写真・公開情報の取り扱い)
施術写真について
施術写真・ビフォーアフター写真・プロフィール写真はAmazon S3に保存し、飼い主向けWebでの閲覧に利用します。写真にペット以外の人物(飼い主等)が識別可能な形で写り込んでいる場合、当該情報は個人情報として取り扱います。
みんなのペットタイムラインおよび公式SNSへの投稿にあたっては、識別可能な人物が写り込んでいないことの確認または当該人物の同意取得を、店舗スタッフの責任において行うものとします。
みんなのペットタイムラインについて
飼い主ユーザーが「みんなのペットタイムライン」機能において公開設定を選択した以下の情報は、本サービスを利用する他のユーザーが閲覧できる状態になります。
公開される情報:ペット名・犬種・性格診断結果・公開設定された施術日誌・写真
公開されない情報:飼い主の氏名・住所・連絡先・店舗名・予約情報・カルテの詳細
公開設定はいつでも非公開に変更できます。一度公開された情報が他のユーザーにキャッシュ・保存されている場合、当社はその削除を保証できません。
当社は、公開情報を組み合わせて飼い主個人を特定・追跡するような用途には使用せず、第三者への販売・提供は行いません。
公式SNSへの掲載について
飼い主ユーザーが「公式SNS掲載OK」と設定した日誌・写真は、当社が運営するInstagram(Meta Platforms, Inc.、米国)およびX(X Corp.、米国)の公式アカウントに掲載することがあります。掲載時はペット名のみを表示し、飼い主の氏名・連絡先は表示しません。
これらのプラットフォームに情報が投稿された時点で、当該プラットフォームのプライバシーポリシーが適用されます。
- Instagram(Meta)プライバシーポリシー:https://privacycenter.instagram.com/policy/
- X プライバシーポリシー:https://x.com/privacy
第13条(国外へのデータ移転)
本サービスでは、データの保存・処理に以下の海外サービスを利用しており、お客様の個人情報が日本国外のサーバーに保存・処理される場合があります。
| 移転先国 | 利用サービス |
|---|---|
| 米国 | AWS・Stripe・Anthropic(Claude API)・Vercel・Sentry・Meta(Instagram)・X Corp. |
米国の個人情報保護制度について
米国には日本の個人情報保護法に相当する統一的な連邦法は存在しませんが、各委託先は以下の措置を講じています。
| 委託先 | 認証・契約上の措置 |
|---|---|
| AWS | ISO 27001認証取得・DPA締結・SCCに準拠 |
| Stripe | PCI DSS準拠・DPA締結 |
| Anthropic | DPA締結予定・APIデータの学習利用なし |
| Vercel | GDPR対応DPA締結・SCCに準拠 |
| Sentry | DPA締結・SCCに準拠 |
各委託先の詳細な安全管理措置については、当社までお問い合わせいただくか、各委託先のウェブサイトをご確認ください(個人情報保護法第28条に基づく情報提供)。
なお、将来的に欧州経済領域(EEA)在住のユーザーが生じた場合には、GDPRへの対応を別途検討します。
第14条(未成年者への対応)
本サービスは、16歳未満の方が単独でご利用いただくことを想定していません。16歳未満の方がご利用になる場合は、保護者(法定代理人)の同意を得た上でご利用ください。16歳未満の方が保護者の同意なくサービスを利用していることが判明した場合、当社は当該アカウントの情報を適切に処理します。
なお、個人情報保護法の改正(令和8年改正法案では、16歳未満の個人情報取得に際して法定代理人の同意を明文義務化する方向で審議中。施行は公布から2年以内の予定)の動向を踏まえ、施行時に随時対応を見直します。
第15条(プライバシーポリシーの変更)
当社は、法令の改正・サービス内容の変更等に伴い、本ポリシーを変更することがあります。変更を行う場合は、本サービス上または登録メールアドレスへの通知により、変更内容および施行日を事前にお知らせします。
ユーザーの権利に実質的な不利益を及ぼす重要な変更(利用目的の追加・第三者提供の追加等)については、変更施行前に改めて同意を取得します。軽微な変更(誤字修正・委託先の社名変更等)については、事前通知のみで施行します。
法令の大幅な改正(令和8年改正個人情報保護法の施行等)に伴い本ポリシーの大幅な改定が必要となる場合は、施行前に改めて同意を取得します。
通知後も本サービスをご継続いただいた場合、軽微な変更については変更後のポリシーに同意いただいたものとして取り扱います。
第16条(個人情報保護管理者およびお問い合わせ・苦情窓口)
当社における個人情報保護管理者および個人情報の取り扱いに関するお問い合わせ・苦情の申し出先は以下のとおりです(個人情報保護法第32条第1項第1号・第5号に基づく公表)。
NitenLabs合同会社
個人情報保護管理者:代表社員 〔●氏名〕
所在地:〔●〕
メールアドレス:〔●〕(例:privacy@pawly.jp)
受付時間:平日10:00〜18:00
当社の対応にご不満の場合、または直接申し出を希望される場合は、個人情報保護委員会(https://www.ppc.go.jp/)または各都道府県の消費生活センターにご相談いただくこともできます。
附則
- 制定日:〔●〕年〔●〕月〔●〕日(サービスローンチ日と同日)
- 最終改定日:―