第1条(収集する個人情報)
当社は、本サービスの提供にあたり、以下の個人情報を収集します。
— 1. 利用者が直接提供する情報
| 情報の種類 | 具体的な内容 |
|---|---|
| アカウント情報 | 氏名、メールアドレス、パスワード(暗号化して保存)、プロフィール画像 |
| 決済情報 | 決済システムを通じて処理されるクレジットカード情報(当社はカード番号を直接保持しません) |
| プロフィール情報 | 自己紹介文、トレーニング目標、身体情報(任意入力) |
| コミュニケーション情報 | お問い合わせ内容、コーチングセッションでの通信内容 |
— 2. 自動的に収集される情報
| 情報の種類 | 具体的な内容 |
|---|---|
| 学習活動データ | コース視聴履歴、レッスン完了状況、学習時間、進捗率、Fitest結果 |
| ゲーミフィケーションデータ | FitStellaポイント残高・履歴、連続学習日数、実績・バッジ取得状況 |
| 利用状況データ | アクセス日時、利用頻度、ページ閲覧履歴、操作ログ |
| デバイス情報 | IPアドレス、ブラウザの種類・バージョン、OS情報、画面解像度 |
第2条(個人情報の利用目的)
当社は、収集した個人情報を以下の目的で利用します。
- —本サービスの提供、運営および維持管理
- —アカウントの作成、認証およびセキュリティの確保
- —サブスクリプション契約の管理および決済処理
- —学習進捗の記録、分析および個別最適化されたコンテンツの提供
- —FitStellaポイントの付与・管理およびゲーミフィケーション機能の提供
- —Fitestの実施および評価結果の提供
- —コーチングセッションの予約管理および実施
- —利用者からのお問い合わせへの対応
- —本サービスの改善、新機能の開発および品質向上
- —利用規約に違反する行為への対応
- —利用者への重要なお知らせ、サービスに関する通知の送信
- —統計データの作成(個人を特定できない形式に加工したうえで実施)
当社は、上記の利用目的の範囲を超えて個人情報を利用する場合は、あらかじめ利用者の同意を得るものとします。
第3条(個人情報の第三者提供)
当社は、以下の場合を除き、利用者の個人情報を第三者に提供しません。
- —利用者の同意がある場合
- —法令に基づく場合(裁判所、検察庁、警察等の公的機関からの法的要請を含みます。)
- —人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- —公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- —国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
第4条(外部サービスとの連携)
当社は、本サービスの提供にあたり、以下の外部サービスを利用しています。各サービスにおける個人情報の取扱いについては、各社のプライバシーポリシーをご確認ください。
| サービス名 | 利用目的 | 提供される情報 |
|---|---|---|
| Supabase | ユーザー認証、データベース管理 | アカウント情報、学習データ |
| Vercel | ウェブアプリケーションのホスティング | アクセスログ、IPアドレス |
| fincode byGMO | サブスクリプション決済処理 | 決済情報(カード情報は当社非保持)、サブスクリプション契約情報 |
| Mux | 動画コンテンツの配信・管理 | 動画視聴ログ、再生状況 |
| Resend | メール送信サービス | メールアドレス、送受信ログ |
当社は、これらの外部サービス提供者との間で、個人情報の適切な取扱いに関する契約を締結し、または各社のデータ処理規約に基づき、個人情報の安全管理を確保しています。
第5条(Cookieおよび類似技術の利用)
当社は、本サービスにおいて、Cookie(クッキー)およびこれに類似する技術を使用しています。
| 種類 | 目的 | 必須/任意 |
|---|---|---|
| 認証Cookie | ログイン状態の維持、セッション管理 | 必須 |
| 機能Cookie | 利用者の設定・好みの記憶 | 必須 |
| 分析Cookie | サービスの利用状況の把握・改善 | 任意 |
利用者は、ブラウザの設定によりCookieの受け入れを拒否することができます。ただし、必須Cookieを無効にした場合、本サービスの一部機能が正常に動作しない場合があります。
第6条(個人情報の安全管理措置)
当社は、個人情報保護法第23条に基づき、個人情報の漏えい、滅失またはき損の防止その他の個人情報の安全管理のために、以下の措置を講じています。
— 1. 組織的安全管理措置
- —個人情報の取扱いに関する責任者を設置し、個人情報を取り扱う従業者およびその責任範囲を明確化しています。
- —個人情報の取扱状況について、点検・監査を年1回以上実施し、必要に応じて改善を行います。
- —個人情報の漏えい等の事故が発生した場合に備え、対応手順および個人情報保護委員会への報告体制を整備しています。
— 2. 人的安全管理措置
- —従業者に対し、個人情報保護および情報セキュリティに関する教育・研修を年1回以上実施しています。
- —従業者との間で、雇用契約・業務委託契約において個人情報の秘密保持義務を定めています。
— 3. 物理的安全管理措置
- —個人情報を取り扱う端末・媒体については、第三者による不正な持ち出しおよび閲覧を防止する措置を講じています。
- —個人情報を含む書類および電子媒体の廃棄は、復元不可能な方法(シュレッダー処理、データ消去ソフトによる完全消去等)により行います。
— 4. 技術的安全管理措置
- —通信の暗号化:利用者と本サービスの通信は TLS 1.2 以上で暗号化しています(HSTS により暗号化通信を強制)。
- —保存データの暗号化:データベースおよびファイルストレージは、外部サービス事業者(Supabase / Vercel)が提供する暗号化機能(保管時暗号化)により保護されます。
- —パスワードの保護:利用者のパスワードは、ソルト付きのハッシュ関数(bcrypt 等)により不可逆的に変換して保存し、当社およびその従業者であってもこれを復元することはできません。
- —アクセス制御:個人情報を取り扱うデータベースへのアクセスは、業務上必要な担当者に限定し、行レベルセキュリティ(RLS)によりアプリケーション層でも権限分離を行っています。
- —アクセスログの記録:個人情報および管理機能に対する操作ログは、最低 90 日間保存し、不正アクセス兆候を定期的に確認します。
- —脆弱性対応:使用するソフトウェアおよびライブラリの脆弱性情報を継続的に監視し、重要度の高いものは速やかに対応します。
- —外部サービスの選定:個人情報の処理を委託する外部サービス事業者は、ISO 27001、SOC 2 等の第三者認証を取得しているなど、安全管理措置が十分に講じられている事業者を選定しています。
当社は、これらの措置の実効性を確保するため、定期的に内容を見直し、必要に応じて改善を行います。
第7条(個人情報の保存期間)
当社は、利用目的の達成に必要な期間に限り、個人情報を保存します。具体的な保存期間は以下のとおりです。
| データの種類 | 保存期間 |
|---|---|
| アカウント情報 | アカウント削除後30日間(復旧対応期間)の後に削除 |
| 学習進捗データ | アカウント削除後30日間の後に削除 |
| 決済関連データ | 法令に基づく保存義務期間(最長7年間) |
| お問い合わせ記録 | 対応完了後3年間 |
| アクセスログ | 取得後1年間 |
アカウント削除後30日間は、利用者の操作ミスによる削除からの復旧対応期間とし、当該期間内に利用者から復旧の申し出があった場合は、技術的に可能な範囲で復旧を行います。31日目以降、当該個人情報は復元不可能な方法(データ消去ソフトによる完全消去または暗号化キーの破棄)により削除し、以降の復旧は一切行いません。決済関連データなど、法令により保存義務がある情報については、当該保存義務期間の経過後に同様の方法で削除します。
第8条(利用者の権利)
利用者は、個人情報保護法に基づき、当社に対して以下の請求を行うことができます。
- —開示請求 · 当社が保有する利用者の個人情報の開示を求めること
- —訂正等請求 · 個人情報の内容が事実でない場合に、訂正、追加または削除を求めること
- —利用停止等請求 · 個人情報が利用目的の範囲を超えて利用されている場合等に、利用の停止または消去を求めること
- —第三者提供停止請求 · 個人情報が不正に第三者に提供されている場合に、提供の停止を求めること
上記の請求を行う場合は、本サービスのプロフィール設定画面から行うか、下記のお問い合わせ窓口までご連絡ください。当社は、本人確認を行ったうえで、合理的な期間内に対応します。
第9条(未成年者の利用)
本サービスは、16歳以上の方を対象としています。16歳未満の方が本サービスを利用する場合は、保護者の同意が必要です。当社が16歳未満の方の個人情報を保護者の同意なく収集したことが判明した場合、速やかに当該情報を削除します。
第10条(海外への個人情報の移転)
本サービスで利用する外部サービスのサーバーは、日本国外に所在する場合があります。当社は、個人情報保護法第28条(外国にある第三者への提供の制限)に基づき、利用者の個人情報を外国にある第三者に提供する場合の取扱いについて、以下のとおり開示します。
| 事業者名 | 所在国 | 提供される情報 | 保護措置の根拠 |
|---|---|---|---|
| Supabase, Inc. | アメリカ合衆国(リージョン: 東京 ap-northeast-1) | アカウント情報、学習データ、コーチング情報等 | Supabase の Data Processing Addendum(DPA)および ISO 27001 / SOC 2 Type II 認証 |
| Vercel Inc. | アメリカ合衆国(エッジ配信は世界各国) | アクセスログ、IPアドレス、リクエスト内容 | Vercel の Data Processing Agreement、SOC 2 Type II 認証 |
| Mux, Inc. | アメリカ合衆国 | 動画視聴ログ、再生状況 | Mux の Data Processing Addendum、SOC 2 Type II 認証 |
| Resend Inc. | アメリカ合衆国 | メールアドレス、送受信ログ | Resend の Data Processing Addendum |
利用者は、本サービスの利用を開始することにより、上記の外国にある第三者への個人情報の提供に同意したものとみなされます。各国における個人情報保護制度の概要および当該第三者が講じる個人情報保護のための措置に関する情報は、利用者からの請求に応じて、合理的な期間内に提供します。
第11条(本ポリシーの変更)
当社は、法令の改正、本サービスの変更その他の事由により、本ポリシーを変更することがあります。変更後の本ポリシーは、本サービス上に掲載した時点から効力を生じるものとします。重要な変更を行う場合は、本サービス上での通知またはメールにより、利用者に事前にお知らせします。
第12条(お問い合わせ窓口)
個人情報の取扱いに関するお問い合わせは、以下の窓口までご連絡ください。
| 事業者名 | Fiterre |
| 代表者 | 星川裕喜 |
| メールアドレス | contact@fit-erre.com |
| 対応時間 | 平日 10:00〜23:00 / 土日 10:00〜23:00 |