プライバシーポリシー
目次
1. 取得する情報
当社は、本サービスの提供にあたり、以下の情報を取得します。
【ユーザーの登録時に取得する情報】
・ ソーシャルログインのアカウント情報(LINE / Apple のいずれか)
・ ニックネーム
・ メールアドレス(ソーシャルログインから提供される場合)
【自動的に取得する情報】
・ 端末情報(機種、OS バージョン、言語設定、タイムゾーン)
・ 利用ログ(アクセス日時、画面遷移、ボタン操作の履歴等)
・ 歩数データ(端末標準のヘルスケア機能から取得、ユーザー許可時のみ)
・ 広告 ID(Google 広告 ID / Apple IDFA)※ iOS では App Tracking Transparency(ATT)フレームワークに基づきユーザーの同意を取得した場合にのみ利用します。
・ アプリの利用状況に関する分析情報(画面表示、ボタン操作、機能利用状況等)
・ クラッシュログ、エラーログ、端末の診断情報(アプリの安定性向上および不具合調査のため)
【お問い合わせ時に取得する情報】
・ お問い合わせ本文、カテゴリ、返信先メールアドレス
・ ユーザーが任意で添付した画像・スクリーンショット
・ お問い合わせ対応に必要な端末情報、OS バージョン、アプリバージョン
【不正利用防止のために取得する情報】
| 項目 | 内容 | 取得タイミング |
|---|---|---|
| 端末識別子 | iOS: identifierForVendor (IDFV) / Android: SSAID | 初回ログイン時 |
| 端末フィンガープリント | 機種・OS バージョン・タイムゾーン・ロケール等から生成した SHA-256 ハッシュ | 初回ログイン時 |
| 登録時 IP アドレス | IPv4 / IPv6 アドレス | 新規登録時 |
| ソーシャルログイン種別 | LINE / Apple のいずれか | ログイン時 |
| ソーシャル ID ハッシュ | 各ソーシャル提供者の固有 ID を SHA-256 でハッシュ化したもの | ログイン時 |
| 電話番号(着信認証) | ユーザーが本人確認のために入力する携帯電話番号(090 / 080 / 070)。着信認証の過程で、認証サービス提供事業者(株式会社オスティアリーズ)において発信者番号が確認されます。当社は認証結果を取得し、電話番号そのものは保存せず、サーバー側で管理する秘密鍵を用いて一方向ハッシュ化(HMAC)した値および下4桁のみを保管します。 | 本人確認(着信認証)の実施時 |
| 着信認証セッション情報 | 認証要求 ID・有効期限・認証状態等。 | 本人確認(着信認証)の実施時 |
| 認証リクエスト時の IP アドレス・試行回数 | 着信認証の不正利用防止、過剰な認証要求(レート制限)の管理のために取得します。 | 本人確認リクエストの実施時 |
2. 利用目的
当社は、取得したユーザー情報を以下の目的で利用します。
・ 本サービスの提供、維持、保護および改善
・ ユーザーの本人確認、認証およびアカウント管理
・ ポイント・エネルギーの付与、消費および交換処理
・ ギフト交換(えらべるPay・giftee Box 等)の処理および履歴管理
・ お友達紹介プログラムにおける、複数アカウント作成・自己招待などの不正利用の防止
・ 同一端末/同一 IP からの短期間大量登録の検知および要審査フラグの設定
・ 電話番号による着信認証を用いた本人確認
・ 1 つの電話番号につき 1 アカウントであることの確認による、複数アカウント作成等の不正利用の防止
・ 規約違反の調査および対応
・ お問い合わせ内容の確認、添付画像を含む不具合調査、回答およびサポート対応
・ 広告配信および効果測定(Google AdMob)
・ Firebase Analytics および Mixpanel を用いた利用状況の分析、機能改善およびサービス品質向上
・ アプリのクラッシュ、エラー、パフォーマンス問題の検知、調査および改善
・ 重要なお知らせ・プッシュ通知の送信
3. 第三者提供
当社は、法令に基づく場合を除き、ユーザーの同意なく、ユーザー情報を第三者に提供することはありません。
ただし、以下の業務委託先に対しては、本サービスの提供に必要な範囲内で情報を提供することがあります。委託先はすべて、適切な個人情報保護体制を整備していることを確認しております。
| 委託先・提供先 | 用途 | 所在国 |
|---|---|---|
| Supabase Inc. | データベース・バックエンド運用 | 米国(東京リージョン) |
| Amazon Web Services, Inc. | サーバーインフラ | 米国(東京リージョン) |
| LINE株式会社 | ソーシャルログイン | 日本 |
| Google LLC | 広告配信・広告効果測定(AdMob、Advertising ID)、アプリ配信(Google Play)、プッシュ通知(Firebase Cloud Messaging)、アクセス解析(Firebase Analytics)、クラッシュ解析(Firebase Crashlytics)、設定配信(Firebase Remote Config) | 米国 |
| Apple Inc. | ソーシャルログイン・アプリ配信(App Store) | 米国 |
| Mixpanel, Inc. | アプリ利用状況の分析 | 米国 |
| 株式会社ギフティ | ギフト交換商品の発行、交換ページの提供、交換履歴の管理 | 日本 |
| 株式会社オスティアリーズ | 電話番号による着信認証(本人確認)サービスの提供 | 日本 |
上記委託先への情報提供は、サービス提供に必要な最小限の範囲に限定し、第三者への再提供を禁止する契約を締結しています。
4. データの保管場所
取得したユーザー情報は、原則として日本(東京リージョン / ap-northeast-1)のサーバーに保管されます。ただし、業務委託先のサービス仕様により、一部の情報が米国等の他の国・地域のサーバーに保管・処理されることがあります。
当社は、個人情報の国際移転にあたり、移転先が適切な個人情報保護水準を備えていることを確認した上で移転を行います。
5. 保存期間
| 情報の種類 | 保存期間 |
|---|---|
| 端末識別子・端末フィンガープリント・ソーシャル ID ハッシュ | アカウント削除まで |
| 登録時 IP アドレス | 登録日から 12 か月間 |
| ソーシャルログイン種別 | アカウント削除まで |
| 利用ログ | 取得日から 24 か月間 |
| 分析情報 | 取得日から 24 か月間、または利用する解析サービスの保存期間に従う期間 |
| クラッシュログ・診断情報 | 取得日から最大 90 日間、または利用する解析サービスの保存期間に従う期間 |
| 歩数データ | 直近 90 日分 |
| お問い合わせ内容・添付画像・回答履歴 | アカウント削除まで(法令上保存義務がある場合を除く) |
| ポイント・エネルギー履歴 | アカウント削除まで |
| ギフト交換履歴 | 法令上の保存義務期間(資金決済法・税法等に基づき、退会後も必要な期間継続して保存) |
| メールアドレスのハッシュ値(再登録制限・不正利用防止用) | 復元不能な一方向ハッシュとして退会後も保管。再登録制限は退会後 30 日間で解除(30 日経過後は同じメールアドレスでの新規登録が可能) |
| 電話番号のハッシュ値(再登録制限・不正利用防止用)・下4桁・認証日時 | 元の電話番号を容易に復元できない形式(サーバー側で管理する秘密鍵を用いた一方向ハッシュ)として保管。再登録制限は退会後 30 日間で解除(30 日経過後は同じ電話番号による本人確認が可能) |
| 着信認証セッション情報(認証要求 ID・有効期限・認証状態等) | 認証処理の完了またはセッション有効期限の到来まで(一時的に保管) |
| 認証リクエスト時の IP アドレス・試行回数 | 取得日から 12 か月間(登録時 IP アドレスと同基準) |
| アカウント削除手続の監査ログ | 退会後も継続して保存 |
※ 再登録制限および不正利用防止のため、退会後 30 日間は同一メールアドレスでの再登録および同一電話番号による本人確認を制限します。30 日経過後は当該制限が解除され、同じメールアドレスでの新規登録および同じ電話番号による本人確認が可能になります。なお、メールアドレスおよび電話番号のハッシュ値ならびに削除手続の監査ログは、不正利用の事後調査・法令対応・統計目的のため、再登録制限の解除後も保管します。メールアドレスのハッシュ値は復元不能な、電話番号のハッシュ値は元の電話番号を容易に復元できない形式(サーバー側で管理する秘密鍵を用いた一方向ハッシュ)で保管します。
6. ユーザーの権利(開示・訂正・削除)重要
ユーザーは、当社が保有するご自身の個人情報について、以下の権利を有します。
・ 開示請求:当社が保有する個人情報の開示を求めることができます。
・ 訂正・追加・削除請求:個人情報の内容が事実でない場合、訂正・削除を求めることができます。
・ 利用停止・消去請求:個人情報が利用目的の範囲を超えて利用されている場合等に、利用の停止または消去を求めることができます。
・ 第三者提供停止請求:第三者への提供の停止を求めることができます。
【アカウント削除・データ削除の方法】
アカウントの削除は、以下の手順で行うことができます。
① アプリを開く
② 下部メニューの「マイページ」をタップ
③「アカウント削除」をタップ
④ 削除ポリシー を確認のうえ「退会を申請する」をタップ
退会申請が完了した時点で、保有するポイント・エネルギー、応募中の抽選・当選権利、お友達紹介の特典、未処理のギフト交換申請等はすべて即時に失効し、復旧できません。申請後、ユーザーは自動的にログアウトされます。なお、既に発行されたギフトコードについては、退会後は本アプリ内で確認・再発行できなくなる場合があり、コード自体の有効性は各発行事業者の定めによります。
退会後 30 日間は、退会時と同じメールアドレスでの再登録、および同じ電話番号による本人確認はできません。30 日経過後は同じメールアドレスでの新規登録、および同じ電話番号による本人確認が可能になりますが、退会前の保有ポイント・履歴等は引き継がれません。
退会申請後、アカウント情報は運営の定める方法および期間内に削除または匿名化されます。ただし、法令上の保存義務がある取引記録、ならびに不正利用防止・再登録制限を目的としたメールアドレスのハッシュ値および電話番号のハッシュ値(電話番号については、元の電話番号を容易に復元できない形式としたもの)ならびに削除手続の監査ログについては、必要な期間継続して保存します。再登録制限自体は退会後 30 日間で解除されますが、上記ハッシュ値は事後調査・法令対応・統計目的のため引き続き保管します(5. 保存期間 参照)。
アプリ経由でのアカウント削除が困難な場合は、support@chadepo.jp までメールにてご連絡ください。
7. 安全管理措置
当社は、ユーザー情報の漏えい、滅失または毀損の防止その他の安全管理のために、必要かつ適切な措置を講じています。
・ 通信の暗号化(HTTPS / TLS 1.2 以上)
・ データベースアクセス権限の最小化(最小権限の原則)
・ ソーシャル ID 等の機微な情報の SHA-256 ハッシュ化(元データは保存しない)
・ 不正アクセス検知のための定期的な監査
・ 従業員・委託先への個人情報取り扱いに関する教育・監督
8. 広告・トラッキングについて重要
本サービスでは、Google AdMob を利用して広告を配信しています。広告配信にあたり、以下のデータが利用される場合があります。
・ 広告 ID(Google 広告 ID / Apple IDFA)
・ アプリ内での行動データ(広告の表示・クリック等)
・ 大まかな位置情報(国・地域レベル)
【iOS ユーザーの方へ — App Tracking Transparency(ATT)】
iOS 14.5 以降をお使いの方には、初回の広告表示前など、本サービスの利用開始後の適切なタイミングでトラッキングの許可を求めるダイアログが表示されます。「許可しない」を選択した場合でも、本サービスの基本機能はすべてご利用いただけます。ただし、表示される広告がパーソナライズされない場合があります。
【広告設定の変更】
・ iOS:「設定」→「プライバシーとセキュリティ」→「トラッキング」から変更できます。
・ Android:「設定」→「Google」→「広告」→「広告のパーソナライズをオプトアウト」から変更できます。
Google AdMob のプライバシーポリシーについては、Google プライバシーポリシーをご参照ください。
9. Cookie および類似技術
本サービス(モバイルアプリ)は、ブラウザの Cookie を使用しません。ただし、端末識別子・広告 ID など、Cookie と類似の機能を持つ技術を使用する場合があります(第1条参照)。
本サービスの公式ウェブサイト(chadepo.jp)では、現在、アクセス解析ツール等の Cookie は使用していません。将来導入する場合は、本ポリシーに追記の上、必要に応じて事前に同意を取得します。
10. 13歳未満のユーザーについて
本サービスは、13 歳以上の方を対象としています。
13 歳未満のお子様が保護者の同意なく個人情報を提供したことが判明した場合、当社は速やかに当該情報を削除します。
11. 個人情報保護委員会への申出重要
当社の個人情報の取り扱いに関するご不満が解決されない場合、個人情報保護委員会(PPC)に申出を行うことができます。
詳細は同委員会の公式サイト(https://www.ppc.go.jp/)をご参照ください。
12. 本ポリシーの変更
当社は、必要に応じて本ポリシーを変更することがあります。重要な変更を行う場合は、本サービス内またはその他の方法でユーザーに通知します。変更後に本サービスをご利用された場合、変更後の本ポリシーに同意いただいたものとみなします。
最新版は常に本ページ(https://chadepo.jp/privacy)に掲載されます。
13. お問い合わせ
個人情報に関するお問い合わせ窓口
事業者名:株式会社ホットセラー(Hotseller Co., Ltd.)
メールアドレス:support@chadepo.jp
受付時間:平日 10:00〜18:00(日本時間)
※ ご連絡の際は、件名に「個人情報に関するお問い合わせ」とご記入ください。
※ アプリ内「お問い合わせ」からもご連絡いただけます。