本ポリシーについて
Goshuinは、カナダ・オンタリオ州トロントを拠点とする個人事業主David Diasが運営しています。本プライバシーポリシーは、カナダの個人情報保護および電子文書法(PIPEDA)に基づき、お客様の個人情報をどのように収集、使用、保護するかについて説明します。
責任者
PIPEDAのアカウンタビリティ原則に基づき、以下の者がプライバシー管理の責任者となります:
- 氏名: David Dias
- 所在地: カナダ・オンタリオ州トロント
- 連絡先: hello@goshuin.com
個人情報に関するご質問、ご懸念、ご要望は、上記連絡先までお願いいたします。
収集する情報
アカウント情報
アカウント作成時に以下の情報を収集します:
- メールアドレス
- ご自身で選択されたユーザー名
- 任意でご提供いただくプロフィール情報(自己紹介、アバター)
GoogleまたはFacebook OAuthでログインする場合:
- お客様が許可したメールアドレスと基本的なプロフィール情報(名前、プロフィール画像)を受け取ります
- Google/Facebookのパスワードは受け取りません、保存もしません
- 連絡先、投稿、その他のソーシャルデータにはアクセスしません
アナリティクス(個人データなし)
当サイトでは、EUを拠点とするプライバシー重視のCookieフリーなアナリティクスサービスPlausible Analyticsを使用しています。Plausibleは:
- Cookieを使用しません - クライアント側のストレージも使用しません
- 個人データを収集しません - 個人を追跡しません
- サイト間・デバイス間の追跡をしません
- IPアドレスを保存しません - 国レベルの位置情報を取得後、即座に破棄されます
Plausibleが収集するもの(匿名の集計データのみ):
- 当サイト内で閲覧したページ
- リファラー(当サイトへのアクセス元)
- 国(IPから取得後、IPは破棄)
- デバイスの種類(デスクトップ/モバイル/タブレット)とブラウザ
詳細はPlausibleのデータポリシーをご覧ください。
Vercel Speed Insights(パフォーマンス監視)
- 目的: Core Web Vitalsとサイトパフォーマンスの測定
- データの所在地: グローバル(Vercelインフラストラクチャ)
- プライバシー: Vercelプライバシーポリシー
- 収集データ: 匿名のパフォーマンス指標(LCP、FID、CLS、INP、TTFB)
- 個人データなし: 個人を追跡せず、Cookieを使用しません
位置情報
「近くの寺社」機能をご利用の場合、ブラウザまたはデバイスを通じて位置情報をリクエストします。この情報は:
- お客様の明示的な許可がある場合のみ収集されます
- 近くの寺社を検索するためだけに使用されます
- 当社のサーバーには保存されません
- ブラウザ/デバイスの設定からいつでも取り消すことができます
ユーザー生成コンテンツ
Goshuinに投稿された場合、以下を保存します:
- アップロードされた写真
- レビューとコメント
- 御朱印コレクションデータ
- 巡礼の進捗状況
情報収集の目的
PIPEDAに基づき、収集前または収集時に目的を特定する必要があります:
| 目的 | 使用データ | 法的根拠 |
|---|---|---|
| アカウントの提供 | メール、ユーザー名 | 契約(アカウント作成) |
| 投稿の表示 | 写真、レビュー、コレクション | 契約(サービス機能) |
| 近くの寺社検索 | 位置情報(一時的) | 同意(許可を付与) |
| サービス改善 | 匿名アナリティクス | 正当な利益 |
| バグ修正とクラッシュ対応 | エラーレポート、デバイス情報 | 正当な利益 |
| お問い合わせへの対応 | 連絡先情報 | 契約 / 同意 |
| セキュリティと不正防止 | アカウント活動 | 正当な利益 |
サードパーティサービス
Goshuinの運営に以下のサービスを使用しています。各サービスは当社に代わってデータを処理します:
Supabase(データベース・認証)
- 目的: アカウントデータとコンテンツの保存
- データの所在地: 東京、日本(アジアリージョン)
- プライバシー: Supabaseプライバシーポリシー
- DPA: Supabase DPA
Vercel(ホスティング・CDN)
- 目的: ウェブサイトのホスティングとグローバルなコンテンツ配信
- データの所在地: グローバルCDN(エッジロケーション)
- コンプライアンス: SOC 2 Type 2、ISO 27001、GDPR準拠
- プライバシー: Vercelプライバシーポリシー
Plausible Analytics
- 目的: 匿名の集計ウェブサイト分析
- データの所在地: EU(ドイツ)
- 重要: Cookieなし、個人データの収集なし
- プライバシー: Plausibleプライバシーポリシー
Google(OAuthログイン - 任意)
- 目的: Googleアカウントでのログインを可能にする
- 受け取るデータ: メール、名前、プロフィール画像(許可されたもののみ)
- プライバシー: Googleプライバシーポリシー
Facebook(OAuthログイン - 任意)
- 目的: Facebookアカウントでのログインを可能にする
- 受け取るデータ: メール、名前、プロフィール画像(許可されたもののみ)
- プライバシー: Metaプライバシーポリシー
Resend(メール配信)
- 目的: トランザクションメールとマーケティングメールを代理で送信
- 共有データ: メールアドレス、名前、メッセージ内容
- データの所在地: 米国
- プライバシー: Resendプライバシーポリシー
- DPA: Resend DPA
Resendを使用して以下を配信します:
- トランザクションメール(アカウント確認、パスワードリセット)
- マーケティングメール(ニュースレター、機能のお知らせ)オプトインした場合のみ
- すべてのメールにはCASL要件に準拠した配信停止リンクが含まれます
お客様の個人情報を第三者に販売することはありません。
Cookieとトラッキング
使用しているもの
Plausible Analyticsを使用しているため、アナリティクスCookieは使用していません。
必須Cookieのみを使用しています:
- セッション管理: ログイン状態を維持
- 言語設定: 選択した言語(日本語/英語)を記憶
- テーマ設定: ライト/ダークモードの選択を記憶
使用していないもの
- 広告Cookie
- サードパーティトラッキングピクセル
- クロスサイトトラッキング
- フィンガープリンティング
ブラウザの設定でCookieを管理できます。すべてのCookieを無効にすると、ログイン状態を維持できなくなります。
データセキュリティ
以下の方法で情報を保護しています:
- 転送中の暗号化: すべての接続でHTTPS/TLSを使用
- 安全な認証: パスワードは業界標準のアルゴリズムでハッシュ化(Supabase Auth経由)
- アクセス制御: データベースアクセスは制限され、認証が必要
- 信頼性の高いインフラ: 確立されたセキュリティ監査済みサービス(Supabase、Vercel)を使用
100%安全なシステムはありません。重大な被害のリスクがある侵害を発見した場合、PIPEDAの要件に従い、お客様およびカナダプライバシーコミッショナー事務局に通知します。
エラー監視
アプリの安定性を維持しクラッシュを修正するため、サードパーティのエラー監視サービスSentryを使用しています。収集される可能性のあるデータ:
- クラッシュレポートとスタックトレース
- デバイスモデル、ブラウザバージョン、OSバージョン
- エラー発生時のアプリ/ウェブサイトのバージョンと状態
- 匿名化されたユーザー識別子
Sentryについて:
- 提供者: Sentry(Functional Software, Inc.)
- データの所在地: 米国
- プライバシー: Sentryプライバシーポリシー
- データ処理契約: Sentry DPA
- 使用方法: 本番環境のみ、5%のサンプリングレート
- データスクラビング: 送信前に機密ヘッダーとURLパラメータをフィルタリング
このデータはデバッグ目的でのみ使用され、個人を特定できる情報は含まれません。エラーレポートは自動的に収集されますが、ユーザーコンテンツは含まれません。
お客様の権利
すべてのユーザー
お住まいの地域に関係なく、以下のことができます:
- 個人情報へのアクセス
- 不正確な情報の訂正
- アカウントと関連データの削除
- データのエクスポート
- いつでも同意の撤回
PIPEDA権利(カナダのユーザー)
PIPEDAに基づき、以下の権利があります:
- 当社が保有するお客様の個人情報を知る権利
- 情報の正確性に異議を申し立てる権利
- 将来の情報使用に対する同意を撤回する権利
- カナダプライバシーコミッショナー事務局に苦情を申し立てる権利
応答時間: アクセスまたは訂正の要求には30日以内に対応します。追加の時間が必要な場合は、その期間内にお知らせします。
GDPR権利(EU/EEAのユーザー)
欧州連合またはEEAにお住まいの場合、以下の追加の権利があります:
- データポータビリティの権利
- 処理に異議を申し立てる権利
- お住まいの地域のデータ保護機関に苦情を申し立てる権利
CCPA権利(カリフォルニア州のユーザー)
カリフォルニア州居住者は以下の権利があります:
- 収集される個人情報を知る権利
- 個人情報の削除を要求する権利
- 個人情報を販売していないことを知る権利
データ保持
- アクティブなアカウント: アカウントがアクティブな間、データを保持
- 削除されたアカウント: アカウント削除から30日以内に個人データを削除
- 公開された投稿: 公開で共有されたレビューや写真は、アカウント削除後も表示される場合がありますが、匿名化されます(お名前とのリンクは解除)
- 侵害記録: PIPEDAの要件により2年間保持
アカウントを削除するには、アカウント設定に移動するか、hello@goshuin.comまでご連絡ください。
国際的なデータ転送
- 事業所在地: カナダ・オンタリオ州トロント
- データベース: 東京、日本(Supabase)
- CDN: グローバルエッジロケーション(Vercel)
お客様のデータは、日本(データベース)および各国(CDN)で処理される場合があります。当社のサービスプロバイダーは、国際転送のための標準契約条項を含む適切な保護措置を維持しています。
子供のプライバシー
Goshuinは13歳未満の子供を対象としていません。13歳未満の子供から意図的に個人情報を収集することはありません。そのような情報を収集したと思われる場合は、すぐにご連絡ください。
本ポリシーの変更
当社の慣行が変更された場合、または法律で要求される場合、本プライバシーポリシーを更新することがあります。重要な変更については:
- ページ上部の「最終更新日」を更新
- ウェブサイトに通知を掲載
- データの使用方法に重大な影響がある場合は、登録ユーザーにメールで通知
お問い合わせ
プライバシーに関するご質問、ご要望、苦情について:
- メール: hello@goshuin.com
- 応答時間: 7営業日以内の回答を目指し、アクセス/訂正の要求にはPIPEDAの要件に従い30日以内に対応します
当社の対応にご満足いただけない場合は、カナダプライバシーコミッショナー事務局に苦情を申し立てることができます。
参照・根拠
本ポリシーは以下に準拠して作成されています:
- PIPEDA(カナダ)
- PIPEDA公正情報原則
- GDPR(EUユーザー)
- CCPA(カリフォルニア州ユーザー)