プライバシーポリシー
最終更新日:2026年4月24日 発効日:2026年4月24日
Shinobasa(以下「当事業」といいます)は、利用者のプライバシーを最も重要な権利として尊重します。本プライバシーポリシー(以下「本ポリシー」といいます)は、当事業がウェブサイト(shinobasa.com)および提供アプリケーション(Monny San を含みますが、これに限られません)(以下総称して「本サービス」といいます)を通じて取得する個人情報の取扱いについて定めるものです。
当事業は、日本の個人情報の保護に関する法律(個人情報保護法)、EU一般データ保護規則(GDPR)、英国データ保護法(UK GDPR)、カリフォルニア州消費者プライバシー法(CCPA/CPRA)、ブラジル一般個人情報保護法(LGPD)、カナダ個人情報保護および電子文書法(PIPEDA)、児童オンラインプライバシー保護法(COPPA)、その他適用される全ての法令を遵守します。
1. 事業者情報(管理者)
| 項目 | 内容 |
|---|---|
| 屋号 | Shinobasa |
| 運営統括責任者 | 猿田 真翼(さるた しんば) |
| 事業形態 | 個人事業主 |
| 所在地 | 〒150-0043 東京都渋谷区道玄坂1丁目10番8号 渋谷道玄坂東急ビル2F-C |
| 連絡先メール | shinobasajp@gmail.com |
| 電話番号 | 請求があり次第、遅滞なく開示いたします |
本ポリシーに関するお問い合わせ、データ主体としての権利行使、またはGDPR第13条に基づくその他の請求は、上記連絡先までご連絡ください。原則として30日以内(GDPRの場合)に対応いたします。
2. 取得する個人情報の種類
当事業は、以下の情報を取得することがあります。
2.1 利用者が自ら提供する情報
- メールアドレス(アカウント作成時)
- パスワード(暗号化して保存。平文では一切保存しません)
- 表示名・プロフィール画像(任意)
- お問い合わせ時にご提供いただく情報(氏名・メール・問合せ内容等)
- サブスクリプション購入情報(Apple/Google を通じて処理)
2.2 本サービスの利用により自動的に取得される情報
- デバイス情報(OS種別・バージョン・機種名・言語設定・タイムゾーン)
- 利用ログ(アクセス日時・閲覧ページ・機能利用履歴)
- IPアドレス(セキュリティ監査・不正アクセス検知のためのみ)
- クラッシュレポート(アプリの安定性改善のため)
- 広告識別子(IDFA / AAID。利用者が許可した場合のみ)
2.3 本サービス(アプリ)内で利用者が入力・生成する情報
Monny San アプリにおいては、以下の家計・予算関連情報を利用者のデバイスおよびクラウド(Supabase 経由)に保存します。
- 予算額・支出額・収入額
- カテゴリ設定・メモ
- サブスクリプション情報
- イベント・定期支払い情報
これらの家計データは、利用者本人のアカウントに紐付けられ、利用者本人以外がアクセスすることはできません。当事業の従業員・運営者も、正当なサポート要求がある場合を除き、個別の家計データを閲覧することはありません。
2.4 取得しない情報
- 氏名・住所・電話番号(本サービス上の入力は不要です)
- 銀行口座番号・クレジットカード番号(Apple/Google が処理し、当事業には連携されません)
- 位置情報(GPS)
- 連絡先帳・写真・マイクへのアクセス情報
3. 利用目的および法的根拠(GDPR第6条対応)
当事業は、以下の目的で個人情報を利用します。それぞれの法的根拠を明示します。
| 利用目的 | 法的根拠(GDPR) |
|---|---|
| アカウント作成・認証・本人確認 | 契約の履行(第6条1項(b)) |
| サブスクリプションの提供・課金処理 | 契約の履行(第6条1項(b)) |
| カスタマーサポートの提供 | 契約の履行(第6条1項(b)) |
| 本サービスの安定稼働・不正利用防止 | 正当な利益(第6条1項(f)) |
| 利用状況の分析・サービス改善 | 正当な利益(第6条1項(f))・同意(第6条1項(a)) |
| 法令遵守・訴訟対応 | 法的義務(第6条1項(c)) |
| パーソナライズ広告の配信 | 同意(第6条1項(a))※オプトイン必須 |
当事業は、利用者の同意を撤回する権利を尊重します。同意の撤回は、本ポリシー末尾の連絡先またはアプリ内設定から行えます。
4. 第三者提供・外部委託先
当事業は、以下の信頼できる第三者サービスを利用しています。各サービスは、当事業とデータ処理契約(DPA)を締結しているか、または業界標準のプライバシー保護措置を講じています。
| 事業者 | 役割 | 所在国 | 移転先保護水準 |
|---|---|---|---|
| Supabase Inc. | 認証・データベース・ファイルストレージ | 米国 | SCC(標準契約条項) |
| RevenueCat, Inc. | サブスクリプション管理 | 米国 | SCC |
| Apple Inc. | iOSアプリ配信・アプリ内課金 | 米国 | SCC |
| Google LLC | Androidアプリ配信・アプリ内課金・AdMob広告 | 米国 | SCC |
| Cloudflare, Inc. | CDN・ホスティング・DDoS防御 | 米国 | SCC |
| Google Analytics 4 | 利用統計(匿名化済み) | 米国 | SCC |
当事業は、上記以外の第三者に対し、個人情報を販売・貸与・開示することは一切ありません。ただし、以下の場合を除きます:
- 利用者の明示的な同意がある場合
- 法令に基づく開示要請(裁判所命令・捜査機関の正当な要請等)
- 当事業、他の利用者、または第三者の生命・身体・財産を保護する必要がある場合で、本人の同意を得ることが困難な場合
- 事業の承継(合併・事業譲渡等)が発生した場合で、承継先が本ポリシー同等の保護を提供する場合
5. 国際データ移転
当事業は日本を拠点としていますが、利用している一部の第三者サービスは米国に所在します。EU・英国居住者のデータが日本または米国に移転される場合、当事業は以下の適切な保護措置を講じます。
- 欧州委員会の標準契約条項(SCC)の採用
- 日本は欧州委員会より十分性認定(2019年)を受けており、EU → 日本のデータ移転は追加措置なしで認められています
- 米国の委託先とはSCCまたは同等の契約を締結
データ移転の詳細について情報開示をご希望の方は、上記連絡先までご連絡ください。
6. データ保存期間
当事業は、利用目的の達成に必要な期間のみ個人情報を保存します。
| 情報の種類 | 保存期間 |
|---|---|
| アカウント情報 | アカウント削除まで、またはアカウント削除後30日(バックアップ含む) |
| 家計データ(Monny San 入力情報) | アカウント削除まで、またはアカウント削除後30日 |
| お問い合わせ履歴 | 対応完了後3年間 |
| 課金・取引記録 | 法令で定める期間(日本:7年間) |
| アクセスログ・セキュリティログ | 最大90日間 |
| 削除リクエスト後のデータ | 上記法令保存義務分を除き、速やかに消去 |
7. 利用者の権利
居住地域にかかわらず、全ての利用者は以下の権利を有します。権利行使をご希望の方は、shinobasajp@gmail.com まで件名に「データ権利行使」と明記してご連絡ください。
7.1 全利用者共通の権利
- アクセス権:当事業が保有する自己の個人情報の開示を請求する権利
- 訂正権:不正確または不完全な情報の訂正を請求する権利
- 削除権(忘れられる権利):自己の情報の削除を請求する権利
- 処理制限権:特定の処理の停止を請求する権利
- データポータビリティ権:構造化された電子形式で自己の情報を受領する権利
- 異議申立権:正当な利益に基づく処理への異議申立
- 同意撤回権:同意を根拠とする処理について、いつでも同意を撤回する権利
- 自動化された意思決定への異議権:プロファイリング等への異議
7.2 EU・英国居住者(GDPR/UK GDPR)
上記権利に加え、監督当局(各国データ保護機関)への苦情申立権を有します。
7.3 カリフォルニア州居住者(CCPA/CPRA)
- 収集された個人情報のカテゴリー・目的の開示を求める権利
- 個人情報の「販売」または「共有」を拒否する権利(当事業は個人情報を販売しません)
- センシティブ個人情報の利用制限権
- 差別を受けない権利
7.4 ブラジル居住者(LGPD)
上記に加え、処理の合法性の確認、匿名化・ブロッキング・削除を求める権利を有します。監督機関は ANPD(Autoridade Nacional de Proteção de Dados)です。
7.5 メキシコ居住者(LFPDPPP)
ARCO 権(Acceso / Rectificación / Cancelación / Oposición)を有します。INAI(国立透明性・情報アクセス・個人データ保護機関)への苦情申立権があります。
7.6 アルゼンチン居住者(Ley 25.326)
アクセス・訂正・更新・削除の権利を有します。監督機関は AAIP(Agencia de Acceso a la Información Pública)です。
7.7 チリ居住者(Ley 19.628)
情報・訂正・取消しの権利を有します。監督機関は Consejo para la Transparencia です。
7.8 コロンビア居住者(Ley 1581 de 2012)
情報・訂正・更新・削除・撤回の権利を有します。監督機関は SIC(Superintendencia de Industria y Comercio)です。
7.9 カナダ居住者(PIPEDA)
アクセス・訂正・撤回の権利を有します。監督機関は OPC(Office of the Privacy Commissioner of Canada)です。
7.10 日本居住者(個人情報保護法)
上記権利に加え、第三者提供記録の開示、利用停止・消去請求権を有します。監督機関は個人情報保護委員会(PPC)です。
権利行使手続き:
- shinobasajp@gmail.com へ請求内容を送信
- 本人確認のため、登録メールアドレスからのご連絡またはアプリ内認証をお願いする場合があります
- 原則30日以内(GDPR)、遅滞なく(日本)ご対応
- 複雑な事案は最大60日まで延長可(その旨ご連絡)
- 手数料は原則無料(明らかに過剰・反復的な請求を除く)
8. セキュリティ対策
当事業は、個人情報の漏洩・改ざん・紛失を防ぐため、以下の技術的・組織的措置を講じています。
- 通信経路の暗号化(TLS 1.3 以上)
- パスワードのハッシュ化保存(bcrypt/SHA-256 with salt)
- データベースへの多要素認証によるアクセス制御
- 最小権限原則に基づくアクセス権限管理
- 定期的な脆弱性スキャン・セキュリティパッチ適用
- 本番環境と開発環境の分離
- 侵害発生時の72時間以内監督当局通知体制(GDPR第33条)
万が一、個人情報の漏洩等が発生した場合、当事業は速やかに影響を受ける利用者にご連絡し、必要に応じて適切な当局に通知します。
8.1 データ処理者との責任分担
当事業(データ管理者・Controller)は、第4条に記載のデータ処理者(Processor:Supabase, Cloudflare, Apple, Google 等)を、業界標準のセキュリティ認証(SOC2・ISO27001 等)と適切なデータ処理契約に基づき厳選しています。
GDPR 第 82 条、個人情報保護法、その他適用法令に基づき、データ管理者と処理者は各自の義務範囲内で責任を負います。具体的には:
- 当事業が直接管理する範囲(アプリ内設計・アクセス制御設定・通知運用)における過失 → 当事業が責任
- 処理者のインフラ・サービス自体における過失・脆弱性 → 処理者が一次責任(当事業は利用者への一次対応窓口)
- 予見不可能な第三者による不正アクセス・サイバー攻撃:当事業は適切な注意義務を尽くしますが、最新の技術水準を超える攻撃手法により突破された場合、当事業の責任は合理的に制限されます
いずれの場合も、当事業は影響を受ける利用者への速やかな通知、被害拡大防止、当局への報告、原因究明を行います。
8.2 インシデント対応
- 72 時間以内に監督当局へ通知(GDPR 第 33 条)
- 高リスク案件は本人にも遅滞なく通知(GDPR 第 34 条)
- 日本の個人情報保護委員会および本人への報告(個人情報保護法)
- 影響を受ける範囲の速やかな特定と、流出データの使用停止要請
9. Cookie(クッキー)および類似技術
当事業のウェブサイト(shinobasa.com)は、以下のCookieを使用します。
| 種類 | 目的 | 保存期間 |
|---|---|---|
| 必須Cookie | 認証・言語設定保持 | セッション終了まで/最大1年 |
| 分析Cookie | 匿名化された利用統計(GA4) | 最大2年(同意取得時のみ) |
| 広告Cookie | 使用しません | — |
EU・英国・カリフォルニア州居住者については、必須以外のCookieは事前のオプトイン同意(または容易なオプトアウト)に基づいてのみ設定されます。Cookie設定は、サイト上部のバナーからいつでも変更できます。
10. 児童のプライバシー(COPPA 等)
本サービスは、13歳未満(EU居住の場合は加盟国ごとに定める年齢、一般に16歳未満)の児童を対象としていません。当事業は、13歳未満の児童から意図的に個人情報を取得しません。
保護者の方が、お子様が当事業に個人情報を提供したことに気付かれた場合は、shinobasajp@gmail.com までご連絡ください。当事業は速やかに該当情報を削除します。
11. iOS App Tracking Transparency(ATT)
Monny San アプリは、iOS 14.5 以降において、他社アプリ・ウェブサイトにおける利用者の活動を追跡する前に、利用者の明示的な許可を求めます。許可しないことを選択された場合でも、本サービスの基本機能は利用可能です。
12. 広告について
Monny San 無料版では、Google AdMob を通じた広告を表示する場合があります。
- 広告は利用者の一般的な興味に基づいてパーソナライズされる場合がありますが、EU・英国・カリフォルニア州居住者については、事前の同意取得(オプトイン)に基づいてのみ配信されます
- 有料版(Premium)では広告は一切表示されません
- 広告識別子(IDFA / AAID)のリセット・オプトアウトは、デバイスのOS設定から行えます
AdMob のプライバシー情報については、Google のプライバシーポリシーをご参照ください。
13. 自動化された意思決定・プロファイリング
当事業は、利用者に対して法的効果または同様に重大な影響を及ぼす自動化された意思決定を行いません。サービス改善のための匿名化された統計分析は行いますが、個人を特定する形でのプロファイリングは実施しません。
14. データ主体の苦情申立先
当事業の個人情報の取扱いに関してご不満がある場合、まずは shinobasajp@gmail.com までご連絡ください。それでも解決しない場合、以下の監督当局に苦情を申し立てる権利があります。
- 日本:個人情報保護委員会(PPC)https://www.ppc.go.jp/
- EU:各加盟国のデータ保護当局(https://edpb.europa.eu/about-edpb/board/members_en)
- 英国:情報コミッショナー事務局(ICO)https://ico.org.uk/
- カリフォルニア州:California Privacy Protection Agency
- ブラジル:国家データ保護機関(ANPD)
15. 本ポリシーの変更
当事業は、法令改正・サービス変更等に伴い本ポリシーを改定することがあります。重大な変更を行う場合、以下の方法で事前に通知します。
- ウェブサイト上での目立った告知(発効日の30日前まで)
- 登録メールアドレスへの通知(重大な変更の場合)
- アプリ起動時の通知(Monny San 利用者)
変更後の本ポリシーは、発効日より効力を生じます。変更後も継続してサービスをご利用いただくことで、改定後の本ポリシーに同意いただいたものとみなします。
16. お問い合わせ
本ポリシーに関するご質問・データ権利行使・その他のお問い合わせは、以下までご連絡ください。
Shinobasa 運営統括責任者:猿田 真翼 メール:shinobasajp@gmail.com 所在地:〒150-0043 東京都渋谷区道玄坂1-10-8 渋谷道玄坂東急ビル2F-C
本ポリシーの日本語版と他言語版に齟齬がある場合、日本語版を優先します。