プライバシーポリシー
制定日: 2026-05-09 / ver. 1.0
株式会社RockHill(以下「当社」)は、本サービス「商圏スコア」(以下「本サービス」)の利用にあたり 取得する個人情報を、以下の方針に従って適切に取り扱います。 本ポリシーは、個人情報の保護に関する法律(個人情報保護法・令和2年改正・令和4年4月1日施行)を 踏まえて制定しています。
第1条(取得する個人情報の種別)
当社は、本サービスの提供に必要な範囲で、以下の情報を取得します。
1-1. ユーザーから直接取得する情報
| 項目 | 取得タイミング | 必須/任意 |
|---|---|---|
| メールアドレス | アカウント登録時 | 必須 |
| パスワード(ハッシュ化) | アカウント登録時 | 必須(LINEログイン時は不要) |
| LINE ユーザーID | LINE 連携時 | 任意 |
| 繁盛店DXラボ会員ステータス | DXラボ連携時 | 自動取得 |
| 流入経路(UTM) | 初回着地時 | 自動取得 |
| Threads引用同意フラグ | ユーザー設定画面 | 任意・初期値false |
1-2. ユーザーが登録する店舗情報
| 項目 | 内容 |
|---|---|
| 店舗オーナーUserID | アカウント紐付け |
| Place ID(Google識別子) | 永続保存・規約上保存可能 |
| 店舗名・カテゴリ・住所 | Google Places APIから取得 |
| 緯度経度・商圏半径(初期値800m) | 算出用 |
| 営業ステータス | OPERATIONAL / CLOSED 等 |
1-3. 診断結果情報
| 項目 | 内容 | 保持期間 |
|---|---|---|
| 5軸スコア(基本情報/写真/クチコミ/更新/検索一致度) | 自社算出 | 永続 |
| 商圏内ランキング(店舗名・評価・件数のみ) | Google Places APIから派生 | 30日(自動削除) |
| 改善アクション10項目 | 自社ナレッジ | 永続 |
| 1診断あたりのAPI原価(¥) | 内部経理用 | 永続 |
1-4. サブスクリプション情報
| 項目 | 取得元 |
|---|---|
| Stripe Customer ID / Subscription ID | Stripe |
| 課金ステータス | Stripe |
| 課金期間・トライアル終了日・解約予定日 | Stripe |
| 適用クーポンID(例: dxlab_100off) | Stripe |
クレジットカード番号・PayPay決済情報・カード有効期限・CVCは、当社のサーバーには一切保存されません。Stripe(PCI DSS Level 1 準拠)が直接管理します。
1-5. 改善アクション完了履歴
完了マークしたアクションIDと完了日時を記録します。
1-6. 横断ログ(events)
イベント種別・関連UserID/StoreID/DiagnosisID・API原価・ペイロード要約を記録。 email/phone/address/line_user_id 等は redactor で自動マスクし、 Stripe IDは先頭8桁+末尾4桁のみ保存します。
1-7. 自動取得情報
| 項目 | 取得元 |
|---|---|
| IPアドレス・UA・参照元URL | サーバーアクセスログ |
| Vercel Analytics(匿名集計) | Vercel |
| Sentry エラーレポート(個人情報除外済) | Sentry |
| UTM パラメータ(短縮URL経由のリダイレクト時) | 自動付与 |
第2条(個人情報の利用目的)
当社は、取得した個人情報を以下の目的で利用します。
- 本サービスの提供・運営(アカウント認証・診断実行・結果配信)
- 月額利用料の請求・決済処理(Stripe との連携)
- 月次レポート・課金前通知・解約完了通知等の送信(メール・LINE)
- ユーザーからのお問い合わせ対応
- 不正利用・規約違反の検知と対応
- サービス改善のための統計分析(個人を特定できない形に集計)
- 繁盛店DXラボ等、当社の関連サービスのご案内(オプトアウト可能)
- 法令に基づく対応(税務・捜査機関への協力等)
第3条(第三者提供)
3-1. 業務委託先
本サービスの運営に必要な範囲で、以下の事業者にデータ処理を委託しています。各社は当社と機密保持契約を締結し、本サービスの運営目的以外の利用を禁じています。
| 委託先 | 提供内容 | 所在地 | 役割 |
|---|---|---|---|
| Stripe, Inc. | 決済情報・メールアドレス・課金履歴 | 米国 | 決済処理・サブスクリプション管理 |
| Google LLC | 店舗検索クエリ・Place ID・座標 | 米国 | 店舗情報取得・地図表示 |
| LINE株式会社 | LINE ユーザーID・配信メッセージ本文 | 日本 | LINE 通知配信 |
| Resend, Inc. | メールアドレス・送信メール本文 | 米国 | メール配信 |
| Supabase, Inc. | 上記すべての保存対象データ | 米国(AWS Tokyo) | データベース・認証基盤 |
| Vercel, Inc. | アクセスログ・実行ログ | 米国(東京 hnd1) | アプリホスティング |
| Sentry | エラーログ(redactor 通過後) | 米国 | エラー監視 |
3-2. 上記以外の第三者提供
法令に基づく場合(裁判所・捜査機関からの正式な要請等)を除き、ユーザーの事前同意なく第三者へ個人情報を提供することはありません。
第4条(国外移転について)
第3条のとおり、Stripe / Google / Resend / Supabase / Vercel / Sentry はいずれも米国本社の事業者であり、データの一部は 米国(または各社が指定するクラウドリージョン)に保管・処理 されます。
- 当社は、各社が GDPR 適合性 / SCC(標準契約条項) / 米国EU/日本相互認証フレームワーク等の十分性認定相当の措置を講じていることを確認しています。
- Supabase / Vercel は東京リージョンを優先利用する設定を行っています。
第5条(Google Maps Platform から取得する情報の特別な取り扱い)
Google Maps Platform 利用規約への遵守のため、以下の方針で取り扱います。
- Place ID(店舗の識別子)以外の Google Maps Content は、永続的に保存しません。
- 順位表示用に取得した店舗名・評価・クチコミ件数は、最大30日間のキャッシュ として保持し、毎日 03:00 JST のバッチで30日超のものを物理削除します。
- クチコミ本文・写真・投稿者情報・プロフィール写真URL は、当社データベースに保存しません(API レスポンス受信後即破棄)。
- クチコミ本文を AI/LLM への入力として利用することはありません(自動返信生成等の用途を含む)。
- これらの遵守状態は、コードレベル・型レベル・CI レベル・DB CHECK 制約・ランタイム sanitize の 5重防御 で機械的に担保しています。
第6条(Cookie・トラッキング)
| 用途 | 種類 | 拒否可否 |
|---|---|---|
| ログインセッション維持 | 必須 Cookie | 不可(ログインに必須) |
| UTM パラメータ追跡 | first-touch 永続 Cookie | ブラウザ設定で拒否可 |
| Stripe metadata(decoded UTM の決済紐付け) | Stripe 側管理 | ブラウザ設定で拒否可 |
| Vercel Analytics(匿名集計) | 個人特定なし | ブラウザ設定で拒否可 |
広告配信ネットワーク経由のトラッキング(Google Ads / Meta Pixel 等)は 使用しません。
第7条(LINE 連携時の情報取扱い)
- LINE 連携を行うと、LINE ユーザーID(本サービス内部の識別子・LINE プロフィール情報そのものではない)を当社が取得します。
- 当社が LINE 経由で送信する内容は、課金前通知・決済結果・解約案内・月次レポート・再加入案内など 本サービス利用に関連する通知のみ です。販促DM・第三者の広告は配信しません。
- ユーザーは、LINE 公式アカウントのブロック または 設定画面で連携解除することにより、LINE 配信を停止できます。
- 連携解除後も、第8条のデータ保持期間に従って LINE ユーザーIDは保持されます。完全削除を希望される場合は第10条の削除請求をご利用ください。
第8条(データの保持期間)
| データ種別 | 保持期間 |
|---|---|
| アカウント情報・店舗マスタ・診断結果(自社算出スコア)・改善アクション完了履歴 | 契約期間中 + 解約後90日 |
| Google Maps Content 由来のキャッシュ(店舗名・評価・件数) | 最大30日(以降は自動削除) |
| Stripe 決済履歴 | 法定保存期間(7年・法人税法/消費税法準拠) |
| アクセスログ・エラーログ | 90日 |
| LINE 配信ログ | 90日 |
| 解約後のメールアドレス・LINE ユーザーID | 解約から90日経過時点で匿名化 |
法令に基づく要請がある場合は、上記期間にかかわらず必要な期間保持します。
第9条(セキュリティ対策)
- データベースアクセスは Supabase Row Level Security(RLS)により、ユーザー本人のデータのみ参照可能。
- すべての通信は TLS 1.2 以上で暗号化。
- パスワードは Supabase Auth により bcrypt ハッシュで保管(平文保存なし)。
- 管理者ダッシュボードへのアクセスは IP制限 + TOTP 多要素認証。
- PII を含むログは Sentry 送信前に redactor で自動マスク。
- 30日超キャッシュ削除・90日超PII匿名化は日次バッチで自動実行。
第10条(削除請求・開示請求の窓口)
- ユーザーは、自己の個人情報について以下を請求できます。
- 開示請求(保有している自己の情報を確認)
- 訂正請求(誤った情報の修正)
- 利用停止・削除請求
- 第三者提供の停止
- 請求は、特定商取引法に基づく表記記載のメールアドレスより、当該アカウントの登録メールアドレスからお送りください。
- 本人確認の上、合理的な期間内(原則14日以内)に対応します。
- 法令上保存義務のある決済履歴等については、保存期間経過まで完全削除には応じられない場合があります(その場合も本サービス画面上では参照不能とします)。
第11条(改定)
当社は、法令変更・サービス内容の変更に伴い、本ポリシーを改定することがあります。重要な変更は、登録メールアドレスおよびサービス内告知で30日前までにご案内します。
第12条(個人情報保護管理者・問い合わせ窓口)
| 項目 | 内容 |
|---|---|
| 個人情報保護管理者 | 株式会社RockHill 代表取締役 蛭田一史 |
| 問い合わせ | 特定商取引法に基づく表記参照(メールのみ) |
改定履歴: ver. 1.0 初版制定(2026-05-09)