プライバシーポリシー

本ポリシーにおいて「個人情報」とは、個人情報保護法第2条第1項に定義される個人情報をいい、生存する個人に関する情報であって、当該情報に含まれる氏名、メールアドレス、その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます）をいいます。

また、「個人データ」とは、個人情報データベース等を構成する個人情報をいい、「保有個人データ」とは、当社が開示、訂正、削除等の権限を有する個人データをいいます。

当社は、本サービスの提供にあたり、以下の個人情報を収集することがあります。

1. アカウント情報：メールアドレス、パスワード（ハッシュ化して保存）、氏名、店舗名
2. 決済情報：ご利用プラン、決済履歴（クレジットカード情報は決済代行会社が管理し、当社は保持しません）
3. 業務データ：スタッフ情報、顧客情報、売上データ、給与データ、出勤データ、在庫データ等（エンドツーエンド暗号化により当社はこれらの内容を閲覧できません）
4. ログデータ：IPアドレス、ブラウザ種類、アクセス日時、参照URL
5. Cookie情報：セッション管理および本サービスの機能提供に必要なCookie

当社は、収集した個人情報を以下の目的で利用します。

当社は、上記の利用目的の範囲内でのみ個人情報を利用し、目的外の利用は行いません。利用目的を変更する場合には、変更後の目的について利用者に通知または公表します。

1. 本サービスの提供、運営、維持および改善
2. アカウントの作成、認証および管理
3. 利用料金の請求および決済処理
4. カスタマーサポートの提供
5. サービスの障害対応およびセキュリティの確保
6. 利用規約違反の調査および対応
7. サービスに関する重要な通知（規約変更、メンテナンス等）の送信
8. 法令に基づく対応

本サービスは、利用者の業務データを保護するために、エンドツーエンド（E2E）暗号化とゼロ知識アーキテクチャを採用しています。

【クライアントサイド暗号化】利用者の業務データ（スタッフ情報、顧客情報、売上データ、給与データ等）は、利用者のブラウザ上でAES-256-GCM方式により暗号化された後にサーバーに送信されます。暗号化キーは利用者のパスワードからPBKDF2（600,000イテレーション）で導出され、サーバーには送信されません。

【ゼロ知識アーキテクチャ】当社のサーバーは暗号化されたデータのみを保存し、暗号化キーを保持しないため、当社を含むいかなる第三者も利用者の業務データを閲覧・解読することができません。

【重要な注意事項】上記のアーキテクチャにより、利用者がパスワードを紛失した場合、暗号化されたデータの復号は技術的に不可能です。当社はデータの復旧を行うことができません。

当社は、以下の場合を除き、利用者の個人情報を第三者に提供しません。

なお、本サービスの業務データはE2E暗号化されているため、仮に法的要請によりサーバー上のデータを提供する場合でも、提供されるデータは暗号化された状態であり、当社はその内容を復号する手段を持ちません。

1. 利用者の同意がある場合
2. 法令に基づく場合（裁判所の命令、捜査機関からの照会等）
3. 人の生命、身体または財産の保護のために必要がある場合であって、利用者の同意を得ることが困難であるとき
4. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、利用者の同意を得ることが困難であるとき
5. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用者の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

当社は、個人情報の漏洩、滅失またはき損の防止のために、以下の安全管理措置を講じています。

【技術的措置】すべての通信はTLS 1.2以上により暗号化されます。業務データはAES-256-GCM方式によるE2E暗号化で保護されます。パスワードはbcryptによるハッシュ化で保存されます。暗号化キーの導出にはPBKDF2（600,000イテレーション、OWASP推奨値）を使用します。検索機能にはHMAC-SHA256によるブラインドインデックスを使用し、平文データの漏洩を防止します。

【組織的措置】個人情報へのアクセスは必要最小限の担当者に限定し、アクセスログを管理しています。定期的なセキュリティ研修を実施しています。

【物理的措置】サーバーはAWS（Amazon Web Services）の東京リージョン（ap-northeast-1）で運用され、ISO 27001、SOC 2等の認証を取得したデータセンターで管理されています。

利用者は、個人情報保護法に基づき、当社が保有する自己の保有個人データについて、以下の請求を行うことができます。

上記の請求をされる場合は、本ポリシー第10条に定める窓口までお問い合わせください。ご本人確認のため、登録されたメールアドレスからのご連絡が必要です。

なお、E2E暗号化された業務データについては、当社はその内容を閲覧できないため、開示請求の対象外となります。利用者は本サービスの機能を通じて、自身の業務データにいつでもアクセス、修正、削除を行うことができます。

1. 開示の請求（個人情報保護法第33条）
2. 訂正、追加または削除の請求（個人情報保護法第34条）
3. 利用停止または消去の請求（個人情報保護法第35条）
4. 第三者提供の停止の請求（個人情報保護法第35条第5項）

本サービスでは、以下の目的でCookieを使用しています。

利用者はブラウザの設定によりCookieの受け入れを拒否することができますが、その場合、本サービスの一部機能が利用できなくなることがあります。

当社は、サービスの利用状況の分析および改善のため、アクセス解析ツールを使用する場合があります。これらのツールはCookieを使用してアクセス情報を収集しますが、個人を特定する情報は含まれません。

1. セッション管理：ログイン状態の維持
2. セキュリティ：CSRF対策トークンの管理
3. ユーザー設定：言語設定等の保存

当社は、法令の改正や本サービスの変更に伴い、本ポリシーを改定することがあります。

重要な変更を行う場合は、本サービス上での通知または登録されたメールアドレスへの通知により、改定の少なくとも30日前までに利用者にお知らせします。

改定後のポリシーは、本サービス上に掲載された時点で効力を生じるものとし、改定後に本サービスを継続して利用された場合は、改定後のポリシーに同意したものとみなします。

個人情報の取扱いに関するお問い合わせ、開示・訂正・削除・利用停止等のご請求は、以下の窓口までご連絡ください。

事業者名：noiremate

メールアドレス：support@noiremate.com

当社は、お問い合わせを受けた場合、合理的な期間内に対応いたします。