プライバシーポリシー (個人情報保護方針)
【法務レビュー前ドラフト】 本ドラフトは個人情報保護法 (令和2年改正対応) および Meta Platforms App Review 要件を踏まえて起草しています。公開前に必ず弁護士または法務担当者によるレビューを受けてください。特に第6条 (外国にある第三者への提供)、第11条 (SNS 認証情報の取扱い)、第13条 (お問合せ窓口) は事業者構成の変更があれば即時に追従が必要です。
制定日: ____年__月__日 最終改定日: ____年__月__日 バージョン: 2.0 事業者: 株式会社 RISE (以下「当社」といいます) 公開 URL: https://legal.riseincs.com/privacy
1. はじめに
株式会社 RISE (以下「当社」) は、当社が提供するクラウドサービス「POST STUDIO」(Social Post Manager (SPM) および Story Creator (SC) を含み、これらを単独または組合わせて提供する場合を含みます。以下「本サービス」) の提供にあたり、利用者の個人情報の保護を重要な責務と認識し、個人情報の保護に関する法律 (以下「個人情報保護法」)、その他関連法令およびガイドラインを遵守します。
本プライバシーポリシー (以下「本ポリシー」) は、当社が本サービスを通じて取得する個人情報の取扱いについて定めるものです。
2. 定義
本ポリシーにおいて使用する用語は、個人情報保護法に定める定義に従うものとし、主な用語の意味は以下のとおりです。
| 用語 | 定義 |
|---|---|
| 個人情報 | 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの (他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む) |
| 個人データ | 個人情報データベース等を構成する個人情報 |
| 要配慮個人情報 | 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等を含む個人情報 |
| 利用者 | 本サービスを利用する法人もしくは個人事業主、またはその指示により本サービスを操作する従業員等の個人 |
| 利用者データ | 利用者が本サービスにアップロード、入力または接続することにより当社が処理することとなるデータ (投稿テキスト、画像、動画、SNS 認証情報、店舗情報を含みますがこれに限られません) |
3. 個人情報の取得
3.1 取得する情報の種類
当社は、本サービスの提供にあたり、以下の個人情報を取得します。
3.1.1 利用者から直接取得する情報
| 情報の種類 | 具体例 |
|---|---|
| アカウント情報 | メールアドレス、表示名、所属組織名、役職、電話番号 |
| 認証情報 | Firebase Authentication によるログイン認証情報 (Google アカウント連携情報、パスワード — パスワードは当社では原本を保管せず、ハッシュ化した状態で Firebase が保管) |
| 事業所・店舗情報 | 事業所名、所在地、連絡先、業種、店舗名、ブランド名 |
| SNS 連携情報 | X / Instagram / Facebook の OAuth アクセストークン (短期・長期)、リフレッシュトークン、トークン有効期限、連携 SNS アカウント名・ID、Facebook ページ ID、Instagram ビジネスアカウント ID |
| 投稿コンテンツ | アップロードされた画像・動画、投稿テキスト、ハッシュタグ、投稿先 SNS、投稿スケジュール (フィード、ストーリーズ、リール、カルーセルを含む) |
| 学習データ | 事業所の特徴、商品・サービス情報、過去の投稿履歴、フィードバックデータ、Story Creator の参考素材 |
| 承認ワークフローデータ | 承認リクエスト、承認/却下履歴、コメント、承認者・申請者識別子 |
| 通知設定 | プッシュ通知設定、メール通知設定、FCM トークン |
| 課金関連情報 | 請求先情報 (法人名、所在地、担当者氏名、メールアドレス、電話番号、銀行口座情報) |
| お問合せ内容 | サポート・お問合せの内容、対応履歴 |
3.1.2 自動的に取得する情報
| 情報の種類 | 具体例 |
|---|---|
| 利用ログ | アクセス日時、利用機能、操作履歴、API 呼出履歴、エラーログ |
| デバイス情報 | ブラウザ種別、OS、画面解像度、ユーザーエージェント |
| 通信情報 | IP アドレス、Cookie 識別子、セッション識別子 |
3.1.3 第三者から取得する情報
| 情報源 | 取得する情報 |
|---|---|
| SNS プラットフォーム (Meta / X) | OAuth 認可フローを通じて発行されるアクセストークン、リフレッシュトークン、連携 SNS アカウント識別子、投稿実行結果 |
| Firebase Authentication | 認証状態、認証方法 (Google アカウント、メールリンク等) |
3.2 要配慮個人情報
当社は、本サービスにおいて要配慮個人情報を取得しません。利用者は、投稿コンテンツに要配慮個人情報を含めないようお願いいたします。
3.3 年齢制限
本サービスは、法人または18歳以上の個人事業主・個人による業務利用を対象としています。当社は、18歳未満の方から意図的に個人情報を収集することはありません。18歳未満の方の個人情報を取得した可能性を認識した場合、当社は速やかに当該情報を削除します。
4. 個人情報の利用目的
当社は、取得した個人情報を以下の目的の範囲内で利用します。
4.1 本サービスの提供
| 利用目的 | 具体的な利用方法 |
|---|---|
| アカウント管理 | ログイン認証、パスワードリセット、多要素認証 (MFA) |
| SNS 投稿機能 | 利用者の指示に基づく X / Instagram / Facebook への投稿実行 (フィード、ストーリーズ、リール、カルーセルを含む) |
| AI 生成機能 | 投稿テキストの自動生成、Story Creator のショート動画自動生成 (AI モデル提供事業者への送信を含む) |
| スケジュール機能 | 予約投稿の管理・実行 |
| 承認ワークフロー | 投稿承認リクエストの管理、承認/却下の処理、関係者への通知 |
| 下書き機能 | 投稿下書きの保存・管理 |
| 学習機能 | 投稿スタイルの最適化、フィードバック反映 |
| インサイト機能 | 投稿パフォーマンス分析、統計データの表示 |
| 通知機能 | 承認リクエスト、投稿完了、エラー通知等の送信 |
| マルチブランド統一配信 | 1 店舗配下の複数ブランドへの統一メッセージ一括配信 |
4.2 サービス改善・運営
| 利用目的 | 具体的な利用方法 |
|---|---|
| 品質向上 | 利用状況の分析、機能改善、新機能開発 |
| 不正検知 | セキュリティ監視、不正アクセスの検知・防止、レート制限の実施 |
| 障害対応 | 障害調査、技術問題の特定と修正 |
| 利用規約違反の調査 | SNS プラットフォームのポリシー違反、本サービスの禁止事項違反の調査 |
| カスタマーサポート | お問合せへの対応 |
4.3 契約・課金
| 利用目的 | 具体的な利用方法 |
|---|---|
| 申込・契約管理 | 利用申込、契約締結、契約更新、解約 |
| 料金請求 | 請求書の発行、入金確認、督促 |
4.4 お知らせ・連絡
| 利用目的 | 具体的な利用方法 |
|---|---|
| サービス通知 | メンテナンス情報、重要なお知らせ、利用規約・本ポリシー変更の通知 |
4.5 法令対応
法令の遵守、裁判所の命令、政府機関の要請への対応のため、必要な範囲で個人情報を利用します。
5. 個人情報の第三者提供
5.1 第三者提供の原則
当社は、以下のいずれかに該当する場合を除き、あらかじめ本人の同意を得ることなく個人情報を第三者に提供しません。
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難である場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
- 合併その他の事由による事業の承継に伴って個人情報が提供される場合
- 個人情報保護法第27条に定めるその他の場合
5.2 サービス提供に必要な第三者提供
本サービスの提供にあたり、以下の第三者に利用者データを送信します。利用者は、本サービスの利用または各 SNS プラットフォーム連携の許諾により、これらの送信に同意するものとします。
| 提供先 | 提供する情報 | 提供目的 |
|---|---|---|
| Meta Platforms, Inc. (Facebook / Instagram Graph API) | 投稿テキスト、画像・動画、認証トークン | Facebook / Instagram への投稿実行 (フィード、ストーリーズ、リール、カルーセル) |
| X Corp. (X API) | 投稿テキスト、画像、認証トークン | X への投稿実行 |
| Anthropic, Inc. (Claude API) | 画像、事業所情報、プロンプト | AI 生成 (利用者選択時のみ) |
| OpenAI, L.L.C. | 画像、事業所情報、プロンプト | AI 生成 (利用者選択時のみ) |
| Google LLC (Gemini API) | 画像、事業所情報、プロンプト、動画素材 | AI 生成 (本サービスのデフォルト AI、Story Creator の構成生成) |
| Google LLC (Firebase Cloud Messaging) | FCM トークン | プッシュ通知の送信 |
6. 個人情報の委託
当社は、利用目的の達成に必要な範囲内において、個人情報の取扱いの全部または一部を以下の事業者に委託することがあります。委託にあたっては、委託先との間で適切な秘密保持契約を締結し、委託先の適切な監督を行います。
6.1 主な委託先
| 委託先 | 委託内容 | 主たる所在国 |
|---|---|---|
| Google LLC (Google Cloud / Firebase) | 認証 (Firebase Authentication)、データベース (Cloud Firestore)、ストレージ (Cloud Storage)、サーバレス関数 (Cloud Functions / Cloud Run)、シークレット管理 (Secret Manager)、ホスティング (Firebase Hosting)、ログ管理 (Cloud Logging) | 米国 (本サービスのリージョンは主に asia-northeast1 / 東京) |
| Google LLC (Gemini API) | AI モデルによる投稿テキスト・動画構成の生成 | 米国 |
| Anthropic, Inc. (Claude API) | AI モデルによる投稿テキスト生成 (利用者選択時) | 米国 |
| OpenAI, L.L.C. | AI モデルによる投稿テキスト生成 (利用者選択時) | 米国 |
| Sendinblue SAS (Brevo) | システム通知メール、承認ワークフロー通知メール、招待メールの送信 | フランス・欧州連合域内 |
| Slack Technologies, LLC | 当社運用チームへの障害・監視通知 (個別の利用者個人情報は原則送信しない) | 米国 |
6.2 外国にある第三者への提供
- 前項に記載のとおり、本サービスの一部機能は、外国にある第三者 (主に米国・欧州連合域内) のクラウドインフラ・API を利用しています。これらの外国にある第三者に対する個人情報の提供は、以下の方法により利用者の同意を取得します。
(1) クラウドインフラ・基盤サービス (Google Cloud / Firebase / Brevo / Slack 等): 本サービスを利用するために不可欠な処理であるため、本ポリシーへの同意 (利用申込時または本サービス利用開始時) をもって同意取得とみなします。 (2) SNS プラットフォーム (Meta Platforms, Inc. / X Corp.): 利用者が本サービス上で SNS 連携を実行する際に表示される確認ダイアログにて、米国所在の当該事業者への個人情報送信について個別の明示同意を取得します。同意なく SNS 連携を完了することはできません。 (3) AI モデル提供事業者 (主に Google Gemini、利用者の選択または当社の運用判断により Anthropic Claude、OpenAI 等を含む): 本サービスは AI 機能を中核とした SaaS であり、本サービスの利用にあたっては、利用者が入力したテキスト、画像、動画素材およびその他の利用者データが、AI 生成機能の実行に必要な範囲で米国所在の AI モデル提供事業者に送信されます。本ポリシーへの同意 (利用申込時または本サービス利用開始時) をもって、当該データ送信に同意取得済みとみなします。
- 米国は、個人情報保護法施行規則第11条の2に基づき個人情報保護委員会が指定する国 (個人情報の保護に関する制度を有している外国) には現時点で該当しません。米国の個人情報保護に関する制度の概要、および提供先が講じる個人情報保護措置については、個人情報保護委員会のウェブサイトおよび各社のプライバシーポリシーをご確認ください。
- 当社は、外国にある第三者への提供にあたり、個人情報保護法第28条に基づき、提供先が個人情報の取扱いについて適切かつ合理的な方法により基準に適合する体制を整備していることを確認し、必要な措置を講じます。
6.2.1 移転先の保護措置 (参考)
| 委託先 | 保護措置 |
|---|---|
| Google LLC (Google Cloud / Firebase) | EU-US Data Privacy Framework 認証、SOC 2 Type II 取得、ISO/IEC 27001 等取得 |
| Anthropic, Inc. | SOC 2 Type II 取得、データ処理契約 (DPA) 締結 |
| OpenAI, L.L.C. | SOC 2 Type II 取得、データ処理契約 (DPA) 締結 |
| Meta Platforms, Inc. | EU-US Data Privacy Framework 認証 |
| X Corp. | 標準契約条項 (SCC) に基づく保護 |
| Sendinblue SAS (Brevo) | GDPR 準拠 (EU 域内処理を選択可能) |
6.2.2 利用者の権利
外国への移転に関して、利用者は移転の停止を請求することができます。ただし、移転を停止した場合、本サービスの一部または全部をご利用いただけなくなる場合があります。
7. 個人情報の保存期間
当社は、利用目的の達成に必要な範囲内で個人情報を保存します。
| 情報の種類 | 保存期間 |
|---|---|
| アカウント情報 | アカウント削除後 30 日 |
| 利用者データ全般 (投稿コンテンツ、学習データ等) | 契約期間中、および契約終了日から 90 日間 (詳細は POST STUDIO 利用規約第14条) |
| 投稿ログ | 作成から 3 年間 |
| 投稿画像・動画 (一時保存) | 投稿完了後即時削除 (素材ライブラリに保存されたものを除く) |
| 下書きデータ | アカウント削除まで |
| 承認リクエスト履歴 | 作成から 1 年間 |
| 監査ログ (audit log) | 作成から 1 年間 |
| 通知設定・FCM トークン | アカウント削除まで |
| インサイトデータ | 作成から 1 年間 |
| SNS 認証情報 (OAuth トークン) | 利用者が連携を解除するまで、または契約終了後 30 日以内に削除 |
| 利用ログ | 取得から原則 90 日間 (障害調査・セキュリティインシデント対応の必要がある場合は最大 1 年間) |
| お問合せ記録 | 対応完了から 3 年間 |
| 課金関連情報 | 法令で定める期間 (法人税法に基づく取引関連書類は原則 7 年間) |
保存期間経過後、個人情報は安全な方法で削除または匿名化されます。法令により保存が義務付けられている情報は、当該法令に従って保存期間を延長することがあります。
8. 個人情報の安全管理措置
当社は、個人情報の漏えい、滅失または毀損 (以下「漏えい等」) の防止のため、以下の安全管理措置を講じています。
8.1 組織的安全管理措置
- 個人情報保護管理者の設置
- 個人情報の取扱いに関する規程類の整備、役職員への周知
- 定期的な内部監査の実施
8.2 人的安全管理措置
- 役職員との秘密保持契約の締結
- 個人情報保護に関する教育・研修の実施
- 退職後の秘密保持義務の徹底
8.3 物理的安全管理措置
- クラウドサービスの利用 (物理サーバーの直接管理なし)
- Google Cloud / Firebase の物理セキュリティに依拠 (データセンターの入退室管理、施錠、監視カメラ等)
8.4 技術的安全管理措置
| 対策 | 内容 |
|---|---|
| アクセス制御 | Firebase Authentication、Firebase App Check (reCAPTCHA Enterprise)、ロールベースアクセス制御 (RBAC)、Firebase Custom Claims |
| 不正アクセス対策 | App Check による Bot 防御、Firestore セキュリティルール、Identity-Aware Proxy |
| 通信の保護 | すべての通信の HTTPS/TLS 化 |
| 認証情報の保護 | SNS 認証情報を Google Secret Manager で暗号化保管 (AES-256-GCM)、Firebase Secret 経由で Cloud Functions / Cloud Run のみアクセス可能 |
| 監査ログ | すべての重要操作の記録 (Cloud Audit Logs / カスタム audit log) |
| レート制限 | API 呼出の制限による不正利用・DoS 対策 |
| 脆弱性対策 | 依存パッケージの定期的な更新、npm audit 等による継続的な脆弱性監視 |
9. 個人情報の漏えい等への対応
当社は、個人情報の漏えい等が発生した場合、または発生のおそれがある場合、以下の対応を行います。
9.1 初動対応
- 漏えい等の事実関係の調査および原因の究明
- 被害の拡大を防止するための措置
- 二次被害の防止
9.2 報告・通知
| 対応 | 内容 | 期限 |
|---|---|---|
| 個人情報保護委員会への報告 | 速報: 発覚後速やかに / 確報: 発覚後 30 日以内 (高度な暗号化等により本人の権利利益を害するおそれが少ない場合等を除く) | 個人情報保護法第26条 |
| 本人への通知 | 漏えい等の概要、漏えいした情報の項目、対応状況、お問合せ窓口 | 速やかに |
9.3 再発防止
漏えい等の原因を分析し、再発防止策を策定・実施します。
10. Cookie・アナリティクス
10.1 Cookie の使用
本サービスでは、以下の目的で Cookie および類似技術 (ローカルストレージ、セッションストレージ等) を使用します。
| 種類 | 目的 | 必須/任意 |
|---|---|---|
| セッション Cookie | ログイン状態の維持 | 必須 |
| Firebase 認証 Cookie | 認証情報の保持 | 必須 |
| App Check トークン | Bot 防御・不正アクセス対策 | 必須 |
| 設定 Cookie | UI 設定の保存 | 任意 |
利用者は、ブラウザの設定により Cookie の受入を拒否することができます。ただし、必須 Cookie を拒否した場合、本サービスの一部機能が利用できなくなることがあります。
10.2 アナリティクス
本サービスでは、サービス改善のため Firebase Analytics を使用する場合があります。収集されるデータは匿名化されており、個人を特定することはできません。詳細は Google LLC のプライバシーポリシーをご確認ください。
11. SNS 認証情報の取扱い
本サービスは、利用者の指示に基づき X / Instagram / Facebook 等の SNS への投稿を実行するため、各 SNS プラットフォームの OAuth 認可フローを通じてアクセストークン等の認証情報を取得・保管します。当社は、SNS 認証情報を以下のとおり取扱います。
(1) 取得: 利用者が本サービス上で SNS 連携を許諾した時点で、各 SNS プラットフォームから OAuth アクセストークン (短期・長期)、リフレッシュトークン、トークン有効期限、連携 SNS アカウント識別子等を取得します。 (2) 保管: 取得したトークンは、Google Secret Manager (米国・東京リージョン) において暗号化のうえ保管します。Firestore データベース上には、トークン本体は保管せず、トークンのメタデータ (有効期限、連携アカウント名等) のみを保管します。 (3) 利用: 利用者が本サービス上で投稿実行を指示した場合、または利用者が設定したスケジュールに従って自動投稿を実行する場合に限り、トークンを利用して各 SNS プラットフォームの API を呼出します。 (4) アクセス権限: トークンへのアクセスは、本サービスの Cloud Functions / Cloud Run の実行ロールに限定し、当社役職員は原則としてトークン本体を直接閲覧しません。 (5) 連携解除: 利用者は、本サービスのアカウント設定画面から、いつでも SNS 連携を解除することができます。連携解除時、当社は対応する SNS プラットフォームの API を通じてトークンの失効を試み (技術的に可能な場合)、Secret Manager 上のトークンを削除します。 (6) 利用者は、各 SNS プラットフォームのアカウント設定画面 (例: Meta Business Manager、X 連携アプリ管理) からも、本サービスへの認可をいつでも取消すことができます。
12. 利用者の権利
利用者は、個人情報保護法に基づき、以下の権利を有します。
12.1 開示請求
当社が保有する利用者の個人情報の開示を請求することができます。
12.2 訂正・追加・削除請求
個人情報の内容が事実でない場合、訂正、追加または削除を請求することができます。
12.3 利用停止・消去請求
個人情報が不正に取得されたものである場合、利用目的の範囲を超えて利用されている場合、または当該個人情報を当社が利用する必要がなくなった場合等は、利用の停止または消去を請求することができます。
12.4 第三者提供停止請求
個人情報が不正に第三者に提供されている場合、または提供先における個人情報の利用が利用目的の範囲を超えている場合は、提供の停止を請求することができます。
12.5 SNS 連携の解除
利用者は、本サービスのアカウント設定画面から、SNS 連携 (Facebook / Instagram / X) を任意のタイミングで解除することができます。解除後、当社は当該 SNS 認証情報を第7条に基づき削除します。
12.6 SNS プラットフォーム経由のデータ削除リクエスト
- 利用者が Meta Platforms, Inc. (Facebook / Instagram) または X Corp. の管理画面から本サービスへの認可を取消した場合、当社は、当該 SNS プラットフォームからの通知または利用者からの個別連絡を受けた時点で、当該利用者の SNS 認証情報および対応する SNS 連携データを削除します。
- 利用者は、当社が保有する自己のアカウント全体およびすべての利用者データの削除を請求することができます。請求は、第13条 (お問合せ窓口) 記載のメールアドレス宛に「データ削除リクエスト」と記載のうえご連絡ください。本人確認の方法は 12.7 (請求手続き) に準じます。
- 当社は、本人確認の完了後、原則として 30 日以内に対象データを削除し、削除完了の確認通知 (確認コード) を利用者の連絡先メールアドレス宛に送付します。
- 法令により当社に保存義務が課されている情報 (取引関連帳簿等) は、削除の対象外となる場合があります。その場合は、当該データの種別と保存期間を回答します。
12.7 請求手続き
上記の請求を行う場合は、第13条 (お問合せ窓口) 記載の連絡先まで、本人確認書類を添えて書面または当社が指定する電子的方法によりご連絡ください。本人確認の上、個人情報保護法に定める期間内に対応いたします。
ただし、法令により当社に保存義務が課されている情報、他者の権利・利益を害するおそれがある情報、当社の業務の適正な実施に著しい支障を及ぼすおそれがある情報については、請求に応じられない場合があります。
13. お問合せ窓口
個人情報の取扱いに関するお問合せ、開示等の請求、苦情その他のご連絡は、以下の窓口までお願いいたします。
株式会社 RISE 個人情報保護管理担当
〒453-0843
愛知県名古屋市中村区鴨付町2-33
Email: info@riseincs.com
受付時間: 平日 10:00-18:00 (土日祝日・年末年始を除く)
14. 本ポリシーの変更
- 当社は、法令の改正、本サービスの内容変更、その他の必要に応じて、本ポリシーを変更することがあります。
- 重要な変更を行う場合は、変更日の 2 週間前までに当社ウェブサイト上での掲載または利用者への電子メール送信等の方法により通知します。
- 改定後の本ポリシーは、当社ウェブサイトへの掲載または利用者への通知時に指定する施行日から効力を生じるものとします。
15. 準拠法・管轄
本ポリシーは日本法に準拠し、本ポリシーに関する紛争については、名古屋地方裁判所を第一審の専属的合意管轄裁判所とします。
改定履歴
| 日付 | バージョン | 変更内容 |
|---|---|---|
| 2026-01-17 | 1.0 | 初版作成 (一般社団法人ラフテル名義) |
| 2026-01-30 | 1.1 | Instagram Stories/Reels/カルーセル対応、承認ワークフロー、下書き機能、インサイト機能、プッシュ通知機能を追加 |
| ____年__月__日 | 2.0 | 事業者を株式会社 RISE に変更、Story Creator・マルチブランド統一配信に対応、Meta App Review 要件への適合、SNS 認証情報の取扱いを第11条として独立化 |
附則
本ポリシー (バージョン 2.0) は、____年__月__日から施行します。
事業者情報
株式会社 RISE 〒453-0843 愛知県名古屋市中村区鴨付町2-33 代表取締役 松原 健治 Email: info@riseincs.com