プライバシーポリシー

シンプルファスト株式会社（以下「当社」）は、当社が提供するセッション管理プラットフォーム 「Lily∞Session」（以下「本サービス」）の利用に関して取得する個人情報について、 個人情報保護法その他関連法令を遵守し、適切に取り扱います。 本プライバシーポリシー（以下「本ポリシー」）は、その取扱方針を定めるものです。

第1条（用語）

本ポリシーで使用する用語の意味は、本サービスの利用規約に準じます。

第2条（取得する情報）

当社は、本サービスの提供に必要な範囲で、以下の情報を取得します。

2.1 アカウント情報

• メールアドレス、表示名、フリガナ
• Google認証経由の場合: GoogleアカウントID、プロフィール画像URL
• パスワード（ハッシュ化して保管、平文では保持しません）

2.2 Zoom連携情報

• Zoom OAuthトークン（暗号化して保管）
• Zoomアカウントのメールアドレス、ユーザーID
• 会議情報（タイトル・日時・参加者）、録画ファイル、文字起こし、会議要約（AI Companion）

2.3 セッション・ユーザー入力データ

• セッションのスケジュール・参加者・ステータス・タイムライン
• HOST↔CLIENT間のメッセージ
• 診断回答（30問の自己評価）
• 目標・タスク・気づきメモ・スタンプ等のトラッキングデータ
• 事前質問（インテークフォーム）への回答
• セッションレポート、ユーザーがアップロードしたファイル
• ご意見箱への投稿内容、画像

2.4 支払い情報

• 決済代行業者（Stripe）が処理するクレジットカード情報。当社はカード番号を直接保持しません。
• 決済履歴（金額・日付・ステータス等）

2.5 利用ログ・技術情報

• アクセス日時、IPアドレス、ユーザーエージェント（OS・ブラウザ）
• 本サービス内の操作ログ（機能改善・不正検知のため）
• エラー監視ツール（Sentry）が取得するエラー情報（個人情報はマスクして送信）

第3条（利用目的）

取得した情報は、以下の目的で利用します。

• 本サービスの提供・運営・改善
• ユーザーの本人確認・認証
• 料金の請求・決済処理
• Zoom連携機能の提供（録画転送・文字起こし表示・要約取得等）
• HOST↔CLIENT間のコミュニケーション機能の提供
• サービスに関する通知・お知らせ・リマインダーの送信
• ユーザーサポートの提供・お問い合わせへの対応
• 不正利用の検知・防止
• サービス改善のための統計分析（個人を特定しない形で）
• 法令に基づく対応

第4条（要配慮個人情報）

• 本サービスの性質上、ユーザーが入力するセッション内容・診断回答・気づきメモ等に、心身の状態・宗教・思想信条等の「要配慮個人情報」が含まれる場合があります。
• 当社は、ユーザーが本サービスに当該情報を入力した時点で、第3条の利用目的の範囲内における当該情報の取扱いに同意したものとみなします。
• 当社は、要配慮個人情報を含むユーザーコンテンツを、当該HOST・CLIENT本人およびその許可を得た者以外には開示しません（法令に基づく場合を除く）。

第5条（業務委託先・第三者提供）

当社は、以下の場合を除き、ユーザーの個人情報を第三者に提供しません。

• ユーザーの同意がある場合
• 法令に基づく場合（裁判所・捜査機関からの要請等）
• 人の生命・身体・財産の保護のために必要であり、ユーザーの同意を得ることが困難である場合
• 本サービス提供に必要な業務委託先に提供する場合（下表）

5.1 業務委託先一覧

※ 各業務委託先との間で、個人情報の安全管理が図られるよう、適切な契約・監督を行います。

第6条（個人情報の外国にある第三者への提供）

• 第5条に記載のとおり、本サービスの提供にあたり、当社は米国に所在する事業者に個人情報を提供します。
• 当該外国（米国）における個人情報保護に関する制度については、個人情報保護委員会のウェブサイト等から確認することができます。
• 当該事業者との契約により、個人情報保護法と同等以上の保護措置を確保しています。
• ユーザーは、本サービスを利用することで、当該外国への個人情報の提供に同意したものとみなされます。

第7条（保有期間・削除）

当社は、利用目的の達成に必要な期間、個人情報を保有します。具体的な保有期間は以下のとおりです。

• アクティブなアカウント: ユーザーが本サービスを利用している間
• アカウント削除申請後の情報: 14日間の猶予期間（その間、ユーザーはログインにより削除予約を取消可能）を経て当社が削除を実行。申請から削除完了まで合計30日以内
• バックアップデータ: 最長90日間保持後、削除
• エラーログ・アクセスログ: 90日間
• Zoom連携データ: Zoom連携を解除した時点で削除
• セッション録画（動画・音声）: セッション開催日から6ヶ月経過後に自動削除します。削除予定の30日前から週次ダイジェストメールでお知らせします。なお、削除後もバックアップに最長90日間保持されることがあります。
• セッション文字起こし・会議要約: HOSTとCLIENTの継続的なセッション参照のため、本サービス継続中は保持します。これらは原音声・動画の派生データであり、HOSTおよびCLIENTのアカウント削除時に併せて削除されます。個別削除をご希望の場合は、お問い合わせフォームよりご連絡ください。
• 取引・決済記録: 法令で定められた保存義務期間（最長10年）

第8条（安全管理措置）

当社は、個人情報の漏えい・滅失・毀損を防止するため、以下の安全管理措置を講じます。

• 技術的措置: 通信のSSL/TLS暗号化、保存データの暗号化、認証トークンの暗号化（AES-256-GCM）
• アクセス制御: Row Level Security（RLS）による行レベルのアクセス制御、最小権限の原則の適用
• 組織的措置: 個人情報取扱責任者の設置、従業員教育、業務委託先の監督
• 物理的措置: データセンターの物理的セキュリティ（業務委託先のデータセンター基準による）
• 不正アクセス対策: レート制限、ボット対策、異常検知
• 漏洩等発生時の対応: 個人情報の漏洩・滅失・毀損その他の事故が発生した場合、当社は個人情報保護法その他の関係法令に従い、速やかに個人情報保護委員会への報告を行うとともに、影響を受けるユーザーに対してサービス上の表示または登録メールアドレスへの送信により通知します。

第9条（Cookie・類似技術の使用）

本サービスでは、以下の目的でCookieおよび類似技術を使用します。

• 必須Cookie: 認証セッションの維持、CSRF対策、ロールベースのアクセス制御
• 機能性Cookie: ユーザー設定の保存（テーマ・表示設定等）
• エラー監視: Sentryによるエラー追跡用ID（個人情報を含まない）

本サービスは、広告配信・行動追跡を目的としたサードパーティCookieは使用しません。

第10条（ユーザーの権利）

ユーザーは、自身の個人情報について以下の権利を有します。

• 開示請求: 当社が保有する個人情報の開示を請求する権利
• 訂正・追加・削除請求: 内容が事実と異なる場合の訂正、追加、削除を請求する権利
• 利用停止請求: 利用目的の範囲を超えた利用や不正取得があった場合の利用停止を請求する権利
• 第三者提供の停止請求: 不正な第三者提供がある場合の停止を請求する権利
• データのエクスポート: 本サービス所定の機能を通じて、自身のデータをダウンロードする権利
• アカウント削除: 本サービス内の機能からアカウントを削除する権利

これらの請求は、本ポリシー末尾の連絡先までご連絡ください。本人確認のうえ、合理的な期間内に対応します。

第11条（未成年者の利用）

• 当社は、本サービスを18歳以上の方の利用を想定して設計しています。
• 未成年者が本サービスを利用する場合、親権者その他の法定代理人の同意を得るものとし、当該同意の確認は当該未成年者の責任で行うものとします。
• 13歳未満のお子様の個人情報を意図的に収集しません。13歳未満のお子様の個人情報を取得していることが判明した場合、速やかに削除します。

第12条（EU・英国居住者の権利）

EU一般データ保護規則（GDPR）または英国GDPRが適用される地域に居住するユーザーは、上記第10条の権利に加えて、以下の権利を有することがあります。

• 処理の制限を求める権利
• データポータビリティの権利（機械可読形式でのデータ受領）
• 同意に基づく処理について、いつでも同意を撤回する権利
• 所在国のデータ保護監督機関に苦情を申し立てる権利

これらの権利を行使するには、本ポリシー末尾の連絡先までご連絡ください。

第13条（本ポリシーの変更）

• 当社は、法令変更・サービス内容変更等に応じて、本ポリシーを変更することがあります。
• 重要な変更がある場合、サービス上の表示または電子メールで通知します。
• 変更後に本サービスを継続利用した場合、変更後のポリシーに同意したものとみなします。
• 過去のバージョンは履歴として参照可能な形で公開します。

第14条（個人情報保護管理者・お問い合わせ窓口）

本ポリシーに関するお問い合わせ、開示請求、苦情その他個人情報に関するご連絡は、以下までご連絡ください。