プライバシーポリシー
1. 概要
32personas (以下「サービス」) はユーザーのプライバシーを尊重し、韓国個人情報保護法 (PIPA) を含む関連法令を遵守します。本方針は収集・利用・提供・廃棄する個人情報の項目と処理方法を明示します。
2. 収集項目 (最小化原則)
- メールアドレス — アカウント作成、ニュースレター購読、結果保存、カスタマーサポート対応時
- パーソナリティタイプ選択結果 — MBTIベースの16-32タイプ、匿名化処理
- 年齢層・性別・国 — 任意入力、統計分析目的
- 決済情報 — Polar (第三者決済処理) 側で処理、当サービスはPolar顧客IDのみ保持
3. 利用目的および保有期間
| 項目 | 目的 | 保有期間 |
|---|---|---|
| アカウントメール | 会員管理 + サービス提供 | 退会時即時削除 (個人情報保護法 第21条) |
| カスタマーサポート | 対応 + 紛争対応 | 3年 (韓国消費者基本法施行令 第8条) |
| 決済記録 | 決済処理 + 会計 | 5年 (韓国電子商取引等における消費者保護法 第6条、Polar委託) |
| テスト結果 (パーソナリティタイプ) | サービス品質改善 | 退会時匿名化後保管 (識別不可) |
| 外部ログイン連携情報 (oauth_identities) | Google など外部ログイン識別子のマッピング | 連携解除またはアカウント削除時に即時永久削除 |
- 項目
- アカウントメール
- 目的
- 会員管理 + サービス提供
- 保有期間
- 退会時即時削除 (個人情報保護法 第21条)
- 項目
- カスタマーサポート
- 目的
- 対応 + 紛争対応
- 保有期間
- 3年 (韓国消費者基本法施行令 第8条)
- 項目
- 決済記録
- 目的
- 決済処理 + 会計
- 保有期間
- 5年 (韓国電子商取引等における消費者保護法 第6条、Polar委託)
- 項目
- テスト結果 (パーソナリティタイプ)
- 目的
- サービス品質改善
- 保有期間
- 退会時匿名化後保管 (識別不可)
- 項目
- 外部ログイン連携情報 (oauth_identities)
- 目的
- Google など外部ログイン識別子のマッピング
- 保有期間
- 連携解除またはアカウント削除時に即時永久削除
4. ユーザーの権利
PIPAに基づき、ユーザーは以下の権利を行使でき、請求日から30日以内に処理されます。/account/data/request ページまたは support@monday.red にて対応します。
- 閲覧権 — 収集された個人情報の処理状況・内容の確認
- 訂正権 — 誤り・不完全な情報の訂正請求
- 削除権 — 個人情報の削除請求
- 処理停止権 — 個人情報の処理停止請求
- 自動化された意思決定の拒否・説明要求権 (PIPA §37-2) — 本サービスは (a) SLOAN 性格スコアリングアルゴリズム、(b) 外部 LLM による四柱推命解釈 narrative の二つの自動化処理を行います。拒否・説明要求は support@monday.red へご連絡ください。拒否時、当該自動化結果は即時削除・閲覧不可化されます。決済関連事項は別途の返金ポリシー (/legal/refund-policy) に従います。
5. 第三者提供および国外移転 (韓国 個人情報保護法 第17条・第26条・第28条の8)
サービスは広告目的で第三者に個人情報を提供しません。次の委託先へ個人情報が国外移転されます。各委託先のプライバシーポリシーをご参照ください。(1) Supabase, Inc. — 米国, データベース保存, 会員登録時点〜アカウント削除+30日 (電子商取引法5年決済記録は別途) — 移転方法: HTTPS API。(2) Polar Software Inc. — 米国, 決済処理, 決済時点から決済・返金記録および税務・会計義務を満たす期間 — 移転方法: HTTPS API。(3) PostHog Inc. — 米国・EU, 分析テレメトリ (distinct_id, $pageview, クリックイベント), 30日〜365日 (イベント種別ごと), 拒否可能 — 移転方法: HTTPS API。(4) Vercel Inc. — 米国, 静的アセットホスティング+関数実行, リクエスト時; Vercel側のエッジ/関数ログ保持はVercelポリシーに準拠 — 移転方法: HTTPS。(5) Resend — 米国, トランザクションメール送信 (アカウント認証, データエクスポート, 返金通知), 送信時点からResendの公開ポリシーに従う期間 — 移転方法: HTTPS API。(6) DeepSeek (杭州深度求索) — 中国, 四柱推命解釈 narrative 生成 (生年月日・出生時刻・性別), 呼び出し時からDeepSeekの公開ポリシーに従う期間 — 移転方法: HTTPS API + audit_logs.input_hash 記録。拒否権: support@monday.red にご連絡いただければ、該当委託先呼び出しに依存する選択機能 (例: AI 四柱解釈 — DeepSeek, 分析 — PostHog, トランザクションメール — Resend) の利用を停止します。サービス運営に必須の委託先 (Supabase データベース, Vercel ホスティング, Polar 決済) を拒否される場合、サービス自体のご利用ができなくなります。
6. セキュリティ対策
Supabase Row Level Security (RLS)、HTTPS暗号化、週次RLSカバレッジ監査。
8. 外部ログイン (Google OAuth) データの取り扱い
Google アカウントでログイン機能をご利用の際、Google から一部の情報を取得します。Google ユーザーデータの具体的な取り扱いは以下のとおりです。
- 収集: Google ログインのハンドシェイク中に Google から (a) メールアドレス、(b) Google アカウント識別子 (OpenID Connect の sub クレーム)、(c) プロフィール表示名およびアバター URL (存在する場合) を一時的に受信します。ただし当社のデータベースに永続的に保存する項目は次の 3 つに限定されます: メールアドレス、Google アカウント識別子 (sub)、最終ログイン日時。表示名およびアバター URL は保存しません。Gmail、Drive、Calendar、Contacts など他の Google サービスのデータは要求も取得もしません。
- 利用: 取得した情報はアカウント識別とログイン認証の目的のみに利用します。マーケティングメール送信、広告ターゲティング、プロファイリング、自動化された意思決定のいずれにも利用しません。Google ログイン連携の記録は会員セキュリティページでご確認いただけます。
- 共有: Google から取得したデータを第三者に販売・共有・提供することはありません。上記 §6 に明記された委託先 (Supabase データベース保存) 以外には一切伝達されません。
- 削除: Google アカウント連携の解除は会員設定ページ (/account/security) の「外部ログイン連携」カードからいつでも可能です。解除すると oauth_identities テーブルの該当行が即時削除されます。アカウント自体を削除される場合 (/account/delete-request)、連携情報も同時に即時削除されます。
9. 事業者情報およびお問い合わせ
運営者情報(電子商取引等における消費者保護に関する法律 第10条 + 個人情報保護法 第30条 に基づく告知義務)
商号:프로젝트먼데이 (Project Monday) · 事業者登録番号:106-68-00711
お問い合わせ窓口
support@monday.red(個人情報の権利行使・返金・規約・技術サポート、応答 SLA 営業日 1〜2 日)
個人情報保護責任者(DPO)は、上記の事業者情報の記載と同時に別途指名されます。指名前は support@monday.red が暫定 DPO 窓口です。