v2026-04-23 — 法務レビュー前ドラフト

プライバシーポリシー

CreoLab(以下「当社」といいます)は、当社が提供する「Smokelore」(以下「本サービス」といいます)における利用者の個人情報の取り扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます)を定めます。本ポリシーは、個人情報の保護に関する法律(以下「個人情報保護法」といいます)その他関係法令に基づき、本サービスにおける利用者の個人情報の取り扱いを規律するものです。

第 1 条(取得する情報)

1.1 利用者が提供する情報

  • メールアドレス(ログイン認証に利用)
  • Google アカウント情報(OAuth 利用時の名前・メールアドレス・プロフィール画像)
  • 生年月(YYYY-MM 形式、20 歳判定のみに使用。サーバ側では `dob_hash = SHA-256(YYYY-MM || salt)` の形で保存)
  • 利用規約・プライバシーポリシー同意チェックの記録
  • コンテンツ(ログ、レビュー、写真、タグ)

1.2 自動的に取得する情報

  • IP アドレス(接続元の識別、不正アクセス防止)
  • ユーザーエージェント(障害分析・互換性確認)
  • アクセスログ(障害分析・サービス改善)
  • Cookie(認証・セッション管理・年齢確認、詳細は第 5 条)

1.3 取得しない情報

  • 生年月日(日レベル): 年月のみ取得
  • 住所・電話番号: 登録時に取得しません
  • 位置情報(GPS): 取得しません。写真アップロード時に EXIF 情報を剥離します
  • 決済情報: Phase 1 では課金機能を提供しません
  • マイナンバー・その他の要配慮個人情報: 取得しません

第 2 条(利用目的)

  1. 本サービスの提供・運営
  2. 利用者の本人確認・年齢確認(20 歳以上の確認のみ)
  3. 利用者からの問い合わせ対応
  4. 本サービスの利用状況分析・サービス改善
  5. 本サービスに関する重要なお知らせ・障害通知の送付
  6. 利用規約・本ポリシーへの違反行為への対応
  7. 個人を特定できない形での統計データ作成・公開
  8. その他、前各号に付随する目的

第 3 条(第三者提供)

  1. 当社は、利用者本人の同意なく個人情報を第三者に提供しません(法令に基づく場合等を除く)。
  2. 当社は、匿名加工情報または統計情報として個人を識別できない形に加工した情報を、第三者に提供することがあります。
  3. 本サービスは、以下の外部サービスを利用しており、利用者の情報の一部がこれらのサービスに送信されます。
    • Supabase(米国): 認証情報・コンテンツ・画像 / データベース・認証・ストレージ用途
    • Vercel(米国): アクセスログ / ホスティング・アクセス解析
    • Google(米国): OAuth 認証
    • Plausible Analytics(欧州): プライバシー配慮型アクセス統計
  4. 上記に伴う国外移転(米国・欧州)が発生することを、利用者は了承するものとします。

第 4 条(個人情報の保存期間)

  1. 当社は、本サービスの利用目的達成に必要な期間に限り、個人情報を保有します。
  2. アカウント削除時は 30 日間の論理削除期間 を経たのち、物理削除を行います。ただしサーバーログ・アクセスログは最大 90 日間、認証ログは最大 1 年間、法令に基づく帳簿・書類保存要件に該当する情報は別途保持されることがあります。
  3. 年齢確認ハッシュ(dob_hash)は、不正登録防止のため、アカウント削除後も 最大 1 年間 保持する場合があります。ハッシュ値からは元の生年月を復元できません。

第 5 条(Cookie の利用)

本サービスは、以下の Cookie を利用します。

Cookie 名用途保存期間属性
sl_age_v1年齢確認済みフラグ(値: 1 のみ、生年月情報は含みません)6 ヶ月httpOnly / Secure / SameSite=Lax
Supabase Auth cookies認証セッション管理セッションhttpOnly / Secure / SameSite=Lax
Plausible `_plausible_*`アクセス解析(ファーストパーティ、個人特定情報なし)セッション必要に応じて

Cookie の無効化をご希望の場合は、ブラウザ設定で無効化いただけます。ただし、無効化した場合、年齢確認や認証等の一部機能が正常に動作しない可能性があります。

第 6 条(利用者の権利)

利用者は、個人情報保護法に基づき、当社に対して以下の権利を行使することができます。

  1. 開示請求(Phase 1.5 以降、設定画面からセルフサービスで JSON 形式ダウンロード可能)
  2. 訂正・追加・削除請求
  3. 利用停止・消去請求
  4. 第三者提供停止請求

請求は、第 9 条記載の問い合わせ窓口にご連絡ください。本人確認の後、法令に従い遅滞なく対応いたします。

第 7 条(安全管理措置)

7.1 技術的安全管理措置

  • 通信の暗号化: 本サービスとの通信はすべて HTTPS(TLS)で暗号化
  • 認証方式: パスワードレス認証(Email OTP または Google OAuth)
  • アクセス制御: Supabase Row Level Security(RLS)により、利用者は自身のデータのみアクセス可能
  • EXIF 剥離: 写真アップロード時に位置情報等の EXIF データを自動削除
  • 禁句フィルタ: 薬機法に抵触する可能性のある表現の自動検出

7.2 組織的安全管理措置

  • 個人情報取扱責任者(代表者: Creo)の設置
  • 定期的なセキュリティ監査(依存関係の脆弱性チェック、シークレット検出)
  • インシデント発生時の対応手順書の整備

7.3 物理的安全管理措置

個人情報を保有するサーバーは、Supabase(AWS 内データセンター)および Vercel が運営するデータセンターに配置されており、これらの事業者が施設の物理的セキュリティを管理します。

第 8 条(未成年者の保護)

  1. 本サービスは 満 20 歳以上 の方のみが利用できます。
  2. 当社は、未成年者(20 歳未満)と判明した個人から意図的に個人情報を収集しません。
  3. 万が一、未成年者の情報を収集したことが判明した場合、当社は速やかに当該情報を削除します。
  4. 未成年者の保護者の方で、お子様の情報が本サービスに登録されている可能性がある場合は、第 9 条記載の問い合わせ窓口までご連絡ください。

第 9 条(お問い合わせ窓口)

  • 販売事業者: CreoLab
  • 個人情報取扱責任者: Creo
  • メールアドレス: support@creolab.dev
  • 所在地・電話番号: 請求があった場合に遅滞なく開示いたします

第 10 条(本ポリシーの変更)

  1. 当社は、必要と判断した場合、本ポリシーを変更することができます。
  2. 変更後の本ポリシーは、本サービス上に掲載された時点から効力を生じるものとします。
  3. 重要な変更(利用目的の追加・拡大、第三者提供の追加等)の場合、当社は変更日の 14 日前までに本サービス上で通知します。

第 11 条(準拠法・管轄)

本ポリシーの解釈・適用については、日本法 を準拠法とします。本ポリシーに関連して紛争が生じた場合、東京地方裁判所 を第一審の専属的合意管轄裁判所とします。