最終更新日:2026年4月
本プライバシーポリシー(以下「本ポリシー」)は、EatSafe(以下「本サービス」)の運営者(以下「当社」)が、お客様の個人情報をどのように収集、利用、第三者提供、保護するかについて、個人情報保護法その他の関係法令に基づき定めるものです。
当社は以下の情報を取得します (1)アカウント情報:GoogleまたはAppleサインインを通じて提供されるメールアドレス及び氏名(任意) (2)食物アレルギー・食事制限情報(後述のとおり要配慮個人情報を含みます):ユーザーが登録するアレルゲン、重篤度、食事制限、エピネフリン自己注射器の携帯の有無 (3)設定情報:国、言語設定、カード表示設定 (4)決済関連情報:Stripeを通じて処理される取引情報(クレジットカード番号は当社では保存しません) (5)利用データ:アクセスログ、IPアドレス、ユーザーエージェント、サービス利用パターン (6)招待関連情報:招待コード、参加同意の取得日時、同意のバージョン。
食物アレルギー、不耐症、エピネフリン自己注射器の携帯状況等の情報は、個人情報保護法上の「要配慮個人情報」(病歴等)に該当します。当社はこれらの情報について、ユーザー本人が自ら入力し本サービスに送信する方法によってのみ取得します。 要配慮個人情報の第三者提供(イベント主催者への提供を含む)については、個人情報保護法第27条第2項に基づき、ユーザー本人の明示的な事前同意を取得したうえでのみ実施します。同意取得画面では、提供先(主催者)、提供される情報項目、利用目的、同意の撤回方法を明示します。 ユーザーはいつでも自身のアカウント設定から登録情報を削除し、また主催者への提供を停止する(イベントから離脱する)ことができます。ただし、撤回の効果は将来に向かってのみ生じ、撤回前に既に主催者が取得・印刷等により記録した情報については、各主催者の責任において管理されます(第13条参照)。
当社はお客様の個人情報を以下の目的の範囲内でのみ利用します (1)アレルギーカードの生成、表示、印刷用書面の出力 (2)アカウント、認証、決済の管理 (3)招待リンクの発行、検証、参加者管理 (4)本サービスの提供、品質維持、不具合対応 (5)不正利用の検知・防止(無料イベントの重複取得防止のためのStripeカードフィンガープリント照合を含む) (6)法令上の義務の履行 (7)本サービスに関する重要なお知らせの送信。当社は、要配慮個人情報を含むお客様の情報を、当社のサービス改善・分析・広告配信その他の目的に利用することはありません。
当社は、本サービスの提供のために以下の第三者サービスへ業務委託を行っています。委託先には、特定した利用目的の範囲内で個人データを取り扱う旨、不適正利用の禁止、必要かつ適切な安全管理措置を講ずる旨、従業者に対する必要かつ適切な監督を行う旨、再委託先の選定水準、個人データの第三者提供の禁止等を契約において定めております (1)Supabase(認証、データベース、ストレージ) (2)Stripe(決済処理、適格請求書発行) (3)Vercel(ホスティング、配信、ログ) (4)Google/Apple(OAuthサインイン) (5)Resend(取引メール配信、利用している場合) (6)Sentry(エラー監視、利用している場合)。 当社が利用する委託先の最新の一覧、所在地および主な取扱業務は、本ウェブサイト上の「サブプロセッサ一覧」ページにて公表します。
当社は、前条に定める第三者サービスの利用に伴い、お客様の個人データを以下の国に所在する第三者に提供する場合があります。当該提供は個人情報保護法第28条に基づくものであり、ユーザーは本ポリシーへの同意により当該提供に同意するものとします: 【提供先国・地域および主要な委託先】 ・アメリカ合衆国:Stripe, Inc.(決済処理)、Vercel Inc.(ホスティング)、Google LLC(OAuth認証)、Apple Inc.(OAuth認証)、Resend(メール配信)、Sentry(エラー監視) ・シンガポール、欧州連合(EU)またはアメリカ合衆国:Supabase, Inc.(プロジェクトリージョン設定によります) 【外国の個人情報保護制度】 アメリカ合衆国その他の各提供先国の個人情報保護制度の概要については、個人情報保護委員会が公表する参考情報(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku )をご参照ください。アメリカ合衆国は連邦レベルでは包括的な個人情報保護法を有さず、州法および分野別法令により規律されています。 【講じている安全管理措置】 (a)委託先との契約において、欧州委員会が承認した標準契約条項(SCC)または同等の契約条項を取り込んだ上で、特定した利用目的の範囲内での取扱い、安全管理措置、再提供の禁止等を定めております。(b)通信の暗号化(TLS)、保管時の暗号化、アクセス権限の最小化、監査ログの取得を実施しております。(c)委託先の認証取得状況(SOC 2 Type II、ISO 27001等)を選定基準に組み入れています。
当社は、お客様の個人データの漏えい、滅失、毀損その他の事故を防止するため、以下を含む合理的かつ適切な技術的・組織的措置を講じます (1)通信の暗号化(HTTPS/TLS) (2)データベースの行レベルセキュリティ(RLS)によるアクセス制御 (3)認証情報のハッシュ化保存 (4)従業者および委託先に対する必要かつ適切な監督 (5)アクセスログの取得と定期的な監査 (6)漏えい等が発生した場合の個人情報保護委員会への報告および本人通知(個人情報保護法第26条)。
当社は、認証およびセッション管理に必要なCookieのみを使用します。トラッキングCookie、行動ターゲティング広告Cookie、第三者広告ネットワークCookieは使用しません。
お客様には個人情報保護法に基づき以下の権利があります (1)保有個人データの開示請求(同法第33条) (2)訂正、追加または削除の請求(同法第34条) (3)利用停止または消去の請求(同法第35条) (4)第三者提供の停止の請求(同法第35条) (5)データポータビリティ(電子的方法による開示)。これらの権利を行使する場合は、第12条のお問い合わせ先までご連絡ください。本人確認を経たうえで、合理的な期間内に対応します。
当社は以下の期間、お客様の個人データを保有します (1)アカウント情報・アレルゲン情報:アカウントが有効な期間中、およびアカウント削除後30日間。30日経過後は、法令により保有が義務付けられている場合を除き、削除します。 (2)イベント関連情報(B2B):イベントパス有効期間(イベント終了日から30日後または購入日から180日後のうち遅い方)終了後90日間。90日経過後は削除します。 (3)決済記録(適格請求書を含む):法人税法および電子帳簿保存法に基づき、課税期間の末日の翌日から7年間(個人事業主の場合は5年または7年)保有します。 (4)アクセスログ・利用データ:取得から12ヶ月間。 (5)同意取得記録:同意取得から5年間(同意の有効性を立証するため)。 個人ユーザーはアカウント設定の「アカウントを削除する」ボタンからいつでも即時削除を実行できます。B2Bイベントの参加者または主催者として記録のあるアカウントは、主催者の業務(PDF再発行・集計閲覧等)への影響を避けるため即時セルフ削除はできません。フィードバックフォームの「アカウント削除を請求」カテゴリから請求してください。当社は当該イベントパスの保有期間(前述(2))満了後、合理的な期間内に削除します。
本サービスは18歳以上のお客様のみを対象としています。当社は18歳未満のお客様から故意に個人情報を取得することはありません。アカウント登録時に年齢の確認を求めます。万一、18歳未満のお客様の情報を取得していたことが判明した場合は、保護者の同意を得ない限り、速やかに削除します。 B2Bイベントにおいて未成年の参加者を含める場合、主催者は当該未成年者の保護者から本サービスの利用および要配慮個人情報の主催者への提供についての同意を事前に取得する責任を負います(B2B利用規約参照)。
当社は、法令の改正、本サービスの内容の変更、その他必要があると認める場合に、本ポリシーを変更することができます。重要な変更を行う場合は、変更後の内容および効力発生日を、効力発生日の30日前までに本サービス上での告知またはメールにより通知します。変更内容に同意いただけない場合は、効力発生日までにアカウント削除によりサービスの利用を中止することができます。効力発生日以降も継続してご利用いただいた場合は、変更に同意したものとみなします。
本ポリシーに関するご質問、個人情報の取扱いに関する苦情、保有個人データの開示等の請求については、本ウェブサイト記載のお問い合わせフォームまたはメールアドレスまでご連絡ください。 【認定個人情報保護団体】 当社が加入する認定個人情報保護団体はありません。当社の個人情報の取扱いに関し苦情の解決を申し出ていただく場合は、まず当社の上記窓口にご連絡ください。 【個人情報保護委員会】 本サービスに関する個人情報の取扱いについて、個人情報保護委員会への相談は以下より可能です:個人情報保護委員会 個人情報保護法相談ダイヤル 03-6457-9849(https://www.ppc.go.jp )。
ユーザーがB2Bイベント招待リンクから本サービスに参加された場合、参加の時点で表示される同意画面において明示的に同意されたときに限り、以下の情報が当該主催者に対して開示されます (1)登録されたアレルゲンおよびその重篤度 (2)食事制限 (3)エピネフリン自己注射器(エピペン等)の携帯の有無 (4)カード設定状況。これらは要配慮個人情報に該当するため、個人情報保護法第27条第2項に基づき、ユーザー本人の事前明示同意を得たうえでのみ提供されます。 主催者は、提供を受けた情報を、当該イベントで訪問する飲食店等への食事内容の調整・伝達、および緊急時対応の準備という限定された目的のためにのみ利用します。それ以外の目的(SNS等での公開、商業利用、第三者への販売、イベント運営上必要な範囲を超えた第三者への開示、印刷物の保険会社・人事評価その他への流用等)に利用することは禁止されます(B2B利用規約第8条)。 主催者は、参加者から提供を受けた個人情報を自らの管理下で取り扱うため、個人情報保護法上の「個人情報取扱事業者」または「個人データの取扱いを受託する者」としての義務(安全管理措置、漏えい時の本人通知・委員会報告、保有期間経過後の遅滞ない削除等)を負う場合があります。主催者は、自らこれらの法令上の義務を遵守する責任を負います。当社は、主催者がダウンロードし又は印刷した後の個人データの取扱いについて責任を負いません。 ユーザーは、招待リンクからの参加を希望されない場合は同意画面で参加を辞退し、通常のアカウント登録により個人利用としてご利用いただけます。参加後はいつでも自身のアカウント設定から当該イベントから離脱することができ、離脱以降は主催者ダッシュボード上の閲覧はできなくなります。ただし、離脱以前に主催者がダウンロード・印刷等により取得した情報の取扱いは、当該主催者の責任で管理されます。
本ポリシーの法的拘束力を持つ言語は日本語版です。本サービスにおける個人情報の取扱いは、個人情報の保護に関する法律(以下「個人情報保護法」または「PIPA」)に準拠します。