フィールフロウ プライバシーポリシー
変更内容
v1.2.0: シャドウアカウント条項を削除し、ダブルオプトイン・匿名購読者(newsletter_subscribers)モデル・購読カテゴリの独立管理を反映。shadow account パターン撤去(#2078)と整合。
本文
プライバシーポリシー
最終更新日: 2026年4月19日
株式会社フィールフロウ(以下「当社」)は、FeelFlow AI Ecosystem に属するサービス(以下「本サービス」と総称)において取り扱う個人情報について、個人情報の保護に関する法律(以下「個人情報保護法」)その他の関連法令を遵守し、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
1. 個人情報の収集
当社は、本サービスの提供にあたり、以下の個人情報を収集します。
1.1 ユーザーから直接取得する情報
| 情報の種類 | 具体例 |
|---|---|
| アカウント情報 | 氏名、メールアドレス、パスワード(ハッシュ化して保存) |
| 組織情報 | 組織名、所在地、担当者情報 |
| 決済情報 | クレジットカード情報(Stripe が直接処理し、当社はカード番号を保持しません) |
| プロフィール情報 | 表示名、アバター画像、言語設定 |
| 問い合わせ情報 | 問い合わせフォームまたはお問い合わせ窓口を通じて提供される氏名、メールアドレス、会社名、電話番号、カテゴリ、問い合わせ内容 |
| マーケティング配信設定 | 購読カテゴリ(問い合わせフォロー通信・定期メルマガ)ごとのオプトイン状態、ダブルオプトインの確認日時、解約日時、解約理由(任意) |
| 同意記録 | 利用規約・プライバシーポリシー・マーケティング通信への同意日時、同意したバージョン、同意時のIPアドレスおよびユーザーエージェント |
1.2 サービス利用に伴い自動的に取得する情報
| 情報の種類 | 具体例 |
|---|---|
| アクセスログ | IPアドレス、アクセス日時、リクエスト内容 |
| デバイス情報 | ブラウザ種別、OS、画面解像度 |
| Cookie 情報 | セッション管理用 Cookie、認証トークン |
| 利用状況 | ログイン履歴、機能利用状況、エラーログ |
| 問い合わせ送信時のメタ情報 | 送信元IPアドレス、ユーザーエージェント、送信元サービス(本サービスのドメインまたは連携ウェブサイト) |
| メール配信実績 | マーケティング通信の送信履歴、開封・クリック状況、バウンス回数 |
1.3 第三者から取得する情報
- ソーシャルログイン(Google、GitHub 等)を利用した場合、認証プロバイダから提供される公開プロフィール情報
- 当社の連携ウェブサイト(コーポレートサイト等)の問い合わせフォームを経由して送信された情報
1.4 匿名購読者(newsletter_subscribers)として取得する情報
FeelFlow ID Platform のアカウントを作成せずにマーケティング通信の受信のみを希望される方(利用規約第12条に定める「匿名購読者」)については、当社は当該受信者の登録情報を、ユーザーアカウントとは論理的に独立したデータベース(newsletter_subscribers テーブル)において管理します。
匿名購読者レコードに保持される情報は以下のとおりです。
- メールアドレス
- 購読カテゴリごとのオプトイン状態(問い合わせフォロー通信・定期メルマガ)
- ダブルオプトイン確認のためのトークンおよび確認日時
- 購読解約用の一意なトークン(RFC 8058 準拠)および解約日時・解約理由(任意)
- 登録経路(source)、言語設定(locale)
- メール配信実績(送信日時、開封・クリック状況、バウンス回数、最終送信日時)
匿名購読者のレコードは、同一メールアドレスに対応する FeelFlow ID Platform のユーザーアカウント(auth.users)が後から作成された場合であっても、自動的に連結されることはなく、別エンティティとして独立に管理されます。匿名購読者の個人情報は、通常のアカウント情報と同等の安全管理措置の下で取り扱います。
2. 利用目的
当社は、収集した個人情報を以下の目的で利用します。
- 本サービスの提供・運営: アカウント認証、シングルサインオン、組織管理
- 課金・決済処理: サブスクリプション管理、請求書発行、支払い処理
- カスタマーサポート: お問い合わせ対応、障害対応
- サービス改善: 利用状況の分析、機能改善、新機能開発
- セキュリティ: 不正アクセスの検知・防止、本人確認
- 法的義務の履行: 法令に基づく対応、税務処理
- 通知・連絡: サービスに関する重要な通知、メンテナンス情報の送信
- マーケティング通信: ユーザーまたは匿名購読者が購読カテゴリごとに明示的に同意し、かつダブルオプトインによる確認を完了した場合に限り、本サービスに関するお知らせ、新機能の案内、イベント情報、ニュースレター等の送信
- 匿名購読者の管理: ダブルオプトインの確認処理、購読カテゴリ(問い合わせフォロー通信・定期メルマガ)ごとの配信状態管理、解約・再購読の処理、配信停止済み受信者への誤送信防止
- 同意記録の保管: 特定電子メール法、個人情報保護法その他関連法令に基づく同意の取得・記録の証跡管理
当社は、上記の利用目的の範囲を超えて個人情報を利用しません。利用目的を変更する場合は、変更後の利用目的を本ポリシーに反映し、ユーザーに通知します。
なお、当社はユーザーの個人情報をAIモデルの学習目的で利用することはありません。
3. 第三者への提供
当社は、以下の場合を除き、ユーザーの同意なく個人情報を第三者に提供しません。
3.1 業務委託先への提供
当社は、本サービスの提供に必要な範囲で、以下の業務委託先に個人情報を提供します。
| 委託先 | 目的 | 提供する情報 | 所在地 |
|---|---|---|---|
| Supabase, Inc. | 認証基盤・データベース | アカウント情報、認証情報 | 米国 |
| Stripe, Inc. | 決済処理 | 決済に必要な情報(氏名、メールアドレス) | 米国 |
| Vercel, Inc. | ホスティング・CDN | アクセスログ(IPアドレス、リクエスト情報) | 米国 |
| Render Services, Inc. | バックエンドホスティング | アクセスログ(IPアドレス、リクエスト情報) | 米国 |
| Cloudflare, Inc. | CDN・エッジコンピューティング | アクセスログ(IPアドレス)、トラフィックデータ | 米国 |
| Twilio Inc.(SendGrid) | メール配信(トランザクショナルメールおよびマーケティング通信) | 氏名、メールアドレス、メール本文、配信実績データ | 米国 |
業務委託先の詳細については、サブプロセッサー一覧をご参照ください。
3.2 法令に基づく提供
法令に基づき開示が求められた場合、裁判所の命令がある場合、または人の生命・身体・財産の保護に必要な場合は、ユーザーの同意なく個人情報を提供することがあります。
4. 委託先の管理
当社は、個人情報の取り扱いを委託する場合、委託先に対して以下の管理を行います。
- 委託先の選定にあたり、個人情報保護の体制を確認します
- 委託契約において、個人情報の取り扱いに関する条項を定めます
- 委託先の個人情報管理状況を定期的に確認します
5. 安全管理措置
当社は、個人情報の漏えい・滅失・毀損を防止するため、以下の安全管理措置を講じます。
5.1 組織的安全管理措置
- 個人情報保護に関する責任者の設置
- 個人情報の取り扱いに関する社内規程の整備
- 個人情報の取り扱い状況の定期的な点検・監査
5.2 人的安全管理措置
- 従業員に対する個人情報保護に関する教育・研修の実施
- 個人情報の取り扱いに関する秘密保持契約の締結
5.3 物理的安全管理措置
- 個人情報を取り扱う区域の管理
- 機器および電子媒体等の盗難防止
5.4 技術的安全管理措置
- 通信の暗号化(TLS/SSL)
- パスワードのハッシュ化保存
- アクセスログの記録・監視
- データベースへのアクセス制御
- 定期的なセキュリティアップデートの適用
5.5 外的環境の把握
当社は、個人データを取り扱う外国(米国、シンガポール)における個人情報の保護に関する制度を把握した上で、安全管理措置を実施しています。
6. 本人の権利
ユーザーおよび匿名購読者は、当社に対して以下の請求を行うことができます。
| 権利 | 内容 |
|---|---|
| 開示請求 | 当社が保有するユーザーの個人情報の開示を求めること |
| 訂正・追加・削除請求 | 個人情報の内容が事実でない場合に訂正等を求めること |
| 利用停止・消去請求 | 利用目的の範囲を超えた利用、不正取得があった場合、または利用する必要がなくなった場合、漏えい等が生じた場合、その他本人の権利利益が害されるおそれがある場合に利用停止等を求めること |
| 第三者提供停止請求 | 第三者への提供について停止を求めること |
| マーケティング通信の解約 | マーケティング通信の受信をカテゴリ単位または一括で停止すること(利用規約第11条第5項に定める方法により、いつでも無料で行えます) |
| 匿名購読者レコードの削除 | 匿名購読者(newsletter_subscribers)として保持される個人情報の完全削除(hard delete)を求めること |
請求手続
上記の請求は、本サービス上のアカウント設定画面から行うか、下記のお問い合わせ窓口までご連絡ください。本人確認の上、法令に定める期間内に対応します。開示請求については、書面の交付に加え、電磁的記録の提供(データダウンロード等)による方法にも対応します。
7. Cookie・アクセスログ
7.1 Cookie の使用
本サービスでは、以下の目的で Cookie を使用します。
- 必須 Cookie: ユーザー認証、セッション管理(Supabase Auth)
- 機能性 Cookie: 言語設定、表示設定の保持
当社は、現時点ではマーケティング目的のトラッキング Cookie(広告配信、行動分析等のサードパーティ Cookie)は使用していません。将来導入する場合は、本ポリシーおよび Cookie ポリシーを更新し、事前に通知するとともに、必要な範囲で同意を取得します。
Cookie の詳細については、Cookie ポリシーをご参照ください。
7.2 アクセスログ
当社は、本サービスのセキュリティ維持およびサービス改善のため、アクセスログを記録します。アクセスログは、個人を特定する目的では使用しません。
8. 個人情報の保存期間
当社は、利用目的の達成に必要な期間に限り個人情報を保存します。
| 情報の種類 | 保存期間 |
|---|---|
| アカウント情報 | アカウント削除後30日間(復旧対応期間) |
匿名購読者データ(newsletter_subscribers) | 購読状態がアクティブである間は配信目的で保持し、購読解約後はソフトデリート状態(unsubscribed_at 記録)のまま誤送信防止の証跡として保持します。削除請求があった場合は、本人確認の上、法令で認められる範囲において速やかに完全削除します。 |
| 決済履歴 | 取引完了後、法令で定められた期間(最大7年) |
| アクセスログ | 取得から1年間 |
| お問い合わせ記録 | 対応完了後3年間 |
| マーケティング配信履歴(送信・開封・クリック・バウンス) | 取得から2年間 |
| 同意記録(利用規約・プライバシーポリシー・マーケティング通信) | 法令に基づく保管義務期間または対応するアカウント削除後7年間のいずれか長い期間 |
保存期間経過後、個人情報は速やかに削除または匿名化します。なお、同意記録については、同意取得の証跡として機能させる必要があるため、対応するアカウントが削除された後も上記期間に限り、個人識別情報を他の業務データから分離した仮名化状態(再識別には別途管理される識別子との突合を要する状態)で、かつ厳格なアクセス制御の下において保管することがあります。
9. 国際的なデータ移転
当社の業務委託先は米国およびシンガポールに所在しています。ユーザーの個人情報は、本サービスの提供に必要な範囲でこれらの国に移転される場合があります。
9.1 移転先国の個人情報保護制度
| 移転先国 | 制度の概要 |
|---|---|
| 米国 | 包括的な連邦データ保護法は存在せず、分野別(セクトラル方式)の法規制が適用されます。カリフォルニア州消費者プライバシー法(CCPA/CPRA)等の州法が一部存在しますが、日本の個人情報保護法と同等の包括的な保護を提供するものではありません。 |
| シンガポール | 個人データ保護法(Personal Data Protection Act: PDPA)が施行されており、個人データの収集・利用・開示に関する包括的な規制が存在します。 |
9.2 移転先が講じる保護措置
当社は、各業務委託先との間でデータ処理契約(DPA)を締結し、以下の保護措置が講じられていることを確認しています。
| 委託先 | 講じている措置 |
|---|---|
| Supabase, Inc. | SOC 2 Type II 認証取得、データ暗号化(保存時・転送時)、DPA締結 |
| Stripe, Inc. | PCI DSS Level 1 認証取得、SOC 2 認証取得、データ暗号化、DPA締結 |
| Vercel, Inc. | SOC 2 Type II 認証取得、データ暗号化、DPA締結 |
| Render Services, Inc. | SOC 2 Type II 認証取得、データ暗号化、DPA締結 |
| Cloudflare, Inc. | SOC 2 Type II 認証取得、ISO 27001 認証取得、データ暗号化、DPA締結 |
| Twilio Inc.(SendGrid) | SOC 2 Type II 認証取得、ISO 27001 認証取得、データ暗号化、DPA締結 |
10. 漏えい等の報告
当社は、個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものが発生した場合、以下の対応を行います。
- 個人情報保護委員会への報告: 速報(事態の発生を知った日から概ね3〜5日以内)および確報(30日以内、不正アクセス等の場合は60日以内)を行います
- 本人への通知: 事態の発生を知った後、速やかに本人に対し、事態の概要、漏えい等が発生した個人データの項目、原因、二次被害のおそれ、その他参考となる事項を通知します
11. 本ポリシーの変更
当社は、法令の変更、サービス内容の変更その他の必要に応じて、本ポリシーを変更することがあります。変更後のポリシーは、本サービス上に掲載した時点で効力を生じます。重要な変更については、メールその他の適切な方法により事前に通知します。
12. お問い合わせ窓口
個人情報の取り扱いに関するお問い合わせは、下記までご連絡ください。
- 事業者名: 株式会社フィールフロウ
- 所在地: 〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティW22階
- 代表者: 代表取締役 服部 淳
- 個人情報保護管理者: 代表取締役
- メールアドレス: contacts@feelflow.net
制定日: 2026年2月17日
改訂日: 2026年4月16日(v1.1.0: 問い合わせ情報・シャドウアカウント・マーケティング配信に関する取扱い追加、SendGrid を業務委託先に追加)
改訂日: 2026年4月19日(v1.2.0: シャドウアカウント条項を削除し、ダブルオプトイン・匿名購読者(newsletter_subscribers)モデル・購読カテゴリの独立管理を反映)
株式会社フィールフロウ