プライバシーポリシー

第1条（はじめに / 適用範囲）

合同会社春と修羅（以下「当社」といいます。）は、当社が運営する会食予約代行サービス「会食ナビ」（以下「本サービス」といいます。）を提供するにあたり、ご利用者（以下「利用者」といいます。）の個人情報を適切に取り扱うことが事業の根幹であると認識しています。

本プライバシーポリシー（以下「本ポリシー」といいます。）は、個人情報の保護に関する法律（平成15年法律第57号。以下「個人情報保護法」といいます。）その他の関係法令、個人情報保護委員会が公表するガイドライン及び告示に従い、本サービスにおける個人情報の取扱いの基本方針を定めるものです。

本ポリシーは、本サービスを通じて当社が取得するすべての個人情報に適用されます。本サービスから外部サイトへのリンクが提供されている場合、当該リンク先における個人情報の取扱いについて当社は責任を負いません。

第2条（定義）

本ポリシーにおいて使用する主要な用語の意義は、次のとおりとします。

• 「個人情報」 —— 個人情報保護法にいう「個人情報」をいい、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。）、又は個人識別符号が含まれるものをいいます。
• 「個人データ」 —— 個人情報保護法にいう「個人データ」をいい、個人情報データベース等を構成する個人情報をいいます。
• 「保有個人データ」 —— 個人情報保護法にいう「保有個人データ」をいい、当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいいます。
• 「要配慮個人情報」 —— 個人情報保護法にいう「要配慮個人情報」をいい、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものをいいます。
• 「個人情報取扱事業者」 —— 個人情報保護法にいう「個人情報取扱事業者」をいい、本ポリシーにおいては当社を指します。
• 「利用者情報」 —— 利用者の識別に係る情報、通信サービス上の行動履歴、その他利用者の端末において生成又は蓄積された情報であって、利用者又は利用者の端末との結びつきにおいて収集されるものをいい、個人情報を含みます。
• 「クライアント側識別子」 —— 利用者が本サービスにアクセスするために用いる端末（ブラウザ、ネイティブアプリケーション及び AI エージェントが起動するコマンドラインインターフェース（以下「CLI」といいます。）を含みます。）の側に保存され、又は当該端末に紐付く形で生成され、利用者若しくは利用者の端末の識別、認証状態の維持その他利用者情報の取得に用いられる技術的情報の総称をいい、Cookie、ローカルストレージ及び IndexedDB その他のブラウザストレージ、ベアラトークン（アクセストークン及びリフレッシュトークンを含みます。）、OS が提供する端末識別子、アプリインスタンス識別子並びにマシン識別子を含みます。
• 「Cookie 等」 —— クライアント側識別子のうち、Cookie、ローカルストレージ及び IndexedDB その他ブラウザに保存される技術的情報をいいます。

第3条（取得する情報）

当社は、本サービスの提供にあたり、次の情報を利用者から取得します。

(1) アカウント情報

• 氏名
• メールアドレス
• 電話番号
• 所属する法人又は団体の名称（法人請求アカウントを作成する場合に限る。）

(2) 予約関連情報

• 予約リクエストの内容（希望日時、人数、エリア、予算、お食事の目的等）
• 料理ジャンル及び雰囲気に関するご希望
• お食事完了後のフィードバック

(3) 要配慮個人情報

利用者の安全及び会食の円滑な実施のため、アレルギー情報その他健康・体質に関する情報を、本サービスの予約リクエストフォームその他の入力画面において利用者の任意の入力に基づき取得することがあります。利用者が当該情報を本サービス上に入力した時点で、当社が当該情報を取得することにあらかじめ同意したものとみなします。これらは個人情報保護法にいう「要配慮個人情報」（病歴その他医療に関する情報）に該当しうるため、第4条に定める利用目的の範囲を超えて取り扱いません。

(4) 決済情報

クレジットカード番号、有効期限及びセキュリティコードを含む決済情報は、決済代行事業者である Stripe, Inc.（以下「Stripe」といいます。）が直接取得し、同社の基準に従って管理します。当社のサーバには保存されません。当社は、Stripe から決済の成否及び支払額等の取引結果情報のみを受領します。

(5) 利用情報

• IP アドレス、ブラウザの種類及び言語、リファラ、アクセス日時、リクエストパス並びにレスポンス結果を含むアクセスログ
• OS の種類及び端末の種別等、利用者の端末から送信される情報

第4条（利用目的）

当社は、取得した個人情報を、次の目的の達成に必要な範囲で利用します。

• 本サービスの提供、運営及び利用者の本人確認
• 予約リクエストの受付、レストランへの予約手配及び連絡調整
• AI による候補レストランのマッチング及び推薦の生成
• 利用料金の請求、決済及びこれらに関する利用者との連絡
• 利用者からのお問い合わせ及びサポート対応
• 本サービスの利用状況の分析、品質改善及び新機能の開発
• 本サービス、関連サービス又はキャンペーンに関するご案内（本人が拒否しない場合に限る。）
• 利用規約その他当社の定めに違反する行為への対応及び不正利用の防止
• 法令、ガイドライン又は監督官庁等の要請に基づく対応

当社は、上記利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、あらかじめ本人の同意を取得します。

第5条（要配慮個人情報の取扱い）

当社は、第3条第(3)号に定める要配慮個人情報について、個人情報保護法に基づき、本人から事前の同意を取得した場合に限り取得します。

当社が取得した要配慮個人情報は、次の目的の範囲内でのみ利用します。

• レストランへの伝達による会食時の安全配慮
• 利用者及び同席者の生命、身体又は健康の保護

要配慮個人情報を第三者に提供する場合、個人情報保護法に従い、原則として本人の同意を取得します。ただし、法令上の例外事由に該当する場合はこの限りではありません。

第6条（個人データの第三者提供）

当社は、次の各号のいずれかに該当する場合を除き、あらかじめ本人の同意を得ないで個人データを第三者に提供しません。

• 法令に基づく場合
• 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
• 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
• 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
• 学術研究機関等に提供する場合であって、提供が学術研究の成果の公表又は教授のためにやむを得ないとき

会食の予約手配の過程で、レストランに対して予約成立に必要な最小限の情報（代表者氏名、人数、日時、連絡先、アレルギー等の特記事項）を提供します。これは利用目的の達成に必要であり、かつ事前に本ポリシーをもって明示することにより、利用者の同意のもとに行うものとします。

第7条（個人データの取扱いの委託）

当社は、利用目的の達成に必要な範囲内で、個人データの取扱いの全部又は一部を外部に委託することがあります。委託先は、個人情報保護法上の「委託」に係る提供を受ける者として「第三者」には該当しないものとされており、当社は委託先に対する必要かつ適切な監督を行います。

本ポリシー作成時点における主要な委託先は次のとおりです。

• Stripe, Inc.（アメリカ合衆国） —— クレジットカード決済の処理
• Google LLC（アメリカ合衆国） —— クラウドインフラストラクチャ（Google Cloud Platform）における個人データの保管及び処理
• Resend, Inc.（アメリカ合衆国） —— 取引関連メール及び通知メールの送信

当社は、委託先の選定にあたり、安全管理措置の水準、契約上の機密保持義務及び監督官庁による行政処分歴等を審査します。委託契約には、再委託の事前承諾、漏えい等発生時の通知義務、契約終了時のデータ返還又は廃棄の義務その他、個人情報保護委員会ガイドラインが求める事項を含めます。

第8条（共同利用）

本ポリシー作成時点において、当社は個人データの共同利用を行っていません。将来、共同利用を開始する場合には、個人情報保護法の定めるところに従い、共同して利用される個人データの項目、共同して利用する者の範囲、利用目的、当該データの管理について責任を有する者の氏名又は名称及び住所等を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置きます。

第9条（外国にある第三者への提供）

当社は、第7条に定める委託に伴い、外国（個人情報保護委員会規則で定める国を除きます。）にある第三者に個人データを取扱わせることがあります。本ポリシー作成時点における該当事業者及び所在国は次のとおりです。

• Stripe, Inc.（アメリカ合衆国）
• Google LLC（アメリカ合衆国。同社が運営する Google Cloud Platform の利用にあたり、当社は東京リージョンを基本として個人データを保管しますが、運用上の都合により他のリージョンへ複製・移転される場合があります。）
• Resend, Inc.（アメリカ合衆国）

上記の提供は、個人情報保護法に基づき、本人の同意を取得し、又は当該外国にある第三者が個人情報の取扱いについて個人情報保護委員会規則で定める基準に適合する体制を整備していることを確認したうえで行います。アメリカ合衆国における個人情報保護制度の概要、各事業者が講じている個人情報の保護のための措置その他参考情報は、第16条の窓口にお問い合わせいただくことで提供します。

第10条（安全管理措置）

当社は、取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために、次の措置を講じます。

(1) 組織的安全管理措置

• 個人データの取扱責任者を定め、責任の所在を明確化
• 個人データの取扱状況を定期的に点検し、必要に応じて改善
• 個人データの漏えい等の事案に対応するための体制及び手順を整備

(2) 人的安全管理措置

• 従業者に対する個人情報の取扱いに関する定期的な教育の実施
• 就業規則及び秘密保持に関する誓約書による従業者の義務化

(3) 物理的安全管理措置

• 個人データを取り扱う区域における入退室管理及び持ち込み機器の制限
• 機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置

(4) 技術的安全管理措置

• 個人データへのアクセス制御及び権限の最小化
• 通信経路の暗号化（TLS）及び保管データの暗号化
• 不正アクセス、不正プログラム及び情報システム障害への対策
• アクセスログの取得及び定期的な監査

(5) 外的環境の把握

外国において個人データを取り扱う場合（第9条に定める委託先における取扱いを含みます。）、当社は当該外国における個人情報の保護に関する制度等を把握したうえで安全管理措置を講じます。

第11条（漏えい等が発生した場合の対応）

当社は、個人データの漏えい、滅失若しくは毀損（以下「漏えい等」といいます。）が発生し、又は発生したおそれがあると認められる場合、個人情報保護法その他関係法令の定めるところに従い、次の対応を行います。

• 速報及び確報による個人情報保護委員会への報告
• 影響を受ける本人への通知（本人の権利利益を保護するため必要な範囲で実施）
• 原因の調査及び再発防止策の検討・実施

ただし、法令上、報告又は通知を要しないものとされる軽微な事案に該当する場合、これらを省略することがあります。

第12条（開示・訂正・利用停止等の請求権）

本人は、当社の保有個人データについて、個人情報保護法に基づき次の請求を行うことができます。

• 利用目的の通知の請求
• 保有個人データの開示の請求
• 内容の訂正、追加又は削除の請求
• 利用の停止又は消去の請求
• 第三者への提供の停止の請求

請求の手続

請求は、第16条のお問い合わせ窓口宛てに、次の事項を明記のうえメールにてご連絡ください。

• 請求の種類
• 請求者の氏名、メールアドレス及び電話番号
• 請求の対象となる保有個人データを特定するための情報

本人確認

請求に応じるにあたり、当社は本人又はその代理人であることを確認するため、当社が指定する方法（請求者のアカウントに登録されたメールアドレスからの送信、本人確認書類の提示等）による確認を求めることがあります。

回答期限及び手数料

当社は、請求受領後、本人確認が完了したものから 30 日以内に書面又はメールにて回答します。請求の対応にあたり、利用目的の通知及び保有個人データの開示の請求については、1 件あたり 1,000 円（消費税別）の手数料を申し受けることがあります。その他の請求は無料で対応します。

不開示事由

次の各号のいずれかに該当する場合、開示等の請求の全部又は一部に応じられないことがあります。この場合、当社は遅滞なくその旨及び理由を本人に通知します。

• 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
• 他の法令に違反することとなる場合
• 請求の対象となる保有個人データが存在しない場合

第13条（クライアント側識別子の利用及び外部送信）

当社は、本サービスの提供にあたり、利用者が本サービスにアクセスする端末の形態（ブラウザ、ネイティブアプリケーション又は AI エージェントが起動する CLI）に応じて、クライアント側識別子を利用します。クライアント側識別子は、それ単独では特定の個人を識別することができない技術的情報ですが、当社のアカウント情報と結びつくことにより、当該利用者に係る情報として取り扱われます。

各クライアント形態において当社が利用するクライアント側識別子の種類、利用目的及び無効化の方法は、次のとおりです。

(1) ブラウザクライアント

利用するクライアント側識別子：Cookie、ローカルストレージ及び IndexedDB その他のブラウザストレージに保存される技術的情報。

利用目的：

• 認証 Cookie —— ログイン状態の維持
• 機能 Cookie 等 —— 言語設定その他、利用者の操作に応じた表示の最適化

本ポリシー作成時点において、当社はアクセス解析を目的とする Cookie その他の識別子をブラウザクライアントに組み込んでいません。将来導入する場合には、その目的、送信先及び利用者がこれを無効化する方法を本ポリシーに追記します。

無効化の方法：利用者は、ブラウザの設定により Cookie 等の受け入れを拒否し、又は受信時に通知を受けることができます。ただし、Cookie 等を無効化した場合、ログイン状態を維持できない等、本サービスの一部の機能をご利用いただけなくなることがあります。

(2) ネイティブアプリケーションクライアント

利用するクライアント側識別子：ログインに伴って当社のサーバが発行するベアラトークン（アクセストークン及びリフレッシュトークンを含みます。）、OS が提供する広告識別子等の端末識別子並びに当社アプリケーションが端末ごとに生成するアプリインスタンス識別子。

利用目的：ログイン状態の維持、利用端末の識別、不正利用の検知、プッシュ通知の配信先の特定その他本サービスの提供及び品質改善のため。

無効化の方法：利用者は、当社アプリケーションの設定画面又は本サービスのアカウント設定からログアウト操作（ベアラトークンの失効）を行うこと、OS の設定により広告識別子のリセット若しくは追跡の制限を行うこと又はアプリケーションを端末から削除することにより、当社による当該識別子の利用を停止することができます。

(3) AI エージェント CLI クライアント

利用するクライアント側識別子：利用者の操作により当社のサーバが発行し、CLI が動作するマシンの認証情報ストア等に保存されるベアラトークン（アクセストークン及びリフレッシュトークンを含みます。）、並びに当該マシンを識別するために CLI が生成するマシン識別子。

利用目的：利用者の認証状態の維持、API 呼出元の識別、不正利用及び異常な利用パターンの検知、利用状況の分析その他本サービスの提供及び品質改善のため。

無効化の方法：利用者は、本サービスのアカウント設定から発行済みベアラトークンを失効させること、CLI のログアウトコマンドを実行することにより当該マシンに保存されたトークンを削除すること又は CLI をマシンから削除することにより、当社による当該識別子の利用を停止することができます。

外部送信について（電気通信事業法の外部送信規律対応）

本ポリシー作成時点において、当社は広告配信、アクセス解析その他の目的で、利用者の端末から第三者の電気通信設備へ利用者情報を送信させるプログラム（いわゆる「外部送信プログラム」）を本サービスに組み込んでいません。これは、ブラウザクライアント、ネイティブアプリケーションクライアント及び AI エージェント CLI クライアントのいずれにおいても同じです。

将来、いずれかのクライアント形態において外部送信プログラムを利用する場合には、電気通信事業法その他関係法令の定めるところにより、送信先となる第三者の名称、送信される利用者情報の内容及びその利用目的を本ポリシー又は本サービス上の専用ページに掲示し、利用者が容易に確認できる状態に置きます。

第14条（未成年者に関する取扱い）

本サービスは、18 歳以上の利用者を対象としています。当社は、18 歳未満の方が本サービスを利用することを想定しておらず、18 歳未満の方から個人情報を意図的に取得することはありません。18 歳未満の方から個人情報を取得していたことが判明した場合、当社は当該個人情報を速やかに削除します。

第15条（保存期間及び消去）

当社は、利用目的の達成に必要な期間、個人情報を保有します。法令により一定期間の保存が義務付けられている情報（税務関係帳簿書類等）については、当該法令の定める期間が経過するまで保有します。

当社は、退会、利用停止又は消去のご請求を受けた場合、合理的な期間内に対象となる個人データについて個人を識別できない状態とするための加工を施します。当社のサービス基盤は予約・決済・評価その他の取引履歴を相互に参照する構造を有するため、当該取引履歴の参照整合性を維持する範囲に限り、加工後の非識別データを継続して保有することがあります。

決済取引情報は、決済代行事業者が一次的に保有し、当社のサーバには決済の成否及び支払額等の取引結果情報のみを保管します。当該取引結果情報は、前各項の方針に従って取り扱います。

アクセスログ、サーバログその他の運用ログは、本サービスの安定運営、不正利用の防止及び障害解析の目的に必要な範囲で保有し、不要となった時点で順次消去します。

第16条（お問い合わせ窓口）

本ポリシーに関するお問い合わせ及び第12条に定める各種請求は、次の窓口までご連絡ください。

• 個人情報取扱事業者：合同会社春と修羅
• 所在地：〒104-0061 東京都中央区銀座1丁目12番4号 N&E BLD.6F
• お問い合わせ先：[email protected]

第17条（本ポリシーの改定）

当社は、法令の改正、本サービスの内容の変更、その他必要があると認める場合、本ポリシーを改定することがあります。

本ポリシーを改定する場合、当社は改定後の本ポリシーの内容及び効力発生時期を、本サービス内又は当社ウェブサイト上に掲示する方法その他の適切な方法により周知します。本人の権利義務に重大な影響を及ぼす改定を行う場合には、効力発生時期を相当の期間前に明示します。

改定後の本ポリシーは、当社が定める効力発生時期から効力を生じ、当該時期以降に本サービスを利用する利用者に適用されます。

第18条（改定履歴）

• 2026 年 6 月 1 日：制定。