プライバシーポリシー

最終更新日: 2026年5月5日

目次

ヒトアシ(以下「当サービス」といいます)は、店舗検索・オンライン予約プラットフォーム「ヒトアシ」(https://1ashi.com)の運営にあたり、個人情報の保護に関する法律(以下「個人情報保護法」といいます)その他の関連法令を遵守し、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます)を定め、利用者の個人情報の適切な保護に努めます。

1. 個人情報取扱事業者

当サービスの個人情報取扱事業者は以下のとおりです。

  • 事業者名: AsamiWorks(個人事業主)
  • 代表者: 浅見 洋輔
  • 連絡先: info@asami-works.com

2. 収集する個人情報

当サービスは、利用者の種別に応じて以下の個人情報を収集します。

(1)店舗オーナー(加盟店)の情報

  • 氏名、メールアドレス、電話番号
  • パスワード(PBKDF2-SHA256方式により不可逆暗号化して保存)
  • 店舗名、店舗所在地、営業時間、業種・カテゴリ情報
  • 店舗画像、ロゴ画像
  • Stripeを通じた決済関連情報(クレジットカード情報は当サービスでは保持せず、Stripe社が管理します)
  • スタッフ情報(氏名、画像、シフト情報)
  • メニュー、コース、テーブル、クーポン等の店舗設定情報

(2)エンドユーザー(予約者)の情報

  • 氏名、メールアドレス、電話番号
  • パスワード(PBKDF2-SHA256方式により不可逆暗号化して保存)
  • 予約内容(日時、人数、選択コース、要望等)
  • 生年月日(酒類を提供する店舗の予約時に年齢確認のため取得する場合があります)
  • 性別(任意項目として取得する場合があります)
  • ポイント残高、お気に入り店舗、クーポン利用履歴

(3)ソーシャルログイン利用者の情報

Google アカウントまたは LINE アカウントを使用してログインされた場合、以下の情報を各サービスから取得します。

  • Google: 氏名、メールアドレス、プロフィール画像URL
  • LINE: 表示名、ユーザーID、プロフィール画像URL、メールアドレス(許可された場合)

(4)全利用者種別共通の取得情報

  • 規約・プライバシーポリシーへの同意取得記録(同意日時、同意したポリシーのバージョン、IP アドレス等)

3. 個人情報の利用目的

当サービスは、収集した個人情報を以下の目的で利用します。

  • 当サービスの提供・運営(店舗検索、予約受付・管理、顧客管理機能の提供)
  • 予約の確認、変更、キャンセルに関する店舗および予約者への連絡
  • 店舗オーナーへの料金請求およびサブスクリプション管理
  • 利用者からのお問い合わせ・サポートリクエストへの対応
  • ポイント付与・利用、クーポン配布・適用の管理
  • サービスの改善、新機能の開発およびユーザー体験の向上
  • 不正アクセス、不正利用の検知・防止およびセキュリティの確保
  • 利用規約に違反する行為への対応
  • 法令に基づく対応および行政機関等からの要請への対応
  • サービスに関する重要な通知(プラン変更、メンテナンス、利用規約変更等)
  • 業務委託先(店舗オーナー等)への個人情報の提供および同提供に伴う取扱状況の継続的な監督(個人情報保護法第 25 条準拠)
  • 個人情報の漏えい、滅失、毀損その他の事故が発生した場合の本人通知および個人情報保護委員会への報告のため(個人情報保護法第 26 条)
  • 保有個人データの利用目的の通知、開示、訂正・追加・削除、利用停止、第三者提供停止その他の請求への対応のため(個人情報保護法第 33 条以下)
  • 規約およびプライバシーポリシーへの同意取得記録の管理ならびに証跡保全のため

4. 個人情報の第三者提供

当サービスは、以下の場合を除き、あらかじめ利用者の同意を得ることなく個人情報を第三者に提供することはありません。

  • 予約者が予約を行った場合、当該予約の遂行に必要な範囲で、予約先の店舗オーナーに対して予約者の氏名、連絡先、予約内容等を提供する場合(次条「業務委託先への提供」に基づく委託の一形態として行います)
  • 法令に基づく場合
  • 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  • 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  • 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合

当サービスは、本人の同意に基づき個人データを第三者に提供する場合は、個人情報保護法第 29 条に基づき、提供年月日、提供先の氏名又は名称、提供した個人データの項目、本人の同意取得状況等の記録を作成し、原則として 3 年間保存します。本人から個人情報保護法第 33 条等に基づく開示請求があった場合、本ポリシー第 10 章「保有個人データの開示等の請求」に従い、当該記録の開示等の請求にも対応します。

なお、当サービスは利用者の個人情報を広告目的で第三者に販売・提供することは一切行いません。

5. 業務委託先への提供

当サービスは、利用目的の達成に必要な範囲内において、個人情報の取り扱いの全部または一部を以下の外部サービスおよび店舗オーナー(加盟店)に委託する場合があります。委託にあたっては、個人情報保護法第28条に基づき、委託先の選定、委託契約の締結(または利用規約等を通じた取扱条件の合意)、および委託先における個人情報の取扱状況の確認を継続的に行い、適切な監督を実施します。なお、当サービスは個人情報の取扱いについて「共同利用」(個人情報保護法第27条第5項第3号)の構成は採用せず、外部サービス委託および予約管理機能を通じた店舗オーナーへの委託の枠組みにおいて個人情報を取り扱います。

(1)外部サービスへの委託

  • Stripe, LLC およびそのグループ会社(米国): サブスクリプション決済処理、店舗オーナー向けオンライン決済の仲介。日本を含むアジア太平洋地域のデータコントローラーは Stripe Technology Company, Limited(アイルランド)。クレジットカード情報はStripe社が直接管理し、当サービスでは保持しません。
  • Supabase, Inc.(米国): データベース(PostgreSQL)のホスティング。利用者の個人情報を含むデータの保管に使用しています。Supabase, Inc. は当該データベースの運用基盤として Amazon Web Services, Inc.(米国)のクラウドインフラを再委託先として利用しており、データの物理的な保管場所は AWS のアジア太平洋(インド・ムンバイ、ap-south-1)リージョンに所在します。
  • Plus Five Five, Inc.(米国、d/b/a Resend): 予約確認メール、パスワードリセットメール、本人確認メール等のメール配信に使用しています。
  • Cloudflare, Inc.(米国): 当サービスのホスティング基盤(Cloudflare Workers)および静的アセット配信として使用しています。アクセス時の通信データが同社のグローバルネットワークを経由します。
  • Google LLC(米国): Google OAuth 認証(Google アカウントによるログイン機能)および Google Analytics によるアクセス解析の提供元として使用しています。
  • LINEヤフー株式会社(日本): LINEログイン認証機能の提供元として使用しています。

(2)店舗オーナー(加盟店)への委託

予約者が当サービスを通じて予約を行った場合、当該予約に係る店舗オーナーは、当サービスのダッシュボードを通じて予約管理機能を利用し、予約者の氏名・連絡先・予約内容等の個人情報を取り扱います。店舗オーナーによる当該個人情報の取扱いは、当サービスからの委託に基づくものとして位置付けられ、当サービスの利用規約(店舗オーナー向け)および本ポリシーに従って行われます。当サービスは、店舗オーナーに対して個人情報の適切な取扱いを要請し、必要に応じて取扱状況の確認を行います。

店舗オーナーは、本サービスを通じて取得した予約者の個人情報を、本サービスの予約管理機能を通じた予約者への対応 (来店確認、予約変更、予約に関する連絡等) の目的の範囲内でのみ利用するものとし、それ以外の目的 (店舗独自のマーケティング、メールマガジン送信、SNS 勧誘、自社顧客データベースへの取込等) には利用できません。これらの目的での利用を行う場合、店舗オーナーは別途予約者から同意を取得する必要があります。

6. 個人データの安全管理措置

当サービスは、個人データの漏洩、滅失、毀損の防止その他の安全管理のために、以下の措置を講じています。

  • 通信の暗号化: 当サービスの全ての通信はHTTPS(TLS)により暗号化されています。
  • パスワードの保護: 利用者のパスワードはPBKDF2-SHA256方式(100,000回イテレーション)により不可逆暗号化して保存しており、平文での保存は一切行いません。
  • アクセス制御: データベースへのアクセスは認証済みのサービスからのみ可能とし、ロールベースのアクセス制御を実施しています。
  • 認証トークンの管理: JWT(JSON Web Token)によるセッション管理を採用し、トークンの有効期限を設定しています。
  • レートリミット: 不正なアクセスの試行を防止するため、ログインを含む主要なエンドポイントにレートリミットを設けています。
  • 定期的な見直し: セキュリティ対策については、技術動向を踏まえ定期的に見直しを行います。

万一、個人データの漏えい、滅失、毀損その他の事故が発生した場合、当社は個人情報保護法 26 条に基づき、速やかに個人情報保護委員会への報告および本人への通知を行います。報告および通知の内容・タイミングは、個人情報保護委員会のガイドラインに従います。

7. 個人データの越境移転

当サービスでは、サービスの提供にあたり、以下の外国にある事業者が提供するサービスを利用しています。これに伴い、利用者の個人データが日本国外に移転される場合があります。

  • 米国: Stripe, LLC およびそのグループ会社(決済処理。日本を含むアジア太平洋地域のデータコントローラーは Stripe Technology Company, Limited(アイルランド))
  • 米国: Supabase, Inc.(データベース運営事業者。米国法人)
  • インド: Amazon Web Services, Inc. が運営するアジア太平洋(インド・ムンバイ、ap-south-1)リージョンのクラウドインフラ(Supabase, Inc. の再委託先として、データベースに保管される個人情報の物理的な保管場所)
  • 米国: Plus Five Five, Inc.(d/b/a Resend、メール配信)
  • 米国: Cloudflare, Inc.(ホスティング基盤(Cloudflare Workers)および静的アセット配信)
  • 米国: Google LLC(Google OAuth 認証および Google Analytics によるアクセス解析)

これらの事業者への提供は、いずれも当サービスの業務委託の一環として行うものであり、個人情報保護法第 28 条第 1 項括弧書きおよび個人情報保護法施行規則第 16 条に基づく「個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している事業者」への提供として、本人の同意取得を要しない枠組みで運用しています。当サービスは、各事業者の選定にあたり、当該事業者が日本の個人情報保護法に相当する保護水準を満たしていることを、各社のデータ処理契約(DPA)、セキュリティ認証(SOC 2 Type II、ISO/IEC 27001、EU-U.S. Data Privacy Framework 等)、契約上のデータ保護条項等を通じて継続的に確認しています。

米国は OECD プライバシー 8 原則に概ね準拠する個人情報保護制度を有しますが、日本のような包括的な個人情報保護法は連邦レベルでは存在せず、州法(カリフォルニア州消費者プライバシー法(CCPA)等)およびセクトラル法(HIPAA 等)による対応となっています。当サービスでは、上記米国事業者がそれぞれのプライバシーポリシーおよびセキュリティ対策において、個人情報保護法第 28 条の趣旨に照らして適切な保護水準を維持していることを確認のうえで委託しています。

インドは、2023 年 8 月に Digital Personal Data Protection Act 2023 が制定され、包括的な個人情報保護法制を整備していますが、本法の施行は段階的に進められています。当サービスでは、Supabase, Inc. が AWS のインド・ムンバイリージョンを再委託先として選定するにあたり、AWS が ISO/IEC 27001、SOC 2 Type II 等の国際的なセキュリティ認証を取得し、データ処理契約(DPA)を通じて適切な安全管理措置を継続的に実施していることを、Supabase, Inc. との委託契約および Supabase, Inc. の公表するセキュリティ情報を通じて確認しています。

各事業者のプライバシーポリシー(英文の場合あり)については、それぞれの公式ウェブサイトにてご確認いただけます。なお、移転先国の個人情報の保護に関する制度の詳細については、個人情報保護委員会が公表する「外国における個人情報の保護に関する制度等についての調査結果」(米国編およびインド編)もあわせてご参照ください。

8. Cookieの使用について

当サービスでは、以下の目的でCookieを使用しています。利用者種別ごとの認証Cookieは、JWT(JSON Web Token)を格納したセッションCookieとそれを更新するための refresh token Cookie の組で発行されます。すべて HttpOnly / Secure / SameSite=Lax 属性を付与しています。

(1)認証Cookie

  • geo_session / geo_refresh: エンドユーザー(予約者)のログイン状態維持。ログイン後に発行され、解約・退会まで保持されます。
  • geo_owner_session / geo_owner_refresh: 店舗オーナーのログイン状態維持。ダッシュボードへのログイン後に発行されます。
  • geo_admin_session / geo_admin_refresh: 管理者のログイン状態維持。管理画面へのログイン後に発行されます。
  • imp_admin_id / imp_admin_name: 管理者が店舗オーナーとしてサービス挙動を確認する代理操作中にのみ発行される識別Cookie。代理操作の終了時に削除されます。

(2)操作補助Cookie

  • selected_store_id: 店舗オーナーがダッシュボード内で複数店舗を切り替える際の選択状態を保持します。
  • geo_phone_prompt: マイページで電話番号入力をお願いする1回限りのバナー表示制御に使用します。表示後は自動的に削除されます。

(3)アクセス計測Cookie

  • _1ashi_vid: 店舗詳細ページおよび予約ページにおいて、訪問者単位の重複アクセスを除外して店舗オーナーへ正確な訪問数を提供するための匿名識別子。32桁のランダム値で、特定の個人を識別する情報は含みません。有効期限は1年です。
  • _1ashi_utm: 流入元(UTMパラメータ)を予約完了時まで一時的に保持するためのCookie。広告効果測定の精度向上に使用し、有効期限は30分です。

当サービスでは、広告配信目的のリマーケティングCookieは使用しておりません。Google アナリティクスは現在利用していますが、IP匿名化を有効にしています。

利用者はブラウザの設定によりCookieを無効にすることができますが、無効にした場合、ログインが必要な機能(予約管理、マイページ、ダッシュボード等)をご利用いただけなくなります。

9. アクセスログについて

当サービスでは、サービスの安定的な運営およびセキュリティの確保のため、以下のアクセスログ情報を自動的に収集しています。

  • IPアドレス
  • ブラウザの種類およびバージョン
  • アクセス日時
  • リクエストURL
  • リファラ(参照元URL)

これらの情報は、不正アクセスの検知・防止、障害対応およびサービスの改善のために利用するものであり、これらの情報のみをもって特定の個人を識別することは行いません。

また、当サービスでは、店舗ページへの流入経路を把握するためにUTMパラメータ(URLに付与されるマーケティング用パラメータ)を記録する場合があります。これはCookieを使用せず、URLパラメータの記録のみを行うものです。

10. 保有個人データの開示等の請求

利用者は、個人情報保護法に基づき、当サービスが保有する自己の個人データについて、以下の請求を行うことができます。

  • 利用目的の通知
  • 開示
  • 内容の訂正、追加または削除
  • 利用の停止または消去
  • 第三者への提供の停止

請求方法: 下記お問い合わせ窓口(info@asami-works.com)宛てに、請求内容を明記のうえメールにてご連絡ください。

本人確認: 請求にあたっては、ご本人であることを確認するため、登録済みメールアドレスからの送信、その他本人確認書類の提示をお願いする場合があります。

手数料: 開示請求については、実費の範囲内で手数料をいただく場合があります(上限 1,000円・税込)。手数料が発生する場合は、事前にお知らせいたします。

回答期間: 原則として、請求を受け付けてから2週間以内に回答いたします。ただし、調査に時間を要する場合は、その旨をご連絡のうえ、回答期間を延長させていただく場合があります。

開示等の請求の受付・本人確認・回答手順・不開示事由・漏えい等発生時の通知等に関する詳細な運用は、docs/privacy-disclosure-sop.md(社内 SOP)に定めるところに従います。

11. 個人データの保持期間

当サービスは、利用者の個人データを以下の期間保持します。

  • アカウント情報: 退会手続き完了後、30 日以内に当社サービス本体から物理削除します。バックアップシステムからの完全消去は、バックアップローテーション期間として最大 6 か月以内に完了します。バックアップ保持期間中も、当該データへのアクセスはサービス運用上必要な場合 (システム障害復旧、不正利用調査、法令対応等) に限定されます。
  • 予約データ: 予約完了後、店舗運営および法令遵守の観点から合理的な期間(最大3年間)保持します。
  • 決済関連情報: 法令で定められた期間(特定商取引法および税法上の保存義務期間)保持します。
  • アクセスログ: セキュリティ確保のため合理的な期間(最大1年間)保持した後、削除します。
  • メール送信ログ: サービス運営上必要な期間保持します。

保持期間経過後の個人データは、速やかに削除または匿名化いたします。利用者からの削除請求があった場合は、法令上の保存義務がある場合を除き、合理的な期間内に削除いたします。

12. 未成年者の個人情報

当サービスは、16歳未満の方から意図的に個人情報を収集することはありません。16歳未満の方が当サービスを利用する場合は、保護者の同意を得たうえでご利用ください。

また、酒類を提供する店舗への予約の際には、法令に基づき予約者の年齢確認を行う場合があります。20歳未満の方は、酒類を提供する店舗への予約はできません。

保護者の方が、お子様の個人情報が当サービスに登録されていることに気付かれた場合は、下記お問い合わせ窓口までご連絡ください。速やかに対応いたします。

13. プライバシーポリシーの変更

当サービスは、法令の改正、サービス内容の変更、その他必要に応じて本ポリシーを変更することがあります。ただし、個人情報の利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行うことはありません(個人情報保護法第 17 条第 2 項)。

本ポリシーを変更する場合は、変更後の内容を当サービスのウェブサイト上に掲載いたします。重要な変更(個人情報の利用目的の変更、第三者提供先の追加等)を行う場合は、登録済みのメールアドレス宛てに事前に通知いたします。

変更後のプライバシーポリシーは、当サービスのウェブサイトに掲載した時点から効力を生じるものとします。

14. お問い合わせ窓口

個人情報の取り扱いに関するお問い合わせ、苦情、ご相談は、以下の窓口までご連絡ください。

事業者名: AsamiWorks(個人事業主)

代表者: 浅見 洋輔

メールアドレス: info@asami-works.com

お問い合わせをいただいた場合、内容を確認のうえ、原則として1週間以内に回答いたします。