プライバシーポリシー / Privacy Policy
制定日: 2026 年 5 月 16 日 / 完全版発効日: 2026 年 5 月 25 日 / 最終更新: 2026 年 6 月 6 日
Effective date: May 16, 2026 / Full version: May 25, 2026 / Last updated: June 6, 2026
Hineri (屋号、 個人事業者。 以下「当方」) は、 Notion テンプレートカタログ「Hineri」 (以下「本サービス」) の提供にあたり、 ユーザーの個人情報を以下のとおり取り扱います。 本ポリシーは日本の個人情報保護法、 EU 一般データ保護規則 (GDPR)、 米国カリフォルニア州消費者プライバシー法 (CCPA + CPRA)、 英国 GDPR (UK GDPR) に準拠して策定されています。
Hineri (sole proprietorship operating in Japan) acts as the data controller. This privacy policy is provided in Japanese with English summary headings; if you need a full English translation for GDPR/CCPA compliance review, please contact us at hineri.biz@gmail.com.
1. 取得する個人情報 / Categories of Personal Information Collected
当方が本サービスの提供に際して取得する個人情報のカテゴリは以下のとおりです:
- 購入時に各販売プラットフォームから提供される情報:
- メールアドレス (注文確認・サポート対応)
- 氏名 (購入者識別、 各プラットフォームで形式は異なる)
- 配送先住所 (デジタル商品のため通常は不要、 BOOTH 等で物販同梱した場合のみ)
- 支払情報の決済処理用識別子 (transaction ID、 card 末尾 4 桁等。 完全なカード番号は当方では取得せず Stripe / 各社のみが保持)
- 購入履歴 (商品名、 金額、 日時、 store 別)
- お問い合わせ・サポート時にいただく情報: メールアドレス、 お問い合わせ内容、 やり取りの履歴
- Newsletter / X 等 SNS 経由のフォロー情報: メールアドレス (Newsletter 登録時)、 SNS handle (DM やり取り時)
- サイト閲覧時に自動取得される情報: アクセスログ、 IP アドレス、 ブラウザ種別、 リファラ、 アクセス日時 (Cloudflare アクセスログ経由、 IP 等は最大 30 日保管)
- 未取得カテゴリ (明示): 当方は性別 / 年齢 / 健康情報 / 政治信条 / 宗教信条 / 性的指向 / 生体認証データ / 位置情報 (precise geolocation) / 児童 (13 歳未満) の個人情報を意図的に取得しません。 GDPR 第 9 条 special category data、 CCPA sensitive personal information、 COPPA の対象データは全て本サービスの取得対象外です。
2. 利用目的 / Purposes of Use
- 商品の提供 (Notion テンプレ複製可リンク・PDF の配信)
- お問い合わせ・サポートへの対応
- Newsletter の配信 (登録同意済ユーザーのみ)
- 本サービスの改善・新機能検討のための統計分析 (個人を特定しない集計形式)
- 法令遵守 (特定商取引法・電子帳簿保存法・税務申告・GDPR / CCPA 等の権利行使対応)
- 不正利用の検知・防止 (異常な購入パターン、 利用規約違反の検知)
3. 処理の適法根拠 / Lawful Basis of Processing (GDPR Art.6)
EU/EEA/UK 在住の方の個人情報処理に関する適法根拠 (GDPR Art.6) は以下のとおりです:
- 契約の履行 (Art.6(1)(b)): 購入したテンプレ・PDF ガイドの配信、 サポート対応
- 法的義務の遵守 (Art.6(1)(c)): 税務記録の保存 (7 年)、 法令に基づく開示請求への対応
- 正当な利益 (Art.6(1)(f)): サービス改善のための統計分析、 不正利用の検知・防止 (権利・自由を不当に侵害しない範囲)
- 同意 (Art.6(1)(a)): Newsletter 配信、 分析 Cookie (将来導入時)、 マーケティング用途
GDPR 第 9 条の special category data は当方では取得しないため、 本ポリシー対象外です。
4. 第三者提供 / Third-Party Disclosure
当方は、 以下の場合を除いて取得した個人情報を第三者に提供しません:
- ユーザーの同意がある場合
- 法令に基づく場合 (税務調査、 捜査機関からの正式な照会、 裁判所命令等)
- 業務委託 (決済プラットフォーム・配信プラットフォーム・メール送信サービス・税理士) で必要な範囲
- 事業承継 (M&A、 事業譲渡) に伴う場合 (事前にユーザーに通知)
当方は個人情報を「販売」 (sell) しません。 CCPA / CPRA における Sale or Share (広告 ID シェアを含む) も行いません。
5. 業務委託先 / Service Providers (Subprocessors)
2026 年 6 月時点での業務委託先は以下のとおりです。 各社は当方との契約 (DPA: Data Processing Agreement) に基づき、 本ポリシーの目的を超える利用を禁じられています:
- Lemon Squeezy (米国、 Lemon Squeezy LLC): 英語圏販売・MoR (Merchant of Record) 業務代行、 決済処理、 顧客サポートの一部
- BOOTH (日本、 pixiv 株式会社): 日本国内販売、 決済処理、 配信
- Gumroad (米国、 Gumroad, Inc.): 英語圏販売、 決済処理、 配信
- Polar (米国、 Polar Software Inc.): クリエイター向け販売、 決済処理
- Stripe (米国、 Stripe, Inc.): Lemon Squeezy / Gumroad / Polar の決済処理基盤
- Cloudflare (米国、 Cloudflare, Inc.): サイトホスティング、 DNS、 アクセスログ (CDN edge network)
- Google LLC (米国): 業務用メールアドレス Gmail (hineri.biz@gmail.com 経由のサポート対応)
- Notion Labs, Inc. (米国): テンプレート複製可リンクのホスティング、 商品の配信基盤
- 日本国内の税理士 (税務申告に必要な範囲、 個別契約)
6. 越境データ移転 / Cross-Border Data Transfers
当方は日本を主たる事業所在地としますが、 業務委託先の多くは米国に所在します。 越境移転に関する適切な保護措置は以下のとおりです:
- EU/EEA/UK → 米国: GDPR 第 46 条に基づく標準契約条項 (Standard Contractual Clauses, 2021/914/EU) の適用、 または EU-US Data Privacy Framework (DPF) 認証企業 (Stripe / Cloudflare 等の認証取得済企業)
- 日本 → 米国: 個人情報保護法第 28 条に基づく本人同意の取得、 または委託先の体制整備 (DPA 締結、 委託先監督)
- スイス → 米国: Swiss-US Data Privacy Framework または SCC の適用
越境移転に関する詳細な情報、 適用される SCC のコピー等は hineri.biz@gmail.com までご請求ください。
7. 保管期間 / Data Retention
- 購入履歴: 税務申告のため 7 年間 保管 (所得税法・電子帳簿保存法)
- お問い合わせ履歴: 対応完了後 3 年 保管 (再対応・紛争対応のため)
- Newsletter 登録情報: 同意撤回 (unsubscribe) まで保管、 撤回後 30 日以内に削除
- アクセスログ (IP 等): 最大 30 日 (Cloudflare 既定)
- 同意撤回・削除請求があった情報: 法定保管義務の範囲を除き、 受領後 30 日以内に削除
8. ユーザーの権利 / Data Subject Rights (DSR)
当方が保有する自身の個人情報について、 各国の法令に基づき以下の権利を行使できます:
8.1 日本 (個人情報保護法 第 28 条〜第 35 条)
- 開示の請求 (第 33 条) — 当方が保有する個人データの内容を開示
- 訂正・追加・削除の請求 (第 34 条) — 内容が事実と異なる場合
- 利用停止・消去・第三者提供停止の請求 (第 35 条) — 利用目的外利用、 不正取得、 越境移転の同意撤回等
8.2 EU/EEA/UK (GDPR Art.13-22 + UK GDPR)
- Art.13/14 — 取得時の情報提供を受ける権利 (本ポリシーで充足)
- Art.15 — アクセス権 (Right of access)
- Art.16 — 訂正権 (Right to rectification)
- Art.17 — 消去権 / 忘れられる権利 (Right to erasure / right to be forgotten)
- Art.18 — 処理制限権 (Right to restriction of processing)
- Art.20 — データポータビリティ権 (Right to data portability、 構造化・機械可読形式での提供)
- Art.21 — 異議申立権 (Right to object、 正当な利益・マーケティングを根拠とする処理に対し)
- Art.22 — 自動意思決定の対象とされない権利 (当方は purely automated decision-making を行いません)
- Art.77 — 監督機関への申立権 (居住国のデータ保護監督機関、 例えばアイルランド DPC / ドイツ州 DPA 等)
8.3 米国カリフォルニア州 (CCPA + CPRA、 2023 改正以降)
- Right to Know — 過去 12 ヶ月の取得・利用・開示の categories を知る権利
- Right to Delete — 削除請求権 (法定例外を除く)
- Right to Correct (CPRA 追加) — 不正確な情報の訂正請求権
- Right to Opt-Out of Sale or Share — 当方は Sale も Share も行っていませんが、 念のため: hineri.biz@gmail.com へのご連絡で明示的に opt-out 可能
- Right to Limit Use of Sensitive Personal Information — 当方は sensitive PI を取得しません
- Right to Non-Discrimination — 権利行使を理由として商品提供・価格・品質を差別しません
- Global Privacy Control (GPC) signal の受領: 本サイトは GPC signal (ブラウザヘッダ `Sec-GPC: 1`) を受領した場合、 当該訪問者を opt-out 状態として処理します。 但し当方は元々 Sale/Share を行わないため、 機能的には現状変化なし。
8.4 権利行使の方法
各国の権利行使は hineri.biz@gmail.com へメールで請求してください。 本人確認の後、 以下の期間内に対応します:
- 日本: 個情法上の合理的期間 (通常 14 日以内、 複雑な場合 30 日以内)
- EU/EEA/UK (GDPR Art.12): 受領から 30 日以内 (複雑な場合は 60 日延長可、 延長時は理由を通知)
- 米国カリフォルニア州 (CCPA): 受領から 45 日以内 (45 日延長可、 計 90 日以内)
権利行使に対する料金は無料です (CCPA に基づき例外的に過度な請求は拒否または合理的費用を請求する場合あり)。
9. データ保護責任者 (DPO) / Data Protection Officer
当方は個人事業者であり、 GDPR 第 37 条で求められる DPO の指名義務はありません (大規模な systematic monitoring または special category data の大規模処理を行わないため)。 但し、 データ保護に関する一次窓口として、 運営者 (Hineri) が直接対応します。 ご連絡は hineri.biz@gmail.com までお願いします。
10. Cookie ・ トラッキング / Cookies & Tracking
本サイトで使用する Cookie は以下のとおりです:
- 必須 Cookie (essential): Cloudflare の DDoS 防御・bot 検知用 (`__cf_bm` 等)。 サイト機能維持に必要なため同意取得対象外 (ePrivacy Directive の essential exception 該当)。 保持期間: セッション中または最大 30 分
- 分析 Cookie (analytics): 現状未使用。 将来 Plausible Analytics 等のプライバシー配慮型ツール (cookie-less / no fingerprinting / IP anonymization) を導入する場合は、 本ポリシーを改訂し、 EU/UK 訪問者に対しては事前同意 (opt-in) を取得します。
- 広告 Cookie (advertising): 当方は使用しません。 第三者広告は配信していません。
Cookie の無効化はブラウザ設定で可能ですが、 必須 Cookie を無効化するとサイトが正常に動作しない場合があります。
11. AI 利用の開示 / AI Usage Disclosure
本サービスのテンプレ設計・検証・LP 制作・翻訳・カスタマーサポート初稿には AI (大規模言語モデル) を活用しています。 テンプレ最終成果物は人間が設計・確認したものですが、 制作過程で AI を使用していることを以下の法令に基づき明示します:
- 景品表示法 (日本): ステマ規制 / 不実証広告の防止
- USCO 2023 ガイダンス (米国著作権局): AI 生成物の著作権登録時の開示
- EU AI Act (2024 採択、 段階施行): Article 50 透明性要件 (AI 出力の明示)
AI による自動意思決定 (GDPR Art.22) は行っていません。 商品仕様・価格・サポート対応は全て人間が最終判断します。
12. 児童のプライバシー / Children's Privacy
本サービスは 13 歳未満 (COPPA)・16 歳未満 (GDPR 一部加盟国基準) を対象としていません。 当方が未成年者の個人情報を取得した場合、 速やかに削除します。 未成年者の保護者の方は hineri.biz@gmail.com までご連絡ください。
13. データ侵害時の対応 / Data Breach Response
個人情報漏洩・滅失・毀損その他のデータ侵害が発生した場合、 法令に基づき以下の対応を行います:
- 日本: 個情法第 26 条に基づき、 個人情報保護委員会への報告 (速やか・確報 30 日以内) + 影響を受ける本人への通知
- EU/EEA/UK: GDPR Art.33/34 に基づき、 監督機関への通知 (72 時間以内) + 高リスク時の本人通知
- 米国: 州法 (California Civil Code 1798.82 等) に基づく通知義務の履行
14. 改訂 / Amendments
本ポリシーは必要に応じて改訂される場合があります。 改訂後の内容は本ページに掲載した時点で発効します。 重要な変更は X (@hineri_dev) で告知します (Newsletter 登録者にはメールでお知らせする場合があります)。 改訂履歴は本ページ末尾を参照してください。
15. お問い合わせ先 / Contact
Hineri (屋号、 個人事業者): hineri.biz@gmail.com
所在地: 日本国内 (請求があれば遅滞なく開示します、 特商法 11 条準拠)
運営責任者: 請求があれば遅滞なく開示します
16. 改訂履歴 / Revision History
- 2026 年 5 月 16 日 — 初版 stub (KYC 通過用最小構成)
- 2026 年 5 月 25 日 — 完全版発効 (個人情報保護法 + GDPR Art.13-22 + CCPA/CPRA + COPPA + ePrivacy + DPF/SCC 越境移転対応を網羅、 ローンチ準備完了)
- 2026 年 6 月 6 日 — 販売開始に伴う軽微更新 (業務委託先の時点表記を更新、 改訂告知の表現を調整)