プライバシーポリシー / v1.3 / 最終更新 2026/05/26
プライバシーポリシー
「ながたもん」(以下「本サービス」)の運営者(以下「運営」)は、本サービスを利用するユーザーのプライバシーを尊重し、個人情報の保護を最重要と位置付けます。本ポリシーは、個人情報の保護に関する法律(以下「個人情報保護法」)に基づき、本サービスにおける個人情報の取り扱いを定めるものです。
1. 個人情報取扱事業者の表示
| 項目 | 内容 |
|---|---|
| 事業者名 | ながたもん編集部 |
| 運営形態 | 個人運営(運営者本人) |
| 連絡先(個人情報保護法に基づく窓口) | [email protected] |
2. 収集する情報
2-1. 自動的に収集する情報
本サービスへのアクセス時に、以下の情報がサーバーログに記録されます。
- IP アドレス
- ユーザーエージェント(ブラウザ・OS 情報)
- リファラー(参照元 URL)
- アクセス日時
- アクセス先 URL
- Cookie に保存される識別子
2-2. 投稿・アクション時にサーバー側で生成・保存する情報
ユーザーが掲示板への投稿、コルクボード・らくがき帳への書き込み、「ええなぁ!」等のリアクションを行った際、以下の派生識別子をサーバー側で生成して保存します。これらはユーザーから直接見える形では取得しません。
- IP ハッシュ:投稿者の IP アドレスをサーバー秘密鍵と合わせて SHA-256 でハッシュ化した値。同一 IP からの連投検知・レート制限・ban 適用に使用します。元の IP は本ハッシュ生成後、別途アクセスログにのみ短期保持されます。
- 日次ハッシュ ID:IP アドレスと日付(JST)を組み合わせて生成するハッシュの先頭 8 文字。「自分の投稿か」の判定(本人による削除権限の確認)、同日の同一投稿者の連投表示に使用します。日付が変われば値が変わるため、本人特定には利用できません。
- ユーザーエージェント・リファラー・タイムスタンプ:開示請求対応のため、投稿に紐づけて記録します。
これらの派生識別子は、運営側のサーバーログとは別のテーブルに、対応する投稿レコードと共に保存されます。詳細な保管期間および取り扱いは「4. 保管期間」「11. 安全管理措置」を参照してください。
2-3. ユーザーが任意で提供する情報
投稿・問い合わせ時に、ユーザー自身の判断で以下を提供する場合があります。
- 投稿者名(ハンドルネーム、任意。未入力の場合「名無しさん」)
- メールアドレス(問い合わせ・開示請求対応のため)
- 投稿本文・画像
本サービスは、原則としてアカウント登録を必要としません。氏名・住所・電話番号等の個人情報を運営が能動的に収集することはありません。
2-4. 本サービスが収集しない情報
- 個人を特定可能な氏名・住所・電話番号(ユーザーが任意で問い合わせ時に提供する場合を除く)
- 決済情報(本サービスは現時点で課金機能を持ちません)
- 位置情報(GPS)
- 端末固有 ID(IDFA / AAID 等)
- 個人情報保護法上の「要配慮個人情報」(人種、信条、社会的身分、病歴、犯罪歴等。ユーザーが投稿で任意に記載した場合を除く)
2-5. メール配信のために収集する情報
ニュースレター(メール配信)の購読フォームから提供された場合、以下を収集します。
- メールアドレス(購読時に任意で提供)
- 購読意思の発生元(記事末 / フッター等、source)
- IP ハッシュ(悪用検知のため、購読時のみ。「2-2. 投稿・アクション時にサーバー側で生成・保存する情報」と同じ仕組み)
利用目的
- 新着記事・編集部からのお知らせの配信
- 配信停止リクエストへの対応
- 不正登録(嫌がらせ目的での他人のメールアドレス登録等)の検知
配信は double opt-in 方式(購読後に届く確認メール内のリンクをクリックして初めて確定)です。配信の停止は、各配信メールに記載された配信停止 URL、またはメールクライアントの「配信停止」機能(List-Unsubscribe)からいつでも行えます。配信業務は Resend, Inc.(米国)に委託します(「6. 業務委託・外国にある第三者への提供」を参照)。
3. 利用目的(個人情報保護法第 17 条に基づく特定)
収集した情報は、以下の目的のためにのみ利用します。
- サービス提供:本サービスの表示、投稿の公開、コルクボードの掲示
- サービス運営・改善:アクセス傾向の分析、機能改善、不具合調査
- 不正利用対策:不正アクセス、スパム、荒らし行為、ステルスマーケティングの検出と防止
- 法令対応:開示請求、捜査関係事項照会、その他法令に基づく対応
- 問い合わせ対応:ユーザーからの問い合わせ・削除依頼・開示請求への返信
- 統計データの作成:個人を特定できない形式に加工したうえでの傾向把握・公開
3-A. 利用目的の変更
運営は、利用目的を変更する場合があります。変更が当初の利用目的と関連性を有すると合理的に認められる範囲を超える場合は、本サービストップページまたは本ポリシーの更新により、変更内容と効力発生日を 7 日前 までに告知します。
4. 保管期間
| 情報の種類 | 保管期間 |
|---|---|
| サーバーアクセスログ(IP / UA / リファラ) | 開示請求対応・違法投稿追跡のため原則保管。期間は固定せず、運用判断で随時削除する場合あり |
| 投稿本文・画像 | 削除されるまで(運営による削除、ユーザー本人からの削除依頼、規約違反による削除を含む) |
| 問い合わせメール | 対応終了後 1 年間 |
| 開示請求関連の記録 | 法令上必要な期間(最低 5 年間) |
| 第三者提供記録(個人情報保護法第 29 条・30 条) | 3 年間 |
サーバーアクセスログは、開示請求対応・違法投稿追跡のため原則として保管されます。保管期間は固定せず、サーバー容量・運用上の判断により運営が随時削除する場合があります。閲覧権限は運営の限定された担当者のみが保持し、開示請求対応または違法投稿の追跡のためにのみ使用されます。サービス終了時には、合理的な期間内にすべて削除します。
5. 第三者提供
運営は、以下のいずれかに該当する場合を除き、収集した情報を第三者に提供しません。
- ユーザー本人の同意がある場合
- 法令に基づく開示請求(情報流通プラットフォーム対処法(旧プロバイダ責任制限法)、刑事訴訟法、民事訴訟法等)
- 人の生命、身体または財産の保護のために必要であって、本人の同意を得ることが困難な場合
- 国の機関・地方公共団体・その委託を受けた者が法令に定める事務の遂行に協力する必要がある場合
5-A. 第三者提供に関する記録
運営は、個人情報保護法第 29 条および第 30 条に基づき、第三者提供を行った場合または第三者から個人情報の提供を受けた場合には、必要な記録を作成し、3 年間これを保存します。
6. 業務委託・外国にある第三者への提供
本サービスの運営にあたり、以下の業務委託先を利用しています。委託先には、個人情報保護法第 25 条に基づき、適切な監督を行います。
| 委託先 | 用途 | データ保管国 |
|---|---|---|
| Vercel Inc. | ホスティング・配信、Web Analytics(cookieless)、Speed Insights | 米国 |
| Cloudflare, Inc. | DNS / CDN / DDoS 対策 / メール転送 | 米国(CDN は近接ノードに分散) |
| Supabase Inc. | データベース・ストレージ・認証 | 日本(東京リージョン)。コントロールプレーンの一部は米国 |
| Anthropic, PBC | コンテンツの自動要約・分類(編集補助機能) | 米国 |
| OpenAI, LLC | 投稿のモデレーション判定(不適切表現検出) | 米国 |
| Google LLC | Google Analytics 4(アクセス解析) | 米国 |
| Resend, Inc. | メール配信(ニュースレター / 確認メール / 通知) | 米国 |
上記委託先のうち、米国を保管国とするものは、個人情報保護法第 28 条に基づき「外国にある第三者への提供」に該当します。本ポリシーへの同意は、これらの国外移転についての同意を含むものとします。
6-A. 外国にある第三者への提供に関する情報
個人情報保護法第 28 条第 2 項に基づき、移転先国の個人情報保護制度および移転先における安全管理措置を以下のとおり情報提供します。
米国の個人情報保護制度
米国には、EU の GDPR や日本の個人情報保護法のような包括的な連邦個人情報保護法は存在しません。代わりに、連邦取引委員会(FTC)法第 5 条による不公正・欺瞞的行為の規制、州法(カリフォルニア州 CPRA、バージニア州 VCDPA 等)、業界別法令(HIPAA、GLBA 等)が個別に適用されます。
各委託先の安全管理措置
各社は、自社の内部規程・契約上のコミットメントに基づき、個人情報を保護しています。詳細は各社のプライバシー方針をご確認ください。
- Vercel: https://vercel.com/legal/privacy-policy
- Cloudflare: https://www.cloudflare.com/privacypolicy/
- Supabase: https://supabase.com/privacy
- Anthropic: https://www.anthropic.com/legal/privacy
- OpenAI: https://openai.com/policies/privacy-policy/
- Google: https://policies.google.com/privacy
7. Cookie および類似技術
7-1. Cookie の利用
本サービスは、以下の Cookie を使用する場合があります。
- 機能維持用: セッション維持、設定保存(テーマ・表示設定等)
- アクセス解析用: Google Analytics 4 が
_ga/_ga_<ID>等の Cookie を生成し、訪問の集計に使用します。IP アドレスは Google 側で匿名化されます。ブラウザの「Cookie を無効化」設定や、Google Analytics オプトアウトアドオン (https://tools.google.com/dlpage/gaoptout) で計測を停止できます
広告 ID の埋め込みやリターゲティング広告のための Cookie は使用しません。Cookie を無効化しても本サービスの基本機能は利用できますが、一部表示が崩れる場合があります。
7-2. 端末固定 ID(ローカル限定機能)
特集記事・イベント・コルクボード等のローカル限定コメント/カード機能では、各ブラウザに 8 文字の固定識別子(例: 1b684f04)を 1 度だけ生成し、ブラウザの localStorage に保存します。この識別子は、
- 投稿欄に
ID:xxxxxxxxとして常に表示され、 - 同じブラウザからの投稿が サイト内のページをまたいで紐づく 性質を持ちます。
これは Cookie ではなく、運営サーバーには送信されません(すべてブラウザ内に閉じています)。リセットしたい場合は、ブラウザのサイトデータを削除してください。
加えて、ユーザーは名前欄に 名前#秘密 の形式を使うことで、◆xxxxxxx 形式の決定的トリップを表示できます。トリップは秘密文字列の SHA-256 ハッシュから派生しますが、casual な「同一人物の目印」用途 であり、本人証明には利用できません。
8. アクセス解析
本サービスでは、アクセス傾向の把握のため以下のアクセス解析ツールを利用します。
- Vercel Web Analytics / Speed Insights(Vercel Inc.): Cookieless 設計で個人を特定する情報は収集しません。サーバーログ相当のページビュー・パフォーマンス指標のみ
- Google Analytics 4(Google LLC): Cookie を使用してセッション・流入経路・利用デバイス等を計測します。IP は Google 側で匿名化処理されます
これらの計測を停止したい場合は、ブラウザの Cookie 設定を無効化するか、Google Analytics オプトアウトアドオン (https://tools.google.com/dlpage/gaoptout) を導入してください。
9. 開示請求等への対応(個人情報保護法第 33 条以下)
ユーザーは、自己の保有個人データについて、以下を求めることができます。
- 利用目的の通知
- 開示の請求
- 訂正・追加・削除の請求
- 利用停止・消去の請求
- 第三者提供の停止の請求
- 第三者提供記録の開示の請求
9-1. 請求方法
請求は [email protected] までメールでお寄せください。本人確認のため、合理的な範囲で身元確認をお願いする場合があります。
9-2. 対応期限
請求受領後、原則として 2 週間以内 に対応方針を回答します。複雑な調査が必要な場合は、その旨を通知のうえ、対応に最大 1 か月を要することがあります。
9-3. 手数料
開示請求への対応は、原則として無料です。同一ユーザーから短期間に繰り返し請求があった場合等、合理的な範囲で実費相当額をご負担いただく場合があります。
10. 発信者情報開示請求への対応
情報流通プラットフォーム対処法(旧プロバイダ責任制限法)に基づく発信者情報開示請求への対応は、利用規約第 13 条に定めるとおりです。
11. 安全管理措置(個人情報保護法第 23 条)
運営は、個人情報の漏えい、滅失、毀損の防止のため、以下の措置を講じています。
技術的安全管理措置
- 通信は HTTPS(TLS)で暗号化
- データベースアクセスは Row Level Security(RLS)により制限
- 管理者アクセスは多要素認証および IP 制限を実施
- 定期的なバックアップと復元手順の整備
組織的・人的安全管理措置
- 個人情報を取り扱う者を運営者本人に限定
- 委託先には機密保持義務を課す契約を締結
- 漏えい発生時の対応手順を整備
漏えい等の報告(個人情報保護法第 26 条)
個人情報の漏えい、滅失、毀損その他の事態が発生した場合は、個人情報保護委員会への報告および本人への通知を、法令で定める期間内(速報は概ね 3 〜 5 日以内、確報は 30 日以内)に行います。
脆弱性報告窓口
脆弱性に関する報告は [email protected] までお寄せください。
12. 18 歳未満の方へ
本サービスは年齢制限を設けていませんが、18 歳未満のユーザーは、保護者の同意のもとで利用することを推奨します。保護者の方からの削除・開示・利用停止の依頼にも対応します。
13. ポリシーの変更
- 本ポリシーは、必要に応じて改訂することがあります。
- 重要な変更については、本サービストップページに告知のうえ、変更後の効力発生日の 7 日前 を目安として周知します。
- 利用目的の変更が当初の目的と関連性を有すると合理的に認められる範囲を超える場合は、改めて本人の同意を取得します。
14. 苦情処理窓口・連絡先
| 用途 | 連絡先 |
|---|---|
| プライバシーに関する問い合わせ・苦情 | [email protected] |
| 開示請求等 | [email protected] |
| 発信者情報開示請求 | [email protected] |
| セキュリティ問題の報告 | [email protected] |
ながたもん編集部
なお、個人情報の取り扱いに関する苦情について運営に申し出ても解決しない場合は、認定個人情報保護団体または個人情報保護委員会にご相談いただけます。
- 個人情報保護委員会:https://www.ppc.go.jp/
改訂履歴
- 2026-05-09 v0.1-draft:初稿
- 2026-05-13 v0.2-draft:利用目的の変更ルール / 第三者提供記録の作成保存 / 国外移転先の制度・体制 を追加。委託先一覧に Anthropic・OpenAI を明記
- 2026-05-19 v1.0:個人情報取扱事業者の表示・苦情処理窓口・漏えい等の報告・開示請求の対応期限と手数料を明示。国外移転に関する米国制度の情報提供を拡充。情プラ法(旧プロバ責法、2025/4 施行)への参照更新。要配慮個人情報の取り扱いを明記
- 2026-05-21 v1.1:本番公開に伴い、Google Analytics 4(Google LLC)を業務委託先一覧に追加。Cookie セクションを GA4 の
_gaCookie 使用を明示する内容に改訂。アクセス解析セクションを Vercel Analytics + Speed Insights + GA4 の 3 ツール構成として再記述。オプトアウト方法(GA opt-out add-on)を案内 - 2026-05-24 v1.2:サーバー側で生成・保存する派生識別子(IP ハッシュ、日次ハッシュ ID 等)の取り扱いを 2-2 として明示。事業者表示の「代表者」欄を「運営形態(個人運営)」表記に変更
- 2026-05-26 v1.3:メール配信(ニュースレター)の開始に伴い、収集情報 2-5(メールアドレス / 購読元 / IP ハッシュ、利用目的、double opt-in、配信停止)を追加。業務委託先一覧に Resend, Inc.(米国、メール配信)を追加
この文書に関する問い合わせ:[email protected]