プライバシーポリシー
最終更新: 2026-05-20-r3
株式会社Let's BJJ (以下「当社」) は、当社が提供する予約管理サービス「lin9」(以下「本サービス」) において、利用者および当該利用者の店舗を予約する末端顧客 (以下「予約顧客」) の個人情報を以下のとおり取り扱います。本ポリシーは、個人情報の保護に関する法律 (令和2年改正、令和4年4月1日全面施行。以下「個人情報保護法」) その他関連法令を遵守して定められています。
0. 定義
- 「本サービス」「利用者」「予約顧客」「LINE 関連アカウント」の意味は、本サービスの利用規約に定めるとおりとします。
- 「個人情報」とは、個人情報保護法に定める個人情報をいいます。
- 「個人データ」とは、個人情報保護法に定める個人データをいいます。
- 「要配慮個人情報」とは、個人情報保護法第 2 条第 3 項に定める情報をいいます。
- 「Cookie」とは、ウェブブラウザを通じて利用者の端末に保存される識別子を含む情報をいい、本ポリシーにおいては LocalStorage その他の類似技術を含みます。
1. 当社 (個人情報取扱事業者) の情報
株式会社Let's BJJ
〒160-0023 東京都新宿区西新宿3丁目3-13 西新宿水間ビル2F
代表取締役: 藤原 寛倫
個人情報保護管理者: 代表取締役 藤原 寛倫
お問い合わせ窓口: letsbjjtokyo@gmail.com
2. 取得する情報
利用者 (店舗オーナー) について
- 氏名、店舗名、メールアドレス、パスワード (ハッシュ化して保存)
- 住所、電話番号、営業時間等の店舗情報
- 美容所開設届出済証 (確認後速やかに削除、確認済の事実のみ記録)
- 決済情報 (カード情報は当社では保持せず、Stripe, Inc. が直接管理)
- 本サービス利用時のアクセスログ (IP アドレス、ユーザーエージェント等)
- 本規約・本ポリシーへの同意ログ (同意日時、同意した版数)
予約顧客について
- LINE ユーザー ID
- 氏名、フリガナ、電話番号、性別
- 予約日時、担当者、メニュー、特記事項
- 来店履歴・予約履歴
要配慮個人情報の取扱いについて
当社は、要配慮個人情報 (病歴、アレルギー、健康状態、心身機能の障害等) を予約顧客から積極的に取得することを目的としていません。利用者は、予約顧客から特記事項として要配慮個人情報を取得する場合、施術上必要な範囲においてのみ取得するよう注意するものとし、当該情報の取扱いについて予約顧客から明示的な同意を取得する責任を負います。
3. 利用目的
取得した情報は、以下の目的のために利用します。
- 本サービスの提供、運営、保守、障害対応
- 予約の受付、変更、キャンセル、通知配信
- 利用者への利用料金の請求、問い合わせ対応
- 本サービスの改善、新機能の開発、利用状況の統計分析 (個人および特定の利用者・予約顧客を識別できないよう加工した情報に限る)
- 不正利用の防止、セキュリティ確保
- 法令に基づく対応
3-bis. 統計利用および AI 学習への利用
- 当社は、本サービスの改善、品質向上、不具合検知、統計分析のため、個人および特定の利用者・予約顧客を識別できないよう加工した統計情報 (匿名加工情報または仮名加工情報を含みます) を利用することがあります。
- 当社は、予約顧客を識別可能な個人データを、(i) 広告配信、(ii) 当社独自の営業活動、(iii) 第三者提供、または (iv) 当社独自の人工知能 (AI) の学習目的で利用しません。ただし、利用者から本サービスとは別に明示的な同意を取得した場合を除きます。
4. 予約顧客の情報に関する位置づけ
予約顧客の個人情報は、利用者が個人情報保護法上の「個人情報取扱事業者」として一次的に管理する責任を負います。当社は、利用者からの委託に基づき、本サービスの提供に必要な範囲で当該情報を取り扱います (個人情報保護法第 25 条に基づく委託先としての取扱い)。
予約顧客が自身の個人情報について開示・訂正・削除等を希望する場合、原則として直接利用者 (来店店舗) にお問い合わせください。利用者は本サービスの機能を用いて当該請求に対応します。
5. 第三者提供および外部委託 (外国にある第三者への提供を含む)
5-1. 委託に関する基本方針
当社は、本サービスの提供のため、以下の外部事業者に個人情報の取扱いを委託しています。当社は、各事業者との間で、個人情報の取扱いに関する適切かつ十分な安全管理措置を定めた契約 (Data Processing Addendum 等) を締結し、または各事業者が国際的に認められたセキュリティ認証 (SOC 2 Type II、ISO/IEC 27001 等) を取得していることを確認したうえで委託を行っています (個人情報保護法第 28 条第 1 項に基づく「基準適合体制」の整備)。
5-2. 委託先の一覧
| 事業者 | 所在 | 用途 | 取扱情報 | 保護措置 |
| Cloudflare, Inc. | 米国 (カリフォルニア州) | 本サービスのインフラ (Workers / D1 / R2) | 本サービスで取り扱う全データ (暗号化保管) | DPA、SOC 2 Type II、ISO/IEC 27001、保管時暗号化、通信時 TLS |
| Stripe, Inc. | 米国 (カリフォルニア州) | 利用料金の決済処理 | 利用者の決済情報 (カード番号は Stripe 内で直接管理、当社では保持しません) | PCI DSS Level 1、DPA、SOC 2 Type II |
| Resend, Inc. | 米国 (デラウェア州) | 通知メールの配信 | 送信先メールアドレス、送信本文 | DPA、TLS、SPF / DKIM / DMARC 認証 |
| LINEヤフー株式会社 (LY Corporation) | 日本 | LINE Messaging API / LIFF を介した予約フロー | LINE ユーザー ID、表示名、プッシュ通知本文 | LINE プラットフォームのセキュリティ・プライバシー規定 |
5-3. 米国の個人情報保護制度の概要
米国においては、連邦レベルでの包括的な個人情報保護法は存在しませんが、主要な委託先が所在するカリフォルニア州においては、カリフォルニア州消費者プライバシー法 (CCPA) およびカリフォルニア州プライバシー権法 (CPRA) が施行されており、開示請求権、削除請求権、オプトアウト権等が認められています。当社は、各委託先との契約により、我が国と同等水準の保護措置が講じられることを確認しています。
5-4. 再委託先の変更時の通知
当社は、5-2 に記載する委託先について重要な変更 (新規追加、削除、所在国の変更等) が生じた場合、本サービス内の通知または本ポリシーの改定により利用者に周知します。
5-5. その他
上記のほか、法令に基づく要請 (警察、裁判所、個人情報保護委員会等からの照会) があった場合は、必要な範囲で情報を提供することがあります。
6. 保管期間
- 利用者のアカウント情報および本サービス上のデータ: 解約後 90 日間保持し、その後削除します。
- 美容所開設届出済証: 確認後速やかに削除し、確認済の事実のみ記録します。
- 決済関連情報 (請求記録): 法令上必要な期間 (原則 7 年間) 保持します。
- リクエストアクセスログ (Cloudflare zone-level): 不正検知および統計のため、Cloudflare 提供のログ保持期間 (最大 1 年間) に従って保持されます。IP アドレス・ユーザーエージェント・リクエスト URI・ステータスコード・リクエスト時刻が対象です。
- アプリケーションログ (Cloudflare Workers Observability): 障害調査および cron 監査のための本サービス Worker の console 出力で、保持期間は当社が選択する Cloudflare Workers Observability のプランに適用される保持期間上限に従います (本ポリシー改訂時点 = 2026 年 5 月における Cloudflare 公表値は契約プラン応じて概ね数日間。最新値は Cloudflare 公式仕様 https://developers.cloudflare.com/workers/observability/ をご参照ください)。当社は当該ログにパスワード・セッショントークン等の認証情報を意図的に出力しません。なお、システム例外発生時には実行環境 (Cloudflare Workers ランタイムおよびそのバインディング) のエラーメッセージに技術的な参照情報 (操作種別、ステータスコード、内部識別子等) が含まれる場合があり、これは障害調査に必要不可欠なものとして上記の短期保持期間内に限定して取り扱います。
- 本規約・本ポリシーへの同意ログ: 利用契約終了後 7 年間保持します。
-
不正アクセス防止を目的としたアクセス試行ログ: 必要最小限の期間に限定して保持し、定められた期間の経過後に自動的に削除します。各ログの種別および保持期間は以下のとおりです (利用目的の達成に必要な範囲、個人情報保護法第 18 条第 1 項。EU 域内に所在する利用者・予約顧客との関係においては GDPR 第 6 条 1 項 (f) の正当な利益 = 不正利用防止に該当します)。
| ログ種別 | 取得情報 | 保持期間 |
| 予約顧客側レート制限ログ | IP アドレス、LINE ユーザー ID、試行種別 | 7 日間 |
| 店舗オーナー側レート制限ログ | オーナー ID、試行種別 | 7 日間 |
| サインアップ試行ログ | IP アドレス、試行時刻 | 7 日間 |
| ログイン試行ログ | IP アドレス、メールアドレス、成否フラグ | 30 日間 |
ログイン試行ログのみ保持期間を 30 日間としているのは、不正利用 (ブルートフォース攻撃等) の報告から事案発生時点まで遡って対応するために必要な情報量を確保するためであり、米国国立標準技術研究所 (NIST SP 800-92 ログ管理ガイド・SP 800-53 Rev.5 AU-11) や ISO/IEC 27001:2013 附属書 A.12.4 (Logging and monitoring。現行 2022 年版では A.8.15 に再編) 等のセキュリティログ管理に関する一般的な業界実践 (30 日から 90 日) を踏まえたものです。
当社は、上記レート制限ログの保持について、不正利用防止という正当な利益がデータ主体のプライバシーへの影響を上回ると判断しており、収集するデータ項目および保持期間は当該目的の達成に必要な最小限に限定しています (GDPR 第 13 条 2 項 (d) の正当な利益に関する通知への対応を兼ねます)。
7. 開示・訂正・削除等の請求 (権利行使)
- 利用者は、自身の個人情報について、開示、訂正、追加、削除、利用停止、消去、第三者提供の停止等を当社に請求することができます (個人情報保護法第 33 条以下)。本サービス上で対応可能なものは管理画面から、その他は下記窓口へお問い合わせください。
- 予約顧客が自身の個人情報について同様の請求を希望する場合、原則として来店店舗 (利用者) に直接ご請求ください。本サービスでは、予約顧客自身が LINE 上のプロフィール編集機能から氏名・フリガナ・電話番号・性別および呼び戻し通知の受信可否を変更できます。
- 請求にあたっては、ご本人確認のため当社が必要と判断する書類等の提示をお願いすることがあります。
8. 安全管理措置
8-1. 組織的安全管理措置
- 個人情報保護管理者の任命および責任範囲の明確化
- 個人情報を取り扱う従業者の権限を最小限とする運用
- 定期的なアクセス監査ログの記録および確認
- 本ポリシーおよび安全管理に関する社内規程の整備
8-2. 人的安全管理措置
- 従業者に対する個人情報保護に関する教育・周知
- 従業者および業務委託先との秘密保持契約の締結
8-3. 物理的安全管理措置
- 個人情報を含むデータは、信頼性の高いクラウドインフラ (Cloudflare 等) の暗号化ストレージ上に保管し、当社事務所内には原則として保持しません。
- 業務用端末の盗難・紛失防止策の実施 (画面ロック、ストレージ暗号化)
8-4. 技術的安全管理措置
- 本サービスの全通信は HTTPS により暗号化されます。
- パスワードは一方向ハッシュ関数 (PBKDF2) により暗号化して保存し、平文では保持しません。
- テナント間のデータ分離を強制し、他テナントのデータが相互に閲覧されないように制御します。
- API エンドポイントへのアクセスについて、IP およびユーザー単位のレート制限を実施します。
- 不正アクセス、CSRF、XSS、SQL インジェクション等に対する技術的対策を継続的に実施します。
8-5. 外的環境の把握
- 外国にある委託先 (米国所在の事業者を含む) を利用するにあたり、当該国の個人情報保護制度を把握し、5-3 に記載のとおり契約等により安全管理措置を確保しています。
9. 漏えい等の事故発生時の対応
- 当社は、個人データの漏えい、滅失、毀損その他安全管理上の事故 (以下「漏えい等」) が発生し、または発生したおそれを認識した場合、利用者 (個人情報取扱事業者) に対して速やかに通知し、原因調査、影響範囲特定、被害拡大防止、再発防止策の実施に協力します。
- 漏えい等が個人情報保護法第 26 条に定める「個人の権利利益を害するおそれが大きい」場合に該当するとき、当社は、利用者と協議のうえ、個人情報保護委員会への報告および本人 (予約顧客) への通知に必要な情報の提供および技術的協力を行います。報告は以下の二段階で行います:
- 速報: 事態を知った後、速やかに (個人情報の保護に関する法律施行規則第 8 条 1 項。なお「速やかに」の目安は個人情報保護委員会のガイドライン上、概ね 3〜5 日以内とされています)。当該時点で把握している報告事項を報告します。
- 確報: 事態を知った日から 30 日以内 (同規則第 8 条 2 項本文。ただし、不正の目的をもって行われたおそれがある個人データの漏えい等については、同じく事態を知った日から 60 日以内 (同項ただし書き))。すべての報告事項を確定して報告します。
- 報告事項には、概要、漏えい等が発生し、または発生したおそれがある個人データの項目、件数、原因、二次被害またはそのおそれの有無およびその内容、本人への対応の実施状況、公表の実施状況、再発防止のための措置、その他参考となる事項を含みます (同規則第 7 条 1 項各号)。
- 当社は、漏えい等の発生原因および対応経緯について、社内に記録し、再発防止のためのレビューを行います。
10. Cookie および類似技術 (外部送信規律対応)
本サービスでは、利用者のログイン状態の維持、不正アクセス検知、LIFF 連携のため、Cookie および LocalStorage を使用します。広告目的のトラッキング Cookie は使用しません。
本サービスから外部の事業者に送信される利用者・予約顧客の情報の概要は以下のとおりです (電気通信事業法第 27 条の 12 に基づく外部送信規律への対応)。
| 送信先 | 送信される情報 | 送信目的 | 送信先での利用目的 |
| LINEヤフー株式会社 | LINE ユーザー ID、表示名、プッシュ通知本文 | 予約通知の配信 | LINE プラットフォームでの通知配信 |
| Cloudflare, Inc. | IP アドレス、ユーザーエージェント、アクセスログ | インフラ運営、不正アクセス検知 | Cloudflare の規約に基づくサービス提供および統計 |
| Stripe, Inc. | 決済時の Stripe Checkout への遷移情報 | 利用料金の決済処理 | Stripe の規約に基づく決済処理および不正検知 |
ブラウザの設定により Cookie を無効化することができますが、その場合、本サービスのログイン機能および一部の予約機能が利用できなくなることがあります。
11. 取得時の利用目的の通知
当社は、本サービスの利用開始時 (利用者については申込画面、予約顧客については LIFF 初回登録画面) において、本ポリシーへのリンクを表示することにより、本ポリシーに記載する利用目的をあらかじめ公表しています (個人情報保護法第 21 条第 1 項)。
12. 認定個人情報保護団体への加入有無
当社は、現時点においては認定個人情報保護団体に加入していません。加入した場合、本ポリシーにおいて団体名および苦情申出先を通知します。
13. 本ポリシーの変更
当社は、必要に応じて本ポリシーを変更します。重要な変更を行う場合は、変更の効力発生日の 60 日前までに、本サービス内の通知またはメールにより事前に通知します。軽微な変更については、本サービス内または本ポリシーへの掲載をもって行うことができます。
14. お問い合わせ窓口
本ポリシーおよび個人情報の取扱いに関するお問い合わせ・開示等請求は、下記までお願いいたします。
株式会社Let's BJJ
〒160-0023 東京都新宿区西新宿3丁目3-13 西新宿水間ビル2F
個人情報保護管理者: 代表取締役 藤原 寛倫
メール: letsbjjtokyo@gmail.com
本ポリシーは、株式会社Let's BJJ が AI による一次法務レビューを経て作成した版です。正式な施行前に弁護士による最終レビューを予定しています。
← トップへ戻る