プライバシーポリシー
最終更新日: 2026年3月23日
COSMA運営事務局(以下「運営者」)は、COSMA(以下「本サービス」)における 個人情報の取扱いについて、個人情報の保護に関する法律(以下「個人情報保護法」) その他の関連法令を遵守し、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
第1条(個人情報の定義)
本ポリシーにおいて「個人情報」とは、個人情報保護法第2条第1項に定義される個人情報をいい、 生存する個人に関する情報であって、氏名、メールアドレス、住所その他の記述により 特定の個人を識別できるもの、または個人識別符号が含まれるものをいいます。
第2条(収集する個人情報と取得方法)
運営者は、以下の個人情報を、それぞれの方法で取得します。
2-1. ユーザーから直接取得する情報
- アカウント情報: メールアドレス、表示名(ニックネーム)、プロフィール画像
- 配送先情報: 氏名、郵便番号、住所、電話番号
- 出品情報: 商品説明、写真、価格等
- お問い合わせ内容: ご連絡いただいたメッセージの内容
2-2. 本サービスの利用に伴い自動的に取得する情報
- 利用ログ: アクセス日時、IPアドレス、ブラウザの種類・バージョン、OS情報
- 端末情報: デバイスの種類、画面解像度
- Cookie・類似技術により取得する情報(第7条に詳述)
2-3. 外部サービスを通じて取得する情報
- Clerk(認証サービス): 認証に必要なアカウント識別情報
- Stripe(決済サービス): 決済処理結果、Stripe Connect アカウント情報(カード番号等の決済手段の詳細情報は運営者では保持しません)
第3条(利用目的)
運営者は、取得した個人情報を以下の目的の範囲内で利用します。
- 本サービスの提供・運営(アカウント管理、出品・購入処理)
- 取引の実行(配送先情報の出品者への提供、決済処理)
- ユーザーサポート(お問い合わせへの対応)
- 不正利用の検知・防止およびサービスの安全性確保
- サービス改善のための利用状況の分析
- 規約違反行為への対応
- 本サービスに関する重要な通知(規約変更、メンテナンス情報等)の送信
- 新機能・更新情報等のお知らせの送信(ユーザーが配信を希望した場合に限ります)
- 法令に基づく対応
運営者は、上記の利用目的を変更する場合、変更後の利用目的を本サービス上で公表し、 またはユーザーに通知します。
第4条(個人情報の第三者提供)
- 運営者は、以下のいずれかに該当する場合を除き、ユーザーの同意なく個人情報を第三者に 提供することはありません。
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 取引に伴う情報の提供: 取引成立時に、配送に必要な情報(購入者の氏名・住所・電話番号)を出品者に提供します。 出品者は、提供された情報を商品の配送の目的以外に使用してはなりません。
第5条(外部サービスへの個人データの提供・委託)
運営者は、本サービスの提供に必要な範囲で、以下の外部サービスに個人データの 取扱いを委託し、または個人データを提供しています。 個人情報保護法第28条に基づき、外国にある第三者への個人データの提供に関する 情報を以下に記載します。
| サービス名 | 提供元 | 所在国 | 利用目的 | 提供されるデータ |
|---|---|---|---|---|
| Clerk | Clerk, Inc. | 米国 | 認証・アカウント管理 | メールアドレス、認証情報 |
| Stripe | Stripe, Inc. | 米国 | 決済処理 | 取引情報、出品者の銀行口座情報 |
| Cloudflare R2 | Cloudflare, Inc. | 米国 | 画像ストレージ | ユーザーがアップロードした画像 |
| Sentry | Functional Software, Inc. | 米国 | エラー監視 | IPアドレス、ブラウザ情報、エラーログ |
| PostHog | PostHog, Inc. | 米国 | アクセス解析 | 利用ログ、端末情報、操作履歴 |
上記の各サービス提供者は、いずれも米国に所在しています。 米国は、個人情報保護委員会が個人情報保護法と同等の水準にあると認められる国として 指定した国には含まれていませんが、運営者は各サービス提供者との間で、 データ処理に関する契約(Data Processing Agreement等)を締結するなどの方法により、 個人データの適切な取扱いを確保しています。
各サービスのプライバシーポリシーについては、以下をご参照ください。
第6条(安全管理措置)
運営者は、取り扱う個人データの漏えい、滅失または毀損の防止その他の安全管理のために、 以下の措置を講じています。
6-1. 技術的安全管理措置
- 配送先情報のAES-256-GCMによる暗号化保存
- 通信のSSL/TLS暗号化
- アクセス制御(認証・認可の適切な設定)
- エラー監視によるセキュリティインシデントの早期検知(Sentry)
- 取引完了後90日での配送先情報の自動削除
6-2. 組織的安全管理措置
- 個人データの取扱いに関する責任者の設置
- 個人データの取扱いに関する規律の整備
- 個人データの取扱状況の定期的な点検
第7条(外部送信規律・Cookie等の利用)
本サービスでは、電気通信事業法第27条の12に基づき、ユーザーの端末から 外部のサーバーに送信される情報について、以下のとおりお知らせします。
7-1. PostHog(アクセス解析)
- 送信先: PostHog, Inc.(米国)
- 送信される情報: ページ閲覧履歴、クリック操作、画面遷移、端末情報、IPアドレス
- 送信目的: サービス改善のための利用状況分析
- オプトアウト: ブラウザの設定によりCookieを無効化することで、送信を停止できます
7-2. Sentry(エラー監視)
- 送信先: Functional Software, Inc.(米国)
- 送信される情報: エラー発生時のスタックトレース、ブラウザ情報、IPアドレス
- 送信目的: サービスの安定性確保・障害の早期発見と対応
7-3. Clerk(認証)
- 送信先: Clerk, Inc.(米国)
- 送信される情報: 認証トークン、セッション情報
- 送信目的: ユーザー認証・セッション管理
7-4. Stripe(決済)
- 送信先: Stripe, Inc.(米国)
- 送信される情報: 決済に必要な情報(決済フォーム利用時)
- 送信目的: 決済処理・不正利用防止
第8条(ユーザーの権利)
ユーザーは、個人情報保護法に基づき、運営者に対して以下の請求を行うことができます。 請求を行う場合は、本人確認の上、合理的な期間内に対応いたします。
- 利用目的の通知請求(法第32条第2項)
- 開示請求(法第33条第1項): 保有個人データの開示(電磁的記録での提供を含む)
- 訂正等の請求(法第34条第1項): 内容が事実でない場合の訂正・追加・削除
- 利用停止等の請求(法第35条第1項): 利用目的の達成に必要な範囲を超えた取扱い、不正取得等の場合の利用停止・消去
- 第三者提供の停止請求(法第35条第3項)
上記の請求は、以下の連絡先までメールにてお申し出ください。 本人確認のため、登録メールアドレスからのご連絡をお願いします。
連絡先: support@pepin.studio
第9条(個人データの保存期間)
- アカウント情報: アカウント削除まで。削除後は合理的な期間内に消去します。
- 配送先情報: 取引完了後90日間(暗号化保存)。期間経過後に自動削除します。
- 取引履歴: 法令(税法等)で保存が義務付けられる期間(最大7年間)保存します。
- 利用ログ: 取得から1年間保存し、その後順次削除します。
- お問い合わせ内容: 対応完了から1年間保存します。
第10条(個人データの漏えい等への対応)
運営者は、個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態が 発生し、またはそのおそれがある場合、個人情報保護法第26条に基づき、速やかに 個人情報保護委員会への報告および本人への通知を行います。
第11条(本ポリシーの変更)
- 運営者は、法令の改正、サービス内容の変更その他の事情により、本ポリシーを 変更する場合があります。
- 重要な変更がある場合は、変更の効力発生日の30日前までに本サービス上で通知します。
第12条(苦情・お問い合わせ窓口)
個人情報の取扱いに関する苦情・お問い合わせは、以下の窓口までご連絡ください。
- COSMA運営事務局 個人情報管理責任者: 大島慎平
- メール: support@pepin.studio
- 所在地: 東京都渋谷区恵比寿西2丁目4番8号ウィンド恵比寿ビル8F
個人情報保護に関する公的機関の相談窓口:
- 個人情報保護委員会 https://www.ppc.go.jp/