メインコンテンツへスキップ
COSMA

プライバシーポリシー

最終更新日: 2026年4月13日

COSMA運営事務局(以下「運営者」)は、COSMA(以下「本サービス」)における 個人情報の取扱いについて、個人情報の保護に関する法律(以下「個人情報保護法」) その他の関連法令を遵守し、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。

第1条(個人情報の定義)

本ポリシーにおいて「個人情報」とは、個人情報保護法第2条第1項に定義される個人情報をいい、 生存する個人に関する情報であって、氏名、メールアドレス、住所その他の記述により 特定の個人を識別できるもの、または個人識別符号が含まれるものをいいます。

第2条(保有個人データの項目)

運営者が保有する個人データの項目は以下のとおりです。

  • メールアドレス、表示名(ニックネーム)、プロフィール画像
  • 配送先情報(氏名、郵便番号、住所、電話番号)
  • 取引履歴(購入・出品履歴、取引金額、取引状態)
  • 出品情報(商品説明、写真、価格等)
  • プロフィール任意項目(コスプレ歴、活動エリア、性別、年代、好きなジャンル等。ユーザーが任意で入力した場合に限ります)
  • お問い合わせ内容
  • 利用ログ(アクセス日時、IPアドレス、ブラウザ情報、OS情報)
  • サービス改善・需要分析のための行動データ(同意済みユーザーのみ): 検索キーワード・フィルタ条件、商品の閲覧履歴・滞在時間、検索結果や一覧での商品表示位置、 価格変更履歴、匿名ユーザー識別子(日次ソルトでハッシュ化された識別子で、特定の個人を識別できません)
  • Stripe Connect アカウント情報(カード番号等の決済手段の詳細は運営者では保持しません)

第3条(個人情報の取得方法)

運営者は、以下の方法で個人情報を取得します。

3-1. ユーザーから直接取得する情報

  • アカウント情報: メールアドレス、表示名(ニックネーム)、プロフィール画像
  • 配送先情報: 氏名、郵便番号、住所、電話番号
  • 出品情報: 商品説明、写真、価格等
  • お問い合わせ内容: ご連絡いただいたメッセージの内容

3-2. 本サービスの利用に伴い自動的に取得する情報

  • 利用ログ: アクセス日時、IPアドレス、ブラウザの種類・バージョン、OS情報
  • 端末情報: デバイスの種類、画面解像度
  • Cookie・類似技術により取得する情報(第8条に詳述)
  • 行動データ(ユーザーが「すべて許可」または「必要なもののみ許可」を選択した場合に限ります): 検索キーワード・フィルタ条件・検索結果数、閲覧した商品ID・参照元・滞在時間、 検索結果や一覧での商品の表示位置、商品価格の変更履歴

3-3. 外部サービスを通じて取得する情報

  • Clerk(認証サービス): 認証に必要なアカウント識別情報
  • Stripe(決済サービス): 決済処理結果、Stripe Connect アカウント情報(カード番号等の決済手段の詳細情報は運営者では保持しません)

第4条(利用目的)

運営者は、取得した個人情報を以下の目的の範囲内で利用します。

  1. 本サービスの提供・運営(アカウント管理、出品・購入処理)
  2. 取引の実行(配送先情報の出品者への提供、決済処理)
  3. ユーザーサポート(お問い合わせへの対応)
  4. 不正利用の検知・防止およびサービスの安全性確保
  5. サービス改善のための利用状況の分析
  6. 需要分析・トレンド分析・レコメンド機能の改善
  7. 特定の個人を識別できない形に加工した統計データ・トレンドレポートの作成、 および当該統計データのコスプレ関連事業者(IP権利者、衣装製造事業者、イベント主催者、 広告事業者等)への提供(個人を識別できる情報は含めません。詳細は第5条をご参照ください)
  8. 本サービス内における広告配信および広告の関連性・有用性の向上
  9. 規約違反行為への対応
  10. 本サービスに関する重要な通知(規約変更、メンテナンス情報等)の送信
  11. 新機能・更新情報等のお知らせの送信(ユーザーが配信を希望した場合に限ります)
  12. 法令に基づく対応

運営者は、上記の利用目的を変更する場合、変更後の利用目的を本サービス上で公表し、 またはユーザーに通知します。

第5条(個人情報の第三者提供)

  1. 運営者は、以下のいずれかに該当する場合を除き、ユーザーの同意なく個人情報を第三者に 提供することはありません。
    • 法令に基づく場合
    • 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
    • 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    • 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  2. 取引に伴う情報の提供: 取引成立時に、配送に必要な情報(購入者の氏名・住所・電話番号)を出品者に提供します。 出品者は、提供された情報を商品の配送の目的以外に使用してはなりません。
  3. 匿名加工情報・統計データの提供: 運営者は、個人情報保護法に基づき、特定の個人を識別することができないように加工した 匿名加工情報、または個人を識別できない集計・統計データ(作品別・カテゴリ別の人気ランキング、 地域別の需要傾向、価格帯分布等)を、コスプレ関連事業者(IP権利者、衣装製造事業者、 イベント主催者、広告事業者等)に提供する場合があります。提供にあたっては、 特定の個人を識別できる情報を含めず、再識別を試みないことを提供先と合意します。

第6条(外部サービスへの個人データの提供・委託)

運営者は、本サービスの提供に必要な範囲で、以下の外部サービスに個人データの 取扱いを委託し、または個人データを提供しています。 個人情報保護法第28条に基づき、外国にある第三者への個人データの提供に関する 情報を以下に記載します。

外部サービスへの個人データの提供・委託先一覧
サービス名提供元所在国利用目的提供されるデータ
ClerkClerk, Inc.米国認証・アカウント管理メールアドレス、認証情報
StripeStripe, Inc.米国決済処理取引情報、出品者の銀行口座情報
Cloudflare R2Cloudflare, Inc.米国画像ストレージユーザーがアップロードした画像
SentryFunctional Software, Inc.米国エラー監視IPアドレス、ブラウザ情報、エラーログ

各国における個人情報保護に係る制度の概要

上記の各サービス提供者は、いずれも米国に所在しています。

法令等に定める項目内容
(1)当該外国の名称米国
(2)当該外国における個人情報の保護に関する制度に関する情報下記URLより、個人情報保護委員会が公開している情報をご確認ください。
https://www.ppc.go.jp/files/pdf/USA_report.pdf
(3)当該第三者が講ずる個人情報の保護のための措置運営者は、各サービス提供者の利用規約に含まれるデータ処理条項(Data Processing Addendum等)に基づき、 個人データの適切な取扱いを確保しています。各サービス提供者が講じている主な保護措置は以下のとおりです。
  • Clerk, Inc. — SOC 2 Type II認証取得、データの暗号化(転送時および保管時)
  • Stripe, Inc. — PCI DSS Level 1認証、SOC 1/SOC 2レポート取得
  • Cloudflare, Inc. — SOC 2 Type II認証、ISO 27001認証取得
  • Functional Software, Inc.(Sentry) — SOC 2 Type II認証、データの暗号化

各サービスのプライバシーポリシーについては、以下をご参照ください。

第7条(安全管理措置)

運営者は、取り扱う個人データの漏えい、滅失または毀損の防止その他の安全管理のために、 以下の措置を講じています。

7-1. 技術的安全管理措置

  • 配送先情報のAES-256-GCMによる暗号化保存
  • 通信のSSL/TLS暗号化
  • アクセス制御(認証・認可の適切な設定)
  • エラー監視によるセキュリティインシデントの早期検知(Sentry)
  • 取引完了後90日での配送先情報の自動削除

7-2. 組織的安全管理措置

  • 個人データの取扱いに関する責任者の設置
  • 個人データの取扱いに関する規律の整備
  • 個人データの取扱状況の定期的な点検

第8条(外部送信規律・Cookie等の利用)

本サービスでは、電気通信事業法第27条の12に基づき、ユーザーの端末から 外部のサーバーに送信される情報について、以下のとおりお知らせします。

8-1. Sentry(エラー監視)

  • 送信先: Functional Software, Inc.(米国)
  • 送信される情報: エラー発生時のスタックトレース、ブラウザ情報、IPアドレス
  • 送信目的: サービスの安定性確保・障害の早期発見と対応

8-2. Clerk(認証)

  • 送信先: Clerk, Inc.(米国)
  • 送信される情報: 認証トークン、セッション情報
  • 送信目的: ユーザー認証・セッション管理

8-3. Stripe(決済)

  • 送信先: Stripe, Inc.(米国)
  • 送信される情報: 決済に必要な情報(決済フォーム利用時)
  • 送信目的: 決済処理・不正利用防止

第9条(ユーザーの権利)

ユーザーは、個人情報保護法に基づき、運営者に対して以下の請求を行うことができます。 請求を行う場合は、本人確認の上、合理的な期間内に対応いたします。

  1. 利用目的の通知請求(法第32条第2項)
  2. 開示請求(法第33条第1項): 保有個人データの開示(電磁的記録での提供を含む)
  3. 訂正等の請求(法第34条第1項): 内容が事実でない場合の訂正・追加・削除
  4. 利用停止等の請求(法第35条第1項): 利用目的の達成に必要な範囲を超えた取扱い、不正取得等の場合の利用停止・消去
  5. 第三者提供の停止請求(法第35条第3項)
  6. データの書き出し(ポータビリティ): ユーザーは、運営者に対し、自己の個人データを構造化された一般的に利用可能な 機械可読形式で受け取ることを請求できます。運営者は、技術的に実行可能な範囲で 合理的な期間内に対応します。

上記の請求は、以下の連絡先までメールにてお申し出ください。 本人確認のため、登録メールアドレスからのご連絡をお願いします。

連絡先: support@pepin.studio

第10条(個人データの保存期間)

  • アカウント情報: アカウント削除まで。削除後は合理的な期間内に消去します。
  • 配送先情報: 取引完了後90日間(暗号化保存)。期間経過後に自動削除します。
  • 取引履歴: 法令(税法等)で保存が義務付けられる期間(最大7年間)保存します。
  • 利用ログ: 取得から1年間保存し、その後順次削除します。
  • 行動データ(検索ログ・閲覧ログ・表示ログ): 取得から3年間保存します。 一定期間(30日)経過後は、特定の個人を識別できない形での集計データに加工し、 元の詳細ログは削除します。
  • 価格変更履歴: 商品の削除から5年間保存します。
  • お問い合わせ内容: 対応完了から1年間保存します。

第11条(個人データの漏えい等への対応)

運営者は、個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態が 発生し、またはそのおそれがある場合、個人情報保護法第26条に基づき、速やかに 個人情報保護委員会への報告および本人への通知を行います。

第12条(本ポリシーの変更)

  1. 運営者は、法令の改正、サービス内容の変更その他の事情により、本ポリシーを 変更する場合があります。
  2. 重要な変更がある場合は、変更の効力発生日の30日前までに本サービス上で通知します。

第13条(苦情・お問い合わせ窓口)

個人情報の取扱いに関する苦情・お問い合わせは、以下の窓口までご連絡ください。

  • COSMA運営事務局 個人情報管理責任者: 大島慎平
  • メール: support@pepin.studio
  • 所在地: 東京都渋谷区恵比寿西2丁目4番8号ウィンド恵比寿ビル8F

個人情報保護に関する公的機関の相談窓口: