プライバシーポリシー
最終改定日:2026年5月16日 / 施行日:2026年5月16日
ニコフィット(個人事業主:古橋和佐、以下「当社」といいます)は、本サービス「ニコフィット -NicoFit-」(以下「本サービス」といいます)の提供に伴い、 ユーザーの個人情報を以下のとおり取り扱います。本ポリシーは個人情報の保護に関する法律(個人情報保護法)および関連法令を遵守しつつ、ユーザーの権利を尊重するものとします。
1. 取得する情報
当社は本サービスの運営のため、以下の情報を取得します。
(1) アカウント情報
- メールアドレス、表示名、ロール(user / trainer / owner)、生年(任意)、身長(任意)、目標体重(任意)、タイムゾーン
- LINE 連携時:LINE ユーザーID(外部識別子)
(2) フィットネス・健康関連情報
- 体重、体脂肪率、睡眠時間、トレーニング履歴(種目、重量、回数等)
- 食事記録(メニュー名、PFC、kcal、写真)
- 歩数、消費カロリー(HealthKit 連携時を含む)
- 振り返りメモ(暗号化のうえ保存)
(3) 要配慮個人情報・センシティブ情報
次の情報については個別の同意(オプトイン)を得たうえで取得します。 ユーザーは設定画面からいつでもオプトインを取り消すことができます。
- 生理周期(menstruation) — オプトイン制。トレーナーへの共有もユーザーの個別同意がなければ行いません。
- 排便記録(bowel) — オプトイン制。
- 体重(weight) — オプトイン制。
- 食事写真(顔等が映りうる場合があるため取扱に注意します)
- HealthKit 健康データ— Apple Health からの同期データ
- 振り返りメモ— 心理状態・人間関係等を含みうるため AES-256-GCM で暗号化保存
(4) 課金・取引情報
- Stripe Customer ID、サブスクリプションID、プランコード、取引ステータス
- クレジットカード番号その他のカード情報は当社サーバーには保存しません(Stripe 側で安全に管理されます)。
(5) アクセス・端末情報
- IPアドレス、ブラウザ情報、Cookie、プッシュ通知トークン
2. 利用目的
- 本サービスの提供、機能改善、運営に必要な処理
- トレーナーユーザーへの記録共有(ユーザーが同意した範囲のみ)
- AI ドラフト・月間総評の生成(医療助言・診断は禁止)
- 料金請求、不正利用防止、サポート対応
- キャンペーン・新機能のご案内(オプトアウト可)
- 法令に基づく対応、紛争解決、安全性の確保
3. 第三者提供
当社は次の場合を除き、ユーザーの同意なくして個人情報を第三者に提供しません。
- ユーザーが本サービス内で「トレーナーに共有する」旨の同意(オプトイン)を行った場合(共有先はユーザーが指定したトレーナーに限定)
- 法令に基づく場合(裁判所命令、警察照会等)
- 人の生命・身体・財産の保護のため緊急に必要な場合
4. 委託先・外国にある第三者への提供(越境移転)
当社は本サービス運営のため、以下の事業者に個人情報の取扱いを委託します。委託先の一部は日本国外に所在するため、 個人情報保護法 第28条に基づき、所在国、当該国の個人情報保護に関する制度の概要、当該事業者が講じる安全管理措置を以下に明示します。
| 委託先 | 所在国 | 委託する業務 | 所在国の制度概要 | 講じている安全管理措置 |
|---|---|---|---|---|
| Supabase, Inc. | 米国 | データベース・認証・ストレージ | 米国には個人情報の保護に関する包括的な連邦法は存在せず、分野別連邦法および州法(CCPA / CPRA 等)により部分的に保護されています。EU 一般データ保護規則(GDPR)と同等の十分性認定は受けていません。 個情委「外国における個人情報の保護に関する制度等の調査」(米国) | DPA(データ処理契約)締結/TLS および AES-256 による保管時暗号化/SOC 2 Type II 監査/RLS による行レベル分離 |
| Stripe, Inc. | 米国 | 決済処理(クレジットカード情報の取扱い) | 米国(上記 Supabase と同様)。 個情委 米国制度概要 | PCI DSS Level 1 認証/DPA 締結/カード番号は Stripe 側でトークン化、当社サーバーには非保存 |
| Anthropic, PBC | 米国 | AI ドラフト・AI コーチ本文・写真栄養推定 | 米国(上記同様)。 個情委 米国制度概要 | DPA 締結/送信データのモデル学習目的での再利用を禁止する契約/送信前にサーバ側で要配慮個人情報を除外しデータ最小化/TLS 暗号化通信 |
| Resend, Inc. | 米国 | トランザクションメール配信 | 米国(上記同様)。 個情委 米国制度概要 | DPA 締結/TLS 暗号化送信 |
| Vercel Inc. | 米国 | Web アプリのホスティング・配信 | 米国(上記同様)。 個情委 米国制度概要 | DPA 締結/SOC 2 Type II 監査/TLS 暗号化/東京リージョン優先配信 |
| OpenAI, L.L.C. / Google LLC | 米国 | 動画・写真の自動モデレーション(Vision/Moderation API) | 米国(上記同様)。 個情委 米国制度概要 | DPA 締結/API 経由のみ利用(モデル学習に再利用しない契約)/送信前にメタデータを除去 |
| LINE 株式会社 / LY Corporation | 日本(一部運用 韓国) | LINE 公式アカウント連携・LINE Login | 日本国内法(個人情報保護法)が適用。一部運用基盤は韓国に所在しますが、韓国は個人情報保護法(PIPA)を有し、EU から GDPR 第45条に基づく十分性認定を受けている国です。 個情委 諸外国制度概要 | LINE 公式 API 経由でのみ取扱/OAuth 認可スコープを最小化/ユーザーが連携解除可能 |
※ 各委託先の制度概要は、個人情報保護委員会「外国における個人情報の保護に関する制度等の調査結果」および各社公表情報に基づく要約です。最新かつ正確な情報は個情委公式サイトおよび各社プライバシーポリシーをご参照ください。
これらの委託先は、当社との間で個人情報の安全管理に関する契約(DPA 等)を締結し、当社の指示に基づき委託された業務の範囲内でのみ個人情報を取り扱います。 上記のうち米国所在の委託先への提供については、利用規約・本ポリシーへの同意により越境移転にも同意いただいたものとして取り扱います。同意の撤回をご希望の場合は本ポリシー末尾の窓口までご連絡ください(撤回の結果、本サービスの主要機能をご利用いただけなくなる場合があります)。
5. 安全管理措置
- 通信は HTTPS(TLS)で暗号化します。
- 振り返りメモは AES-256-GCM で暗号化保存します。
- 食事写真は非公開ストレージに保存し、本人と同意済みトレーナー以外は閲覧できません。
- データベースには Row Level Security(行レベルセキュリティ)を全テーブルに適用しています。
- 従業員へのアクセス制御、ログ監視、定期的な脆弱性確認を実施します。
6. 保有期間・削除
- 退会後、ユーザーデータは30日間保管後に物理的に削除されます。
- 退会前にCSVエクスポート機能でデータを取得していただけます。
- 会計帳簿等、法令で保管が義務付けられる情報は法定期間保管します。
7. ユーザーの権利
ユーザーは個人情報保護法に基づき以下の権利を有します。
- 保有個人データの開示請求
- 訂正、追加、削除の請求
- 利用停止、消去、第三者提供の停止の請求
- データポータビリティに関する請求(CSVエクスポート対応)
上記の請求は本ポリシー末尾の連絡先へお問い合わせください。 本人確認のうえ、合理的な期間内に対応します。
8. Cookie 等
本サービスでは、サービスの提供・改善のために Cookie および類似技術 (localStorage 等)を使用します。Cookie は以下の 3 つのカテゴリに分類され、 必須以外のカテゴリはユーザーが同意した場合に限り有効化されます。 同意は画面下部の Cookie 同意バナーから取得し、ブラウザの localStorage キー cookie_consent_v1に保存します。設定はいつでも本ポリシーから変更可能です。
(1) 必須 Cookie
- 用途:ログイン認証セッションの維持、CSRF 対策、表示設定の保持
- 提供元:当社(Supabase Auth の Cookie を含む)
- 同意:不要(無効化するとサービスをご利用いただけません)
(2) アクセス解析 Cookie
- 用途:ページビュー数・滞在時間・ファネル等の計測、サービス改善
- 提供元:Google LLC(Google Analytics 4)、PostHog Inc.
※ GA4 は IP 匿名化を有効化したうえで利用しています。PostHog は識別済みユーザー (identified_only モード)のみプロファイル化します。 - 同意:必要(バナーで明示的に許可した場合のみロード)
(3) 広告関連 Cookie
- 用途:広告効果測定・最適化
- 提供元:現時点では未導入。将来導入する場合は本ポリシーで通知します。
- 同意:必要(導入後、バナーで明示的に許可した場合のみ)
ログイン済みユーザーが同意・撤回を行った場合、その証跡(同意カテゴリ、日時、 ハッシュ化した IP / User-Agent)を当社の consent_auditテーブルに記録します。匿名ユーザーの同意状態は localStorage に限定して保存し、 当社サーバーには送信されません。
ブラウザの設定により Cookie 全般を拒否することも可能ですが、その場合、 必須 Cookie も無効化されるため、ログイン等の機能がご利用いただけません。
9. 未成年者の利用
本サービスは18歳以上の方のみご利用いただけます。 動画アップロード機能は児童ポルノ禁止法および青少年保護の観点から18歳以上に限定されます。
10. 統計データ・匿名加工情報の内部利用
当社は、本サービスの品質向上およびサービス開発のため、ユーザーから取得した 記録データ (食事記録、PFC、トレーニング、体重、睡眠等) について、個人を特定できない形に統計化・匿名加工したうえで内部利用する場合があります。 想定する利用目的は以下のとおりです。
- 本サービスの機能改善・新機能の検証 (例: 食事傾向に基づくレコメンド精度の改善)
- セグメント別 (年齢層・主目的・食事場面など) の集計・統計研究
- 将来のサービス開発・健康関連の研究目的での社内分析
- AI モデルのプロンプト改善・評価データセット整備 (個別の生データを学習素材として外部送信することはしません)
匿名加工情報の作成にあたっては個人情報保護法および「個人情報の保護に関する法律施行規則」第34条 に定める基準に従い、特定の個人を識別できる記述および個人識別符号を削除します。 元データへの復元を試みる行為は行いません。
外部第三者への有償提供は、現時点では行っておりません。将来、匿名加工情報を外部に提供する場合には、本ポリシーを改定し、提供項目・提供方法を明示したうえで、 個人情報保護法 第43条以下の手続 (公表等) を遵守します。
この内部統計利用の対象から自身のデータを除外したい場合 (オプトアウト) は、 設定画面の「プライバシー項目」または本ポリシー末尾の窓口までご連絡ください。 なお、すでに匿名加工した時点で個人との対応関係が切り離されているため、 遡及的な除外には応じられない場合があります。
11. ポリシーの変更
本ポリシーは法令改正、サービス内容の変更等に応じて改定されることがあります。 重要な変更については本サービス内または登録メールアドレスへの通知により周知します。
お問い合わせ窓口
個人情報保護管理者:古橋和佐
連絡先メール:olkazu0828@gmail.com
事業者:ニコフィット(個人事業主:古橋和佐)
所在地:東京都江東区豊洲3-6-5
サービス URL:https://nico-fit.com