プライバシーポリシー

Lestiq（以下「運営者」といいます。）は、運営者が提供するマルチテナント型SaaSオンライン英会話スクール向け予約管理サービス「Lestiq」（以下「本サービス」といいます。）の利用者（テナント、管理者、コーチおよび受講者を含む、以下「利用者」といいます。）の個人情報の保護を重要な責務と認識し、個人情報の保護に関する法律（以下「個人情報保護法」といいます。）その他の関連法令およびガイドラインを遵守し、以下のとおりプライバシーポリシー（以下「本ポリシー」といいます。）を定めます。

第1条（収集する情報）

運営者は、本サービスの提供にあたり、以下の情報を収集することがあります。

1. 利用者から直接提供される個人情報

• 氏名（または表示名・ニックネーム）
• メールアドレス
• 電話番号
• パスワード（ハッシュ化して保存）
• 所属する法人名・部署名（法人受講者の場合）
• プロフィール画像
• タイムゾーン、言語設定
• その他、登録フォームにおいて利用者が入力した情報

2. テナント固有の情報

• スクール名称、スラッグ（URL識別子）、ロゴ、ブランドカラー等のブランド情報
• 決済サービス（Stripe）の連携に必要なAPIキー情報（暗号化して保存）
• チケット商品、料金プラン等の設定情報
• Stripe顧客ID、サブスクリプションID等の決済識別情報
• LINE、WhatsApp、Zoom等の外部サービス連携情報

3. サービス利用に伴い自動的に収集される利用データ

• IPアドレス
• ブラウザの種類およびバージョン
• オペレーティングシステム
• アクセス日時
• リファラ情報（遷移元URL）
• 本サービス内での操作履歴（ページ閲覧、予約操作、ログイン履歴等）
• エラーログおよびパフォーマンスデータ

4. 外部サービス連携により取得する情報

• Google OAuth認証を利用した場合に、Googleから提供される識別情報（Google ID、メールアドレス、表示名、プロフィール画像）
• LINE認証を利用した場合に、LINEから提供される識別情報（LINE ユーザーID、表示名、プロフィール画像）

5. Cookieおよび類似技術により収集される情報

• セッション識別情報（JWT認証トークン）
• 言語設定、UI状態等の利用者設定情報

第2条（情報の利用目的）

運営者は、収集した情報を以下の目的で利用します。

1. 本サービスの提供、運営および維持
2. 利用者の本人確認およびアカウント管理
3. レッスンの予約、スケジュール管理およびコーチとのマッチング
4. 利用料金の請求および決済処理
5. 予約確認、リマインダー、キャンセル通知等のサービス通知の送信
6. お問い合わせ、サポート対応
7. 本サービスに関する重要なお知らせ（メンテナンス、障害、規約変更等）の通知
8. 本サービスの改善、新機能の開発および品質向上
9. 利用状況の統計分析（個人を特定しない形式に加工した上で実施）
10. 不正利用の防止、セキュリティの確保およびシステムの安定運用
11. 法令に基づく対応（裁判所の命令、行政機関の要請等）

運営者は、上記の目的の範囲を超えて個人情報を利用する場合、あらかじめ利用者の同意を得るものとします。

第3条（情報の共有と第三者提供）

1. 運営者は、以下の場合を除き、利用者の個人情報を第三者に提供しません。
   • 利用者の同意がある場合
   • 法令に基づく場合
   • 人の生命、身体または財産の保護のために必要がある場合であって、利用者の同意を得ることが困難である場合
   • 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、利用者の同意を得ることが困難である場合
   • 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用者の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
2. 運営者は、本サービスの提供に必要な範囲で、以下の外部サービス事業者に個人情報の取り扱いを委託または共有することがあります。各事業者には適切な安全管理措置を義務付けます。
   • Stripe, Inc.（米国）: 決済処理（クレジットカード情報はStripeが直接処理し、運営者のサーバーには保存されません）
   • Resend（米国）: メール配信サービス（送信先メールアドレス、送信内容）
   • 8x8, Inc. / Jitsi Meet: オンラインミーティング基盤（ミーティングURL生成）
   • Zoom Video Communications, Inc.（米国）: Zoom API連携によるミーティング作成（テナントがZoom連携を設定した場合）
   • LINEヤフー株式会社: LINE OAuth認証およびLINE公式アカウント連携（テナントがLINE連携を設定した場合）
   • Google LLC（米国）: Google OAuth認証（テナントがGoogle認証を設定した場合）
   • XServer株式会社（日本）: サーバーホスティング
3. テナントは、自らのスクール運営に必要な範囲で、当該テナントに所属する受講者およびコーチの情報にアクセスすることができます。テナントが収集・管理する個人情報の取り扱いについては、各テナントが定めるプライバシーポリシーが適用されます。

第4条（情報の保管と保護）

1. 運営者は、利用者の個人情報の正確性を保ち、これを安全に管理するため、以下の措置を講じます。
   • 通信の暗号化（SSL/TLS）の実施
   • パスワードのハッシュ化保存（bcrypt）
   • データベースへのアクセス権限の適切な管理
   • サーバーおよびデータベースのセキュリティ対策（ファイアウォール、アクセスログ監視等）
   • JWT認証トークンによるセッション管理
   • APIエンドポイントへのレート制限
2. 利用者の個人情報は、日本国内に所在するサーバー（XServer VPS、所在地: 日本）上のPostgreSQLデータベースに保管されます。
3. 運営者は、個人情報の漏洩、滅失または毀損の防止に努めますが、技術的制約により、その完全性を保証するものではありません。
4. 万一、個人情報の漏洩等が発生した場合、運営者は速やかに影響を受ける利用者および関係機関に通知し、被害の拡大防止に努めます。

第5条（Cookieおよび類似技術の利用）

1. 本サービスでは、利用者の利便性の向上およびサービスの安定的な提供を目的として、Cookieおよび類似技術を使用します。
2. Cookieの主な利用目的は以下のとおりです。
   • ログイン状態の維持およびセッション管理（JWT認証トークンの保存）
   • 利用者の言語設定、UIテーマ等の設定情報の保持
   • セキュリティ対策（不正アクセスの検出）
3. 本サービスでは、現時点において広告目的のCookieおよびサードパーティ分析ツール（Google Analytics等）は使用していません。
4. 利用者は、ブラウザの設定によりCookieの受け入れを拒否することができます。ただし、Cookieを拒否した場合、本サービスのログイン機能等が正常に動作しなくなることがあります。

第6条（データの保持期間）

1. 運営者は、利用目的の達成に必要な期間、個人情報を保持します。
2. 個人利用者がアカウントを削除した場合、運営者は法令に基づく保存義務のある情報を除き、30日以内に当該利用者の個人情報を削除します。
3. テナントが解約した場合、当該テナントに関連するすべてのデータ（受講者情報、予約情報、レッスン履歴、設定情報等を含む）は、解約日から90日間保持された後、完全に削除されます。
4. アクセスログは、セキュリティおよびシステム運用の目的で最大12ヶ月間保持し、その後削除します。
5. 決済に関する取引記録は、関連法令（電子帳簿保存法等）に基づき、最大7年間保存します。

第7条（利用者の権利）

1. 利用者は、個人情報保護法の定めに基づき、運営者が保有する自己の個人情報について、以下の権利を有します。
   • 開示請求: 運営者が保有する自己の個人情報の開示を請求する権利
   • 訂正・追加・削除請求: 自己の個人情報が事実でない場合に、訂正、追加または削除を請求する権利
   • 利用停止・消去請求: 個人情報が利用目的の範囲を超えて取り扱われている場合等に、利用停止または消去を請求する権利
   • 第三者提供の停止請求: 個人情報の第三者への提供を停止するよう請求する権利
2. 前項の請求は、本ポリシー末尾に記載のお問い合わせ先までご連絡ください。運営者は、本人確認を行った上で、法令に定める期間内に対応します。
3. 利用者は、本サービスの管理画面を通じて、自己の登録情報の確認および変更を行うことができます。
4. EU/EEA域内に居住する利用者は、EU一般データ保護規則（GDPR）に基づき、データポータビリティの権利（自己のデータを構造化された機械可読な形式で受け取る権利）および処理への異議申立ての権利を追加的に有します。

第8条（海外への情報移転）

1. 本サービスでは、以下の外部サービスの利用に伴い、利用者の個人情報が日本国外（主に米国）に移転される場合があります。
   • Stripe, Inc.（米国）: 決済処理に必要な情報
   • Resend（米国）: メール配信に必要な情報（送信先メールアドレス等）
   • Zoom Video Communications, Inc.（米国）: Zoom連携に必要な情報（テナントが設定した場合）
   • Google LLC（米国）: Google認証に必要な情報（テナントが設定した場合）
2. 上記の外部サービス事業者は、それぞれのプライバシーポリシーに基づき適切な安全管理措置を講じています。運営者は、個人情報保護法第28条に基づき、移転先における個人情報の保護について必要な措置を講じるよう努めます。
3. 利用者の主要な個人情報（アカウント情報、予約情報、レッスン履歴等）は、日本国内のサーバーに保管されます。

第9条（子供のプライバシー）

1. 本サービスは、原則として16歳以上の方を対象としています。
2. 16歳未満の方が本サービスを利用する場合は、親権者または法定後見人の同意を得た上で利用するものとし、当該同意を得たことの責任はテナントが負うものとします。
3. 運営者が16歳未満の利用者の個人情報を親権者等の同意なく収集していることが判明した場合、運営者は速やかに当該情報を削除する措置を講じます。

第10条（本ポリシーの変更）

1. 運営者は、法令の改正、本サービスの変更その他の事由により、本ポリシーを変更することがあります。
2. 本ポリシーの重要な変更（収集する情報の範囲の拡大、利用目的の追加、第三者提供先の変更等）を行う場合、運営者は変更の効力発生日の14日前までに、本サービス上での告知、電子メールまたはその他適切な方法により利用者に通知するものとします。
3. 変更後の本ポリシーは、本サービス上に掲載した時点（または運営者が別途定める効力発生日）から効力を生じるものとします。

第11条（お問い合わせ）

本ポリシーに関するお問い合わせ、個人情報の開示・訂正・削除・利用停止等の請求については、以下の連絡先までお願いいたします。

なお、開示等の請求に際しては、本人確認のため、登録済みメールアドレスからのご連絡をお願いする場合があります。手数料は原則として無料ですが、請求内容に応じて実費をご負担いただく場合があります。