プライバシーポリシー

スタッツ株式会社（以下「当社」）は、当社が提供するイベント受付管理サービス「S/PASS」（以下「本サービス」）のご利用にあたり、ユーザーの個人情報を以下のとおり取り扱います。

最終更新：2026-05-19

0. 本ポリシーにおける用語

本サービスは、イベント主催者（以下「主催者」）が参加者（以下「参加者」）を招待・管理するためのプラットフォームです。本ポリシーにおいて、「主催者」と「参加者」を総称して「ユーザー」といいます。

なお、参加者の個人情報については、当社は主催者からの委託に基づき処理する立場（個人情報の保護に関する法律（以下「個人情報保護法」）第27条第5項第1号に定める委託先）にあり、取扱いの最終責任は主催者にあります。当社と主催者の役割分担の詳細については、利用規約および別途締結するデータ処理に関する合意（以下「DPA」）に従います。

1. 事業者情報

2. 取得する個人情報

本サービスのご利用に伴い、以下の個人情報を取得することがあります。

2-1. 主催者から直接取得する情報

• 氏名（ご担当者名）
• 会社名
• メールアドレス
• パスワード（ハッシュ化のうえ保管。原文は保持しません）
• 多要素認証用シークレット（暗号化のうえ保管）
• 決済関連情報（Stripe 経由で処理。クレジットカード番号自体は当社では保持しません）

2-2. 参加者の情報（主催者経由で登録される情報）

• 氏名
• メールアドレス
• 所属組織
• 出欠回答ステータス
• 来場記録（QRコードによるチェックイン時刻）

参加者情報は、主催者が招待・管理する目的で登録されるものであり、当社は当該情報を主催者の業務委託先（プロセッサー）として処理します。具体的な取扱条件は、主催者と当社との間で締結する利用規約および DPA に従います。

2-3. 自動的に取得する情報

• IP アドレス
• ブラウザ・OS 情報（User-Agent）
• アクセスログ（リクエストパス、応答ステータス）
• 認証ログ（ログイン時刻、失敗回数）

3. 利用目的

取得した個人情報は、以下の目的のために利用します。

1. 本サービスの提供および機能の実行（招待メール配信、QRコード発行、来場受付 等）
2. 本人認証およびアカウント管理
3. 不正利用の防止（連続ログイン失敗時のレート制限 等）
4. 料金請求および決済処理
5. 本サービスに関するお知らせ・サポート対応
6. 障害・インシデント発生時の通知
7. 本サービスの改善・新機能開発のため、個人を特定できない統計情報として集計・利用
8. 法令に基づく対応

利用目的を変更する場合は、変更内容を本サービス上または電子メールにて事前にお知らせします。

4. 第三者提供

当社は、以下の場合を除き、取得した個人情報を第三者に提供しません。

1. ユーザー本人の同意がある場合
2. 法令に基づく場合
3. 人の生命・身体・財産の保護のために必要であって、本人の同意を得ることが困難な場合
4. 国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合

5. 業務委託先（サブプロセッサー）

本サービスの提供にあたり、以下のサブプロセッサーに個人情報の処理を委託しています。詳細は サブプロセッサー一覧 を参照してください。

委託先選定にあたっては、当該事業者が十分な個人情報保護体制（SOC 2 Type II 等の第三者認証）を有することを確認し、契約上の安全管理義務を課しています。

6. 外国にある第三者への提供（越境移転）

本サービスでは、データの大部分を日本国内（AWS 東京リージョン）で保管しますが、一部のサブプロセッサー（Resend / Stripe / Vercel CDN 等）の事業者所在地は米国を中心としており、処理の一部が日本国外で行われる可能性があります。

個人情報保護法第28条に基づき、外国にある第三者への個人データの移転に関して、以下の情報を提供します。

6-1. 移転先国

主に米国（一部、Vercel CDN を経由する場合はグローバル）

6-2. 当該国の個人情報保護制度

米国には、EU GDPR や日本の個人情報保護法のような連邦レベルの包括的な個人情報保護法は存在しません。州法（カリフォルニア州消費者プライバシー法 CCPA／CPRA 等）および分野別の連邦法（HIPAA、GLBA 等）が組み合わさって個人情報保護を規律しています。

より詳細な制度概要については、個人情報保護委員会ウェブサイトに掲載される外国の個人情報保護制度に関する情報をご参照ください。

6-3. 移転先における安全管理措置

各サブプロセッサーは、SOC 2 Type II 等の国際的な情報セキュリティ認証を取得しており、当社は委託契約において以下の事項を求めています。

• 個人データの目的外利用の禁止
• 適切な技術的・組織的安全管理措置の実施
• 漏洩等発生時の通知義務
• 監査・是正請求への協力

より詳細な情報の提供をご希望の場合は、本ポリシー第12項の窓口までご連絡ください。

7. 安全管理措置

当社は、個人情報の漏えい・滅失・毀損を防止するため、以下の安全管理措置を講じています。

組織的安全管理措置

• 個人情報保護管理責任者の設置
• 個人情報取扱手順の文書化（本ポリシーおよび内部規程）
• 従業員への定期的な教育

人的安全管理措置

• 従業員との秘密保持契約締結
• 退職時のアクセス権剥奪

物理的安全管理措置

• データセンター（AWS 東京リージョン）における入退室管理、監視カメラ、サーバラック施錠

技術的安全管理措置

• 全通信の TLS 1.2/1.3 暗号化
• データベース at-rest 暗号化（AES-256）
• パスワードの bcrypt ハッシュ化、多要素認証（TOTP）対応
• アクセス権限制御（Supabase Row Level Security）
• セキュリティパッチの定期適用
• アクセスログ・認証ログの取得・監視

8. 漏洩等が発生した場合の対応

個人データの漏洩、滅失、毀損その他の事態（以下「漏洩等」）が発生した場合、当社は個人情報保護法第26条およびその他関連法令に基づき、以下の対応を速やかに行います。

1. 個人情報保護委員会への報告（法令で定める要件に該当する場合）
2. 本人への通知（法令で定める要件に該当する場合）
3. 被害拡大防止のための応急措置および原因究明
4. 再発防止策の検討・実施

主催者が登録した参加者の個人情報について漏洩等が発生した場合は、まず主催者に対して速やかに通知し、主催者と協力のうえ参加者への通知等の必要な対応を行います。

9. 開示・訂正・削除請求

ユーザーは、ご自身の保有個人データについて、以下を請求できます。

• 利用目的の通知
• 開示（第三者提供記録の開示を含む）
• 内容の訂正・追加・削除
• 利用停止・消去・第三者提供の停止

手数料：無料（ただし、特別な調査・対応を要する場合は、合理的な範囲で実費をご請求することがあります）

請求方法：support@statsworks.tokyo 宛にご連絡ください。ご本人確認のうえ、法令で定める期間内に対応します。

参加者の方は、原則として、登録元の主催者に対して請求してください。当社は主催者からの指示に基づき対応します。直接当社にご請求いただいた場合は、主催者を通じてご対応いただくようご案内します。

10. 保管期間

個人情報は、利用目的の達成に必要な範囲で保管します。契約終了後の取扱いは データ保管・廃棄ポリシー を参照してください。

11. Cookie および類似技術

本サービスは、以下の目的で Cookie および類似技術を使用します。

• ログインセッションの維持
• セキュリティ（CSRF 対策、レート制限）
• サービス利用状況の分析（個人を特定しない形での集計）

広告配信・行動ターゲティングを目的とした第三者 Cookie は使用していません。

将来的に Google Analytics 等の外部アクセス解析ツールを導入する場合は、本ポリシーを改定のうえ事前にお知らせし、当該事業者のプライバシーポリシーへのリンクおよびオプトアウト方法を案内します。

12. お問い合わせ窓口

個人情報の取扱いに関するご質問・苦情等は、以下までご連絡ください。

スタッツ株式会社 個人情報保護窓口 電子メール：support@statsworks.tokyo

13. 改定

本ポリシーは、法令の変更やサービス内容の変更に応じて改定することがあります。重要な変更を行う場合は、事前に本サービス上または電子メールにてお知らせします。

改定履歴