Shiballet プライバシーポリシー

本ポリシーは、ShiballetのWebサイト、関連アプリ、サポート窓口、課金・認証を含む関連機能に適用されます。

アプリ固有の機能に応じた個別ポリシーまたは購入画面上の表示が存在する場合は、当該個別表示を優先して適用します。

ただし、法令で定める開示事項、課金チャネル規約、監督官庁の指針等により別途の取扱いが求められる場合は、それらが本ポリシーに優先します。

本ポリシーは、運営が管理するサービス領域に適用されます。外部リンク先や第三者提供サービスについては、各事業者の規約・ポリシーが別途適用される場合があります。

利用者は、サービス利用を開始する前に本ポリシーおよび関連文書を確認し、最新の内容に基づいて利用するものとします。

• アカウント情報（メールアドレス、表示名など）
• 利用情報（閲覧履歴、操作履歴、設定情報、利用時刻）
• 端末・接続情報（IPアドレス、ブラウザ種別、OS情報）
• お問い合わせ時に提供される情報
• 禁煙支援データ（我慢時間、選択結果、再開回数）
• 行動履歴（開始/終了時刻、達成推移、継続ログ）

上記情報は、利用者が直接入力する情報、自動的に生成される利用ログ、本人同意に基づく連携サービス由来の情報に分類して取り扱います。

取得項目は、機能提供・不正対策・法令対応に必要な最小限へ定期的に見直し、不要となった項目は新規取得を停止します。

一部項目は機能提供に必須であり、提供されない場合には当該機能の全部または一部を利用できないことがあります。任意項目については、可能な範囲で未入力でも利用できる設計を採用します。

収集時には、対象法令で求められる範囲で収集項目、利用目的、第三者提供・委託の有無等を明示し、必要な同意取得を行います。

• 利用者による直接入力（フォーム入力、設定入力、問い合わせ送信）
• サービス利用時の自動取得（アクセスログ、操作ログ、端末識別情報）
• 連携機能を通じた第三者サービスからの取得（利用者の許可がある場合）

• サービス提供、本人確認、サポート対応
• 機能改善、品質向上、新機能検討
• 不正利用防止、セキュリティ監査
• 法令対応および権利保護
• 禁煙行動の継続支援、我慢時間の記録可視化、再挑戦計画の提案

取得情報を、上記目的と合理的に関連しない用途へ利用する場合は、法令に従って追加の同意取得または適法な根拠の確認を行います。

利用目的は、機能の追加・変更、法令改正、監査結果に応じて更新される場合があり、重要な変更はポリシー改定として通知します。

利用目的ごとに必要なデータ範囲を定義し、過剰な参照・保存を抑制します。新たな分析・レコメンド機能を導入する場合は、法令上必要な説明と同意管理を実施します。

プロファイリングや傾向分析を行う場合は、対象法令に従い、利用者が確認・拒否・設定変更できる手段を提供するよう努めます。

法令に基づく場合、本人または公衆の生命・財産保護のため緊急性が高い場合等を除き、本人同意なく個人情報を第三者へ提供しません。

運用上必要な範囲で外部事業者へ処理委託を行う場合は、委託先との契約により機密保持、安全管理、再委託条件、監査対応を定め、継続的に監督します。

決済・認証・インフラ等の業務委託先が独立した管理者として情報を扱う場合は、当該事業者の規約・ポリシーが併せて適用されます。

委託先の選定にあたっては、情報保護体制、法令順守状況、事故対応能力等を確認し、必要に応じて改善要求または委託停止を行います。

重要な委託構成の変更があり、法令または契約で通知が必要な場合は、適切な手段で利用者に案内します。

個人情報は、利用目的達成に必要な期間、法令上の保存義務期間、紛争対応・不正対策に必要な期間を基準として保持期間を定めます。

保持期間を経過した情報は、復元困難な方法で削除または匿名化し、バックアップ領域に残存する情報も所定サイクルで上書き・消去します。

退会後の情報については、請求・監査・セキュリティ上必要な最小限の範囲に限定して保持し、保持理由が消滅した時点で速やかに削除します。

保持期間の設定根拠は、法令要件、契約上の責務、事故調査期間、会計監査要件等を総合して定め、定期的に見直します。

利用者から削除請求があった場合でも、法令上の保存義務または権利保全上必要な情報については、法令で許容される期間に限り保持されることがあります。

アクセス制御、最小権限管理、通信経路保護、監査ログ記録、脆弱性対応、バックアップ運用などの技術的・組織的措置を講じます。

個人情報へアクセス可能な担当者を業務上必要な範囲へ限定し、権限棚卸し・認証強化・監査証跡の点検を定期的に実施します。

事故が発生または発生のおそれがある場合は、影響範囲の特定、再発防止策の実施、必要な通知・報告を行います。

セキュリティ運用は、脅威動向、監査結果、障害分析を反映して継続的に改善し、重要な設計変更時にはリスク評価を実施します。

従業者および委託先に対しては、機密保持義務と教育・訓練を通じて、人的要因による漏えい・誤送信・不正持出しの防止を図ります。

• 開示、訂正、削除、利用停止、処理制限、データ移転等の請求（適用法令の範囲内）
• 同意の撤回、アカウント削除の申請
• 各種請求時の本人確認と対応期間の案内
• 対応できない場合の理由説明および再申請手段の提示

請求内容や対象法域により、本人確認書類、対象アカウント情報、請求範囲の補足を依頼する場合があります。

法令上許容される場合（第三者権利侵害のおそれ、保存義務、継続中の不正調査等）には、請求の全部または一部に応じられないことがあります。

請求への回答は、適用法令で定められた期間内に行うよう努めます。複雑な案件では、法令上許容される範囲で回答期限を延長し、その理由を通知する場合があります。

利用者は、同意に基づく処理についていつでも撤回を申請できます。ただし、撤回前に適法に行われた処理の有効性には影響しません。

同意に基づく処理は、利用者がいつでも撤回を申請できます。撤回前の処理の適法性には影響しません。

アカウント削除時は、法令上または不正対策上必要な情報を除き削除を進め、保持が必要な情報は目的・期間を限定して保管します。

本ポリシーは、法令改正、監督指針の更新、サービス仕様変更、セキュリティ運用改善に応じて改定される場合があります。

重要な変更（取得項目の追加、利用目的の拡張、第三者提供方針の変更等）については、Web掲示、アプリ通知、メール等の合理的手段で周知します。

改定後のポリシーは、別段の定めがない限り、当社が定める施行日から効力を生じます。

利用者の権利義務に実質的な影響を与える変更については、施行日までに合理的な周知期間を設け、必要に応じて同意再取得を行う場合があります。

施行日以降にサービスを継続利用した場合、利用者は改定後ポリシーの適用に同意したものとして取り扱う場合があります。

個人情報の取り扱いに関するご質問、権利行使請求、苦情申立ては、サポート窓口から受け付けています。

請求内容の確認のため、本人確認情報や対象アカウント情報の追加提出をお願いする場合があります。

受付後は、対象法域の法令に基づく期限内での回答に努めます。内容が複雑で追加調査が必要な場合は、進捗と見込み時期を案内します。

開示請求等で手数料が認められる法域では、法令上許容される範囲で実費相当の負担をお願いする場合があります。

サポート窓口を見る

Shiballetでは、機能特性に応じて次の取扱いが追加で適用されます。以下は本ポリシー本文の補足であり、矛盾する場合は法令上必要な取扱いを優先します。

• 禁煙支援のため、我慢時間、選択結果、操作履歴などの行動データを記録する場合があります。
• 継続状況の可視化、達成度表示、再挑戦支援に必要な範囲で、記録データを保存する場合があります。

追加取扱いの対象となる情報は、当該機能の提供に必要な範囲でのみ利用し、目的外利用は行いません。統計表示や傾向把握に利用する場合は、可能な範囲で個人識別性を低減した形式で取り扱います。

アプリ固有機能に関する詳細な運用条件（入力項目、保持期間、機能停止時の取扱い等）は、各アプリ内の説明または関連ヘルプで補足される場合があります。重要な変更がある場合は、本ポリシー改定または同等の手段で周知します。

対象地域の法令に応じて、同意、契約履行、正当利益、法的義務などの適法根拠に基づいて個人情報を処理します。

同意を根拠とする処理は撤回可能であり、撤回後は法令上許容される範囲を除き当該処理を停止します。

サービス提供者の役割（管理者、共同管理者、処理者）を業務実態に応じて明示し、責任分界を定義します。

共同管理または独立管理がある場合は、主要な問い合わせ先と権利行使の窓口を利用者へ案内します。

対象地域法で求められる場合、情報収集時点で収集項目、利用目的、第三者提供有無、保持期間の考え方を明示します。

表示内容に重要な変更がある場合は、変更後の収集開始前に周知し、必要に応じて追加同意を取得します。

利便性向上、表示最適化、ログイン状態維持、利用状況把握、不正対策のためにCookieや類似技術を利用します。

ブラウザ設定によるCookie制御や削除は可能ですが、無効化した場合は一部機能が利用できない、または表示品質が低下することがあります。

利用カテゴリ、保存期間、第三者提供の有無などの詳細は、Cookieポリシーにて確認できます。

必須Cookieはサービス提供と安全確保のために利用し、解析・機能改善目的のCookieは対象法域の要件に応じて同意管理またはオプトアウト手段を提供します。

同意状態や拒否設定は、説明責任と監査対応のため必要期間記録する場合があります。

解析や広告関連の識別子利用について、利用者が設定変更や各種オプトアウト手段を通じて制御できるようにします。

オプトアウト後も、セキュリティ監視・不正対策等の必須処理に必要な最小限のログ収集は継続する場合があります。

レコメンドや傾向分析のための評価処理を行う場合があります。対象地域の法令に基づき拒否手段や説明手段を提供します。

プロファイリング結果は、差別的または不当な結果を避けるため、定期的に精度・バイアス・妥当性を検証します。

同意取得、拒否、設定変更、オプトアウト等の履歴は、説明責任と監査対応のため必要期間保存する場合があります。

保存する履歴は、目的外利用を防止するため利用範囲を限定し、アクセス管理を実施します。

運用上必要な範囲で国外事業者を利用する場合があります。その際は、移転先の法制度、委託先の管理体制、処理内容の機微性を評価したうえで実施します。

契約条項、アクセス制御、暗号化、監査対応などの保護措置を講じ、適用法令で要求される越境移転手続きを満たすよう運用します。

法令で開示が求められる地域では、移転先区分や保護措置の概要を、合理的な方法で利用者へ案内します。

高リスクデータの越境移転では、必要性評価、移転最小化、保存期間短縮等の追加措置を実施し、移転に伴う影響を低減します。

国際移転の前提に重大な変更が生じた場合は、適用法令に従い、追加同意の取得または代替手段の提示を行う場合があります。

クラウド運用、分析、決済、通知配信等のために委託先を利用する場合があります。委託先には秘密保持義務、安全管理義務、再委託条件を課します。

委託先の選定時には、セキュリティ体制、法令順守状況、障害時対応能力を確認します。

重要な委託先変更がある場合、法令または契約で求められる範囲で事前または事後に通知します。

利用者保護に重大な影響がある変更は、合理的な周知期間を設けたうえで適用します。

個人情報侵害が発生した場合は、影響範囲・原因・再発防止策を評価し、法令に従って監督機関および利用者へ通知します。

通知には、影響を受ける可能性のある情報種別、推奨される対処、問い合わせ窓口を含めます。

侵害報告の期限が法令で定められている地域では、所定期限内の初動報告を行います。

初動報告時点で情報が確定していない場合でも、判明済み事項と暫定対策を示し、続報により内容を更新します。

健康情報、位置情報など機微性の高い情報を扱う場合は、利用目的を限定し、目的達成に必要な最小範囲で取得・処理します。

当該情報はアクセス権限を厳格化し、一般ログや分析用途へ無制限に転用しない運用を原則とします。

対象地域法で定義される Sensitive Personal Information は、法令で許容される目的および本人同意範囲に限定して利用します。

利用制限の請求を受領した場合は、法令上必要な例外を除き、処理停止または利用範囲の縮小を実施します。

開示・訂正・削除などの請求には、本人確認を行ったうえで法定期限内に回答します。対応不能な場合は理由を説明します。

反復的または過度な請求については、法令の範囲で対応方法を調整する場合があります。