プライバシーポリシー

1. 事業者情報

会社名:

家島建設株式会社

法人番号:

4140001057699

所在地:

〒672-8048 兵庫県姫路市飾磨区三宅 2-59

代表者:

中野 宏一郎

TEL:

079-234-1081

個人情報保護管理者 (個情法 32 条 1 項):

本サービス運営責任者

お問い合わせ:

t.ohgami@ieshima.co.jp

2. 取得する情報

学生 (本人) から取得する情報

• ニックネーム
• 所属学校・学年・クラス
• 学習進捗（チャプタークリア状況、正答率、バッジ）
• 回答履歴・タイピング成績
• 秘密の質問と合言葉（パスワードリセット用、任意）
• ログイン履歴、最終アクセス時刻、アクセスログ
• 認証識別子（Supabase Auth が払い出す UUID）

個人利用の方から取得する情報（任意）

• メールアドレス（本人確認・パスワードの復旧・重要なお知らせの送付用、任意）。 ご本人がプロフィール画面で入力された場合にのみ取得します。確認状況 （students.account_email_verified_at）および確認時のプライバシーポリシー版（students.account_email_policy_version）を併せて記録します。

※ メールアドレスは学校から配布されたアカウントでご利用の方には適用されません （個人で直接ご登録の方のみが対象です）。

保護者 (法定代理人) から取得する情報（15 歳以下の利用時のみ）

• 保護者メールアドレス（同意連絡用）
• 同意トークンハッシュ（メールリンクの真正性検証用、SHA-256 化）
• 同意完了時刻、同意対象のプライバシーポリシー / 利用規約のバージョン
• メール送信ログ（送信日時、配送状態、再送回数。詳細は第 6 章保存期間 参照）
• 同意取得時の保護者の IP アドレス、ユーザーエージェント、法定代理人で ある旨の表明、プライバシーポリシー確認の表明（個情法 32 条 1 項 4 号 「安全管理のために講じた措置」の説明義務に対応する証跡として、students.parent_consent_evidence に保存）

自動的に収集される情報 (技術的識別子)

• セッション ID、デバイス ID、所属学校 ID（ブラウザの localStorage に保存。詳細は第 7 章「Cookie・外部送信情報」参照）
• クライアントエラーログ（不具合の原因調査用、PII は自動マスキング）
• IP アドレス、ユーザーエージェント（不正利用調査用）

3. 利用目的

当社は、取得する情報を以下の目的のためにのみ利用します (個情法 17 条に基づく利用目的の特定)。

学生データの利用目的

• 学習進捗の記録、本人への表示、自己分析機能の提供
• ランキングの集計と表示（在籍校の管理者または当社の判断により有効化され、かつ 生徒本人がプロフィール画面で「ランキングへの表示」に同意した場合に限る。 個人情報保護法 27 条「あらかじめ本人同意」に基づく opt-in 方式。 初期状態は OFF で、いつでもオフに切替えると即座に表示停止。詳細は第 9 章共同利用 を参照）
• 教員・管理者による学習状況の把握、指導、成績評価の補助 (共同利用)
• 適切な学習コンテンツの提示

個人利用の方のメールアドレスの利用目的

• 本人確認（ご登録のメールアドレスの到達性・真正性の確認）
• パスワードを忘れた場合の復旧手続きのご案内
• サービス継続に必要な重要なお知らせの送付（規約改定、メンテナンス、 セキュリティに関する連絡 等。営業・広告目的の配信は行いません）

保護者データの利用目的

• 保護者同意の取得・管理・撤回処理
• 同意確認メールの送信、同意状態の継続的管理（個情法 26 条本人通知 義務、漏えい時連絡先 含む）

アクセスログ・エラーログの利用目的

• システム障害の検知、原因調査、再発防止
• 不正アクセス・不正利用 (アカウント乗っ取り / 自動化スクリプト 等) の検知と防止
• セキュリティ監視 (Supabase Advisor / CSP 違反 等)

集計データ (個人を識別できない形式) の利用目的

• サービス品質改善のための統計分析 (例: チャプター別正答率の集計、 タイピング難易度別到達率)
• 機能利用状況の把握 (例: 暗記カードの利用頻度、ランキング閲覧回数)

法令対応・苦情対応の利用目的

• 法令に基づく対応 (警察・裁判所等からの正式な照会 等)
• 苦情・お問い合わせへの回答、開示請求等への対応

注: 当社は、取得した個人データを AI / 機械学習による自動化された 学習データ生成・予測モデルの訓練に二次利用することは行いません。 将来的に二次利用を予定する場合は、本ポリシーを改定し、改めて 本人の同意を取得したうえで実施します。

4. 第三者提供

当社は、次のいずれかに該当する場合を除き、取得した個人データを第三者に提供しません。

• 本人の同意がある場合
• 法令に基づく場合（警察・裁判所等からの正式な照会を含む）
• 人の生命、身体または財産の保護のために必要であり、本人の同意を得ることが困難である場合

5. クラウドサービス利用と越境移転

当社は本サービスの運営のために、以下の外国事業者が提供するクラウドサービスを利用しており、データが外国に移転されます。各国の個人情報保護制度は下表の通りです。

上記の越境移転は、個情法 28 条 3 項に基づく「相当措置の継続的な実施を 確保するために必要な措置」を講じた移転として実施しています。具体的には、 当社は Supabase Pro プランおよび Vercel Pro プランを契約し、両事業者の クラウドサービスを利用する形で運営しており、両事業者が公開する標準 利用規約およびデータ処理契約 (DPA) テンプレート、ならびに同社らが 公開するセキュリティ運用 (SOC 2 Type II 認証、暗号化、アクセス制御 等) が適用されています。

上記措置の継続的な実施を確保するため、当社は定期的に、各移転先の Trust Center 公開情報および DPA テンプレートの改定状況を確認し、 変更があった場合は本ポリシーを改定します (個情委規則 17 条準拠)。 本人または法定代理人から開示請求を受けた場合は、直近の確認結果および 移転先連絡体制の運用記録を、お問い合わせ窓口経由でご提供します。

各外国の個人情報保護制度、および移転先が講ずる措置の詳細 (Trust Center / DPA テンプレート 等) については、当社お問い合わせ窓口までご連絡ください（書面・電子ファイルで提供します）。

6. 保存期間

学生データ

• 在学中の学習データ: 在学中は継続保有
• 卒業時のデータ: 卒業確認後も学校での採用が続く限り保持 (賞状再発行 / 進路指導 等の正当目的のため)。学校での利用が 終了した時点で、または学校管理者からの削除要請を受領した 時点で削除
• 退会申請があった場合: 学校管理者または当社お問い合わせ窓口 経由で受付し、受領後 90 日以内に運営側で手動削除 (バックアップからの消失含む)。撤回成立後の自動削除バッチは 将来導入予定 (現時点は運営側で手動実施)
• 学校での利用が終了した場合: 終了日から 30 日以内に当該校所属 学生のデータを匿名化または削除 (在校生の継続利用希望がある 場合は別途対応)

個人利用の方のメールアドレス (任意)

• メールアドレス (students.account_email): 連絡先情報のため、退会 (アカウント削除) 時に削除。それ以外は 登録継続中は保持 (本人確認・パスワード復旧・重要なお知らせのため)
• 確認状況・確認時のポリシー版 (account_email_verified_at / account_email_policy_version): メールアドレス本体と同じ期間保持し、退会時に併せて削除。開示請求の 対象に含みます

保護者データ (15 歳以下利用時)

• 同意トークンハッシュ: 同意確定後または有効期限切れ時に削除 (sha256 hash のみ保持、平文 token は DB に保存しない)
• 保護者メールアドレス: 同意撤回または学生退会時に削除。それ以外は 学生在学中継続保持 (再同意取得・同意撤回連絡用)
• メール送信ログ: 90 日保管後自動削除
• 保護者同意の証跡 (students.parent_consent_evidence): 当該学生の アカウント有効期間中および退会後 5 年間保管 (個情法に基づく開示請求 / 監査対応のため)

越境移転同意の証跡 (学生本人)

• 越境移転同意の証跡 (students.cross_border_consent_evidence): 当該学生のアカウント有効期間中および退会後 5 年間保管。同意時点の プライバシーポリシー版 / 移転先リスト / 同意取得時刻を保存

技術ログ

• アクセスログ: 不正利用調査・法令対応のため、最大 180 日保管
• クライアントエラーログ: 監視目的で 30 日間保管し自動削除
• CSP 違反レポート / セキュリティ監視ログ: 90 日間保管し自動削除

注: 本人または法定代理人からの削除請求は学校管理者の指示に優先します。 ただし、法令に基づき保持義務がある情報 (例: 不正利用調査中のアクセスログ) については、対応完了まで一時保管する場合があります。詳細は第 17 章 「卒業後・退会後のデータ取扱い」をご参照ください。

7. Cookie・外部送信情報

8. 安全管理措置

技術的安全管理措置

• Supabase Row Level Security (RLS) によるアクセス制御
• TLS (HTTPS) による通信の暗号化
• パスワードのハッシュ化（bcrypt 相当）
• セッション管理 Cookie の HttpOnly / Secure / SameSite 設定
• 法的同意の証跡 (保護者同意 / 越境移転同意) の改ざん防止: DB レベルの BEFORE UPDATE トリガー (guard_parent_consent_self_update) により学生本人による直接書換を拒否。書換は SECURITY DEFINER RPC または service_role キー経由のみ許容

組織的安全管理措置

• 個人情報取扱責任者の設置（本サービス運営責任者）
• 取扱従業者の限定と教育
• 漏えい等事案の対応手順書の整備

外的環境の把握

個情法ガイドライン（令和 4 年 9 月一部改正）に基づき、外国に所在するサーバーで個人データを取り扱う事実、および当該外国の個人情報保護制度については、本ポリシー 5 章の表に記載のとおりです。

9. 共同利用

当社は、個人情報保護法第 27 条第 5 項第 3 号に基づき、以下の範囲で個人データを共同利用します。学校の教員・管理者と家島建設株式会社は、学生の学習データを共同利用します。

共同利用される個人データの項目

• ニックネーム
• 学年・クラス
• 学習進捗（チャプタークリア状況、バッジ、正答率）
• 回答履歴
• タイピング成績
• ログイン履歴
• 最終アクセス時刻

共同利用者の範囲

登録済みの学校に所属する教員・管理者アカウント（停止状態のアカウントを除く）

利用する者の利用目的

教育・学習指導・成績評価の補助、および学習進捗の把握

個人データの管理について責任を有する者

家島建設株式会社（〒672-8048 兵庫県姫路市飾磨区三宅 2-59、代表取締役 中野 宏一郎）

10. 開示請求等の手続

本人またはその法定代理人から、保有個人データの開示・訂正・追加・削除・利用停止・第三者提供停止のご請求をいただいた場合、法令に従い遅滞なく対応します (個情法 33 条〜39 条)。

申出先

t.ohgami@ieshima.co.jp

請求方法

上記メールアドレスに、お名前・ニックネーム・所属校・ご請求内容を明記のうえご連絡ください。

対応期限

ご請求受領後 2 週間以内に回答します (本人確認に時間を要する場合は、別途ご連絡のうえ最長 1 ヶ月まで 延長することがあります)。

開示方法の選択肢

個情法 33 条 2 項に基づき、ご請求者が以下の方法を選択いただけます:

• 電子ファイル (PDF) によるメール送付
• 書面 (郵送) によるご提供

ご指定がない場合は、利便性を考慮して電子ファイルを優先します。

必要書類

本人確認のため、運転免許証・健康保険証・学生証等の本人確認書類のご提示をお願いする場合があります。法定代理人からの請求の場合は、戸籍謄本等も併せてご提示ください。本人確認書類のコピー郵送 / 来社提示のいずれかを選択いただけます。

手数料

無料（法令で認められる範囲内）

11. 漏えい等事案の対応

個人データの漏えい、滅失、毀損その他個人データの安全の確保に係る事態が発生した場合、当社は個情法 26 条および個人情報保護委員会規則 7 条に基づき、以下の対応を実施します。

個人情報保護委員会への報告

• 速報: 事案を認知してから 3〜5 日以内 (個情委規則 7 条 1 項)
• 確報: 事案を認知してから 30 日以内 (不正アクセス起因の場合は 60 日以内)

本人への通知

影響範囲特定後、速やかに以下のいずれかの方法で通知します:

• 登録メールアドレスへの送信 (該当する場合)
• アプリ内バナー / ログイン時のお知らせ画面
• 学校経由学生 (登録メールなし) は、所属校経由で保護者に通知
• 重大事案 (1,000 人超 / 要配慮個人情報) は当社 HP にて公表

通知事項

個情委規則 7 条 5 号に基づき、以下を通知します:

• 漏えい等が発生し、又は発生したおそれがある個人データの項目
• 影響を受けた本人の概数
• 漏えい等の原因
• 二次被害またはそのおそれの有無 (有の場合は具体的内容)
• 当社が既に講じた措置、および講じる予定の措置
• 本件に関するお問い合わせ窓口

詳細な対応手順は、当社内の「インシデント対応ランブック」 (docs/security/incident-response.md) に従って運用します。

12. 未成年利用と保護者同意

当社は、15 歳以下の方が本サービスを利用する場合、法定代理人（保護者）の同意を必要とします。

学校経由でのご登録（学校配布の統一 QR コードを経由した登録、または学校所属としてサーバー側で検証済みの登録）の場合、学校が保護者同意を取得しているものと推定し、個別の同意取得プロセスを省略します。直接登録でご利用の場合は、保護者同意プロセスの完了までアカウントを制限させていただきます。

ランキング表示への同意 (個人情報保護法 27 条 opt-in、第 3 章参照) については、学校経由・直接登録のいずれの場合も 生徒本人がプロフィール画面で明示的に「ランキングへの表示」をオンにする必要があります。 15 歳以下で直接登録の場合は、保護者同意 (parent_consent_verified_at) が認証時の保護判定 (StudentActiveGuard) で確認されます。これに加えて ランキング表示は本人 opt-in (ranking_opt_in) が成立した場合のみ ランキング画面・データベース行レベル (RLS) の両層で表示対象となります。 すなわち未成年の直接登録では「保護者同意 + 本人 opt-in」の両方が揃って 初めてランキングに掲載されます。

個人情報保護法の 2026 年改正動向 (2026-01-09 改正方針公表 + 2026-04-07 改正法律案公表) において、以下の方向性が示されています:

• 保護者同意が必要となる年齢を 16 歳未満 に引き上げ
• 16 歳未満について、本人通知・同意・開示等請求を法定代理人へ読み替える 規定 (改正案関連条項)
• 利用停止等請求の代理権の整備 (35 条 9 項案)
• 未成年者データ取扱いにおける「最善利益配慮」原則 (58 条の 3 案)

当社は施行と同時に、(1) 年齢定数の更新、(2) 保護者同意 UI の対象年齢 拡大、(3) 通知メール・請求対応窓口の対応表更新、(4) 学校での利用に 関する取り決めに「16 歳未満の同意取得義務」追加、を同時に実施する 予定です。詳細な対応スケジュールは第 18 章「改正法律案への対応」を ご参照ください。

13. 苦情・相談受付

本サービスに関する苦情・相談は、まず当社お問い合わせ窓口（t.ohgami@ieshima.co.jp）までご連絡ください。当社の対応にご不満のある場合は、個人情報保護委員会に申し立てを行うこともできます。

個人情報保護委員会 個人情報保護法相談ダイヤル: 03-6457-9849

14. 改定

本ポリシーは、法令の改正、事業内容の変更、安全管理措置の見直し等に応じて改定することがあります。改定は本ページで告知し、重大な変更がある場合は、学生のみなさまに再ログイン時または画面内バナーでお知らせします。

「重大な変更」に該当する事項

以下のいずれかに該当する変更は重大変更とみなし、再ログイン時に同意取得画面を表示します:

• 利用目的の変更 (新たな利用目的の追加、または既存目的との関連性を超える変更)
• 第三者提供先の追加
• 共同利用範囲 (利用者・項目・利用目的) の拡大
• 越境移転先の追加 (新規の外国事業者への委託開始)
• 保存期間の延長
• 本人請求手続きの変更

重大変更以外 (誤字修正、リンク先変更、文体改善等) は本ページの 「最終改定日」更新のみで運用します。

同意記録のバージョンについて

各種の同意 (保護者同意、越境移転同意、メールアドレスの確認、ランキング表示の同意 等) は、同意いただいた時点のプライバシーポリシー / 利用規約の版数を そのまま記録・保持します。そのため、同じ方であっても、同意の種類や 取得時期によって記録上の版数が異なる場合があります。これは同意取得時の 版を正確に復元するための仕様であり、最新版への自動的な置き換えは行いません。

15. お問い合わせ

本ポリシーおよび個人情報の取扱いに関するお問い合わせは、以下までご連絡ください。

事業者:

家島建設株式会社

窓口:

t.ohgami@ieshima.co.jp

受付時間:

平日 9:00〜17:00（土日祝を除く）

16. 保護者同意の撤回手続

15 歳以下のお子様の保護者の方は、いつでも本サービス利用に対する同意を撤回いただけます。

撤回方法

撤回方法は 2 通りあります:

1. お子様自身がアプリから撤回 (即時): お子様が「いえしまなぶ」アプリのプロフィール画面から「保護者同意を撤回する」ボタンをタップすると、 即時にアカウントが停止され、保護者の方へ通知メールが送付されます。
2. 保護者からメールでご連絡 (受領後対応): 以下のメールアドレス宛に必要事項を明記のうえご連絡ください。

送信先:

t.ohgami@ieshima.co.jp

件名:

「保護者同意の撤回希望」

本文に記載する事項:

• 保護者の方のお名前
• お子様のニックネーム
• 所属学校名 (該当する場合)
• 撤回の意思 (アカウント停止 / アカウント削除 のいずれかをご選択)
• ご連絡先メールアドレス (返信用)

対応内容

• アプリからの撤回 (上記 1): 撤回ボタン押下と同時にアカウントを停止 (即時)。学習データを含む アカウント情報は 90 日以内に運営側で手動削除いたします (バックアップからの消失含む)。削除完了前の 90 日以内であれば、 運営側にご連絡いただくことで復旧可能です。運用手順の詳細は 運営内部 runbook (parent-consent-revoke-runbook.md) で管理しています。
• アカウント停止 (上記 2): 受領後 1 週間以内に、お子様のログインを停止し、学習データは閲覧専用で保持
• アカウント削除 (上記 2): 受領後 2 週間以内に、お子様の全データ (学習履歴 / 認証情報 / 保護者連絡先) を削除 (バックアップからの消失含む)

注: 学校経由でご登録のアカウントについては、撤回ご請求受領後、所属校にも 通知のうえ、学校での利用に関する取り決めに基づき対応を実施します。

17. 卒業後・退会後のデータ取扱い

学生のご状況に応じて、以下の通りデータを取扱います。本人または法定代理人 からの請求は、学校管理者の指示に優先します。

注: 法令に基づき保持義務がある情報 (例: 不正利用調査中のアクセスログ / 法的紛争中のデータ) は、対応完了まで一時的に保持する場合があります。その場合 も本人へ通知のうえ実施します。

18. 改正法律案への対応 (2026 年方針)

個人情報保護委員会が 2026-04-07 に公表した個人情報保護法改正法律案に ついて、当社は以下の段階的対応を予定しています。施行時期は本稿時点で 未確定ですが、施行決定と同時に対応を完了します。

対応項目

• 年齢定数の更新: COMPANY_INFO.minorConsentAge を 15 → 16 に更新 (改正案準拠)
• 保護者同意 UI 拡張: 16 歳未満の登録時に保護者同意フローを起動するよう年齢条件を拡大
• 通知メール・請求窓口の更新: 16 歳未満の本人通知 / 同意 / 開示等請求を法定代理人へ読み替える 運用 (改正案関連条項対応)
• 利用停止等請求の代理: 35 条 9 項案に基づく法定代理人による利用停止等請求を受付窓口で対応
• 最善利益配慮: 58 条の 3 案に基づき、未成年者データ取扱いにおいて子どもの最善利益を 考慮する内部運用ガイドライン整備
• 学校での利用ルールの更新: 16 歳未満の同意取得義務を学校での利用に関する取り決め (共同利用の運用合意) に追加

注: 上記対応スケジュールは 2026-04-07 公表時点での方針です。施行確定後 の最終対応内容は、改めて本ポリシーを改定したうえで通知します。