プライバシーポリシー

• 事業者名：株式会社anytools
• 所在地：
• 代表者または個人情報保護管理者：代表取締役 服部 雄治朗

本ポリシーは、本サービスのWebサイト、アプリケーション、API、ドキュメント、サポート窓口等における情報の取扱いに適用されます。

• 認証情報（アカウントID、セッションID、ログイン履歴のメタ等）
• アカウント情報（メールアドレス、表示名等）
• プロジェクト/アプリ情報（名称、説明、設定、ドメイン設定等）
• お客様コンテンツ（デプロイ資材・ビルド成果物・アセット等。原則ビルド/配信のための一時的処理に限り取扱）
• サービスデータ（アカウント/プロジェクト/ログ/監査情報、請求情報、アクセス集計（Workspace Usage）等）
• 決済関連情報（StripeカスタマーID、支払状況、請求履歴）。クレジットカード番号等の機微情報はStripeが保持し、当社は保持しません。
• メール送信メタ（宛先、送信結果、バウンス情報等）。通知/レシート送信用に AWS SES を利用します。
• GitHub連携情報（インストールID、必要最小限のメタデータ。アクセストークンは短期間で失効）
• 配信・運用・課金に必要なログ（IPアドレス、User-Agent、リクエストURL、HTTPメソッド、ステータスコード、レスポンスサイズ、転送量、リクエスト時刻、プロジェクト・ドメイン識別子）
• 任意のサイト分析に関する計測情報（閲覧URL、限定的に加工した参照元情報、ページ表示、CTAクリック、外部リンククリック、コンバージョン完了イベント、JavaScriptエラー、Web Vitalsを含むパフォーマンス指標、ブラウザ・OS・端末種別、画面サイズ、計測用Cookie ID、オプトアウト設定Cookie、特定の個人を直接識別しない訪問識別子）
• 当社が運営するWebサイト上のフォーム送信情報（入力された項目名・入力内容、送信日時、送信元IPアドレス、User-Agent、限定的に加工したリファラー、通知先メールアドレス、送信結果等）
• お客様が公開サイト上でフォーム機能を利用する場合のフォーム送信情報（フォームの項目名・入力内容、送信日時、送信元IPアドレス、User-Agent、限定的に加工した参照元情報、スパム・不正送信対策に必要なメタデータ、通知先メールアドレス、送信結果等）
• 招待・共有のための連絡先（メールアドレス等）

• ビルド/デプロイ/配信の提供・保守（障害対応、性能分析、キャッシュ最適化等）
• セキュリティ対策（不正アクセス検知・ブロック、監査ログの保持、脆弱性調査等）
• サポート（本人確認、障害調査時の限定的アクセスと記録）
• 課金・請求（Stripeによる決済処理、従量課金の算出・報告、受領書の送付）
• トランザクション通知・各種お知らせの送信（AWS SES によるメール送信）
• 200stackの計測機能の提供、公開サイトの利用状況の可視化、サイト改善、障害解析、パフォーマンス改善、セキュリティ対策、従量課金算定
• 当社が運営するWebサイト上のフォームに関する問い合わせ対応、本人確認、連絡、サービス改善
• お客様が公開サイト上で利用するフォームの受付、保存、通知、スパム・不正送信対策、障害調査、送信件数に基づく課金算定その他サービス提供
• 法令対応（会計・税務、当局照会対応 等）

本サービスは、契約の履行、正当な利益、法令遵守、（必要に応じ）同意を根拠として個人データを取り扱います。

GDPR対象者向けには、目的ごとの法的根拠（例：サービス提供=Art.6(1)(b)、セキュリティ=Art.6(1)(f)、法令=Art.6(1)(c) 等）の対応表を提供します。

当社は、提供に必要な範囲でサブプロセッサー（クラウド、CDN、メール、監視等）を利用します。適切な契約・安全管理措置を講じ、一覧と変更履歴を以下で公開します。

公開ページ：/legal/subprocessors

• クラウドインフラ（例: Google Cloud（GKE等））
• ストレージ/CDN/エッジ（例: Cloudflare R2・KV 等のオブジェクト保存・配信）
• 決済処理（Stripe）
• メール送信（AWS Simple Email Service: SES）
• サポート/監視ツール
• GitHub連携（GitHub Appによるアクセストークンの発行・API利用）

国外のサーバやサービス（Stripe, Cloudflare, GitHub, Amazon Web Services, Google Cloud 等）を利用する場合があります。その際、適用法に基づく適切な移転保護措置（例：標準契約条項（SCC）、EU-US Data Privacy Framework への準拠、契約上の安全管理措置）を講じます。

主な受領国/地域：米国（Stripe, Cloudflare, GitHub, AWS）、日本/シンガポール/米国（Google Cloud）。措置の詳細は必要に応じて更新し、本ページまたは関連ドキュメントで公表します。

アカウント/請求：契約期間＋法定保持期間。運用/セキュリティログ：原則30日。監査ログ：90日〜1年（用途により異なる）。計測イベントの生データ、計測用識別子、集計済みWorkspace Usageの保存期間はデータ保存期間ページで公表します。例外時は法的義務等に基づき延長する場合があります。

詳細な保持表は：/legal/retention を参照してください。

アクセス制御、暗号化（転送時/保存時）、最小権限、鍵管理、監査、サプライヤー管理、脆弱性対応等を実施します。

漏えい等が発生した場合、法令に基づき所管官庁・監督機関への報告や本人通知（要否判断を含む）を適切に行います。

必須Cookie（セッション/CSRF等）に加え、Stripe Checkout・Customer Portal、Cloudflare（CDN/Analytics）、GitHub App連携、200stack など本サービス提供に必要なタグ/SDKを使用する場合があります。

200stackの計測は、配信・セキュリティ・障害解析・従量課金算定に必要な運用計測と、ページ表示、クリック、コンバージョン、エラー、パフォーマンス指標を把握する任意のサイト分析に分けて取り扱います。

• 運用・課金計測：リクエスト数、ステータスコード、転送量、配信時刻、IPアドレス、User-Agent、リクエストURL、HTTPメソッド、プロジェクト・ドメイン識別子を、サービス提供、セキュリティ対策、障害解析、従量課金算定のために利用します。サービス提供上必要な範囲で取得するため、原則として個別に停止できません。
• 任意のサイト分析：閲覧URL、限定的に加工した参照元情報、ページ表示、CTAクリック、外部リンククリック、コンバージョン完了イベント、JavaScriptエラー、Web Vitalsを含むパフォーマンス指標、ブラウザ・OS・端末種別、計測用Cookie ID、オプトアウト設定Cookie、特定の個人を直接識別しない訪問識別子を、利用状況の可視化、サイト改善、障害解析、パフォーマンス改善のために利用します。

当社は、200stackの標準計測情報を、行動ターゲティング広告、個人データの第三者への販売、または複数の独立したサイトを横断した個人単位の広告プロファイリングのためには利用しません。

当社は、計測情報の取得にあたり、URLのクエリ文字列やハッシュ、リファラー、エラーメッセージ、stack trace等に含まれるトークン、認証情報、メールアドレスその他不要な情報が取得・保存されないよう、削除、マスキング、集計化等の措置を講じる場合があります。

本サイト（www.200stack.com）における任意のサイト分析は、本サイト下部の「計測設定」から、このブラウザで停止・再開できます。お客様の公開サイトにおける任意のサイト分析は、当該公開サイトと同一ドメイン上の /.well-known/200stack-privacy またはサイト運営者が案内するページから停止・再開できます。ただし、配信、セキュリティ、請求、障害解析に必要なログおよび集計は、サービス提供上必要な範囲で取得・利用されます。

お客様が200stackの計測機能またはフォーム機能を自らの公開サイトで利用する場合、お客様は、当該公開サイトの利用者に対し、送信される情報、送信先、利用目的、停止方法、フォームの取得項目、第三者提供または委託の有無、保存期間その他必要な事項を、自らのプライバシーポリシー、Cookieポリシーまたは外部送信ポリシー等で公表するものとします。

当社は、本ポリシーおよび外部送信ポリシーにおいて、送信される情報、送信先、利用目的、管理方法を公表しています。適用される法令、対象地域、サイトの利用目的、外部タグの利用状況により、別途同意管理が必要となる場合があります。EEA、UKその他同意管理が求められやすい地域を積極的に対象とする場合、または広告タグ、リターゲティング、外部DMP、CRM連携を利用する場合は、事前同意を取得した後に限り計測を有効化する設定が必要となる場合があります。

電気通信事業法の外部送信規律に基づく公表：/legal/external-transmission

Cookie、localStorage等の保存をブラウザ設定や拡張機能で制限することにより、任意計測の一部または全部を停止できます。その場合、本サービスの一部機能や計測結果が正常に動作しないことがあります。

当社は、個人データの第三者への販売（いわゆる「販売」）は行っていません。

また、行動ターゲティング広告を目的としたプロファイリングは実施していません。

本ポリシーや個人情報の取扱いに関するご質問は、contact@anytools.app までご連絡ください。

重要な変更は原則として発効日の14日前までに通知・周知します（緊急対応等の例外を除く）。

日本の個人情報保護法に基づき、利用目的の通知、開示、訂正・追加・削除、利用停止・消去、第三者提供の停止等を求めることができます。contact@anytools.app までご連絡いただく際は、ご本人または代理人であることを確認できる情報をご提示ください。法令に定める場合を除き、速やかに対応します。

EEA/UK のデータ主体は、GDPRに基づきアクセス権、訂正権、消去権、処理制限、異議申立て、データポータビリティの権利を有します。これらの権利行使は同じ窓口で受け付けます。対応に不満がある場合は、居住国・勤務先・疑義発生地の監督機関に苦情を申し立てることができます。

カリフォルニア州消費者プライバシー法（CPRA）その他の域外法が適用される場合は、同等の権利を保障し、必要に応じて「Do Not Sell or Share」等の仕組みを提供します。