I SEE STOCKS
ログイン新規登録
LEGAL

プライバシーポリシー

Updated 2026-06-12

I SEE STOCKS — プライバシーポリシー

1. 当社について

1.1 事業者の同一性

Hatdown LLC(以下「当社」または「弊社」)は Delaware 州有限責任会社です。当社は I SEE STOCKS サービスを運営しています。当社は、EU/UK GDPRにおけるデータ管理者(data controller)、CCPA/CPRAにおける事業者(business)、韓国개인정보보호법(PIPA)における個人情報処理者(개인정보처리자)、および日本の個人情報の保護に関する法律(以下「個人情報保護法」または「APPI」)における個人情報取扱事業者として行動します。

1.2 連絡先

  • 電子メール:[email protected]
  • 郵送:登録代理人宛〔登録事務所(New Mexico 州、アメリカ合衆国)〕— 書面によるご要請に応じて正確な住所をお知らせします。

    • 1.3 EU/UK における代理人

    未指定。EU/UK においてGDPR第27条/UK GDPR所定の閾値を超える処理が生じた場合、または当社がEU/UKでの展開を開始する際に、法律顧問の判断により指定される予定です。

    2. 収集するデータ

    2.1 アカウントデータ(登録時にユーザーが提供)

  • 電子メールアドレス;
  • パスワード(一方向性bcryptクラスのハッシュとしてのみ保存;平文テキストは一切保持しない)またはOAuth識別子(Googleサブジェクトid、KakaoユーザーID);
  • ハンドル名(@handle);
  • 表示名;
  • ロケール(`ko` / `en` / `jp`);
  • 関心市場(KR / US / JP / BR / ES、複数選択可);
  • 利用規約(`tos_accepted_at`)および免責事項(`disclaimer_ack_at`)への同意タイムスタンプ、ならびに同意した免責事項のバージョン。

    • 2.2 プロフィールデータ(任意、ユーザー提供)

  • 表示名(変更可);
  • 自己紹介(bio);
  • アバター画像(第4条の画像処理ルールに従う)。

    • 2.3 コンテンツデータ(利用中にユーザーが生成)

  • 復習(Retrospective)投稿本文(Markdown形式)、ティッカー、アクション動詞(6つの限定過去形動詞のうちいずれか1つ)、期間日付、自己申告ROIパーセンテージ;
  • アップロード画像の原本・処理後バリアント・サムネイル;
  • コメント、いいね、保存、フォロー(関係エッジ);
  • グループメンバーシップ、招待コード、グループ限定投稿。

    • 2.4 決済データ(プレミアム会員のみ)

  • Stripe 顧客ID;
  • Stripe サブスクリプションID;
  • Stripe 価格ID;
  • 請求メタデータ(金額、通貨、タイムスタンプ、ステータス、請求書ID、決済ID)。
  • カード番号、CVC番号、有効期限は Stripe, Inc. が直接処理・保存します。当社がこれらを受領することはありません。

    • 2.5 技術データ(自動収集)

  • IPアドレス;
  • ユーザーエージェント(User-Agent)文字列;
  • セッショントークン(Better Auth が発行するHTTP-Only・Secure・SameSite=Strict Cookieにより管理);
  • アクセスタイムスタンプ;
  • エラーログ(セルフホスト型GlitchTipにより取得;スタックトレースおよびIPアドレス・ユーザーエージェントを含む場合がある)。

    • 2.6 収集しないデータ

  • 証券会社APIキー、証券会社口座番号、証券会社の取引・注文データ、証券会社残高(旧KIS-API連携はv12で削除済み);
  • Telegram チャットID(旧リアルタイムアラート機能はv12で削除済み);
  • Kakao Alimtalk識別子(v12で無期限延期);
  • 個々のユーザーに紐づくリアルタイム市場データ;
  • GDPR第9条の特別カテゴリー(人種、宗教、健康情報等)、CCPAの「機密個人情報」(sensitive personal information)、韓国PIPAの「機密情報」(민감정보)、または日本個人情報保護法の「要配慮個人情報」。

    • 3. データの利用目的

    | 目的 | 使用するカテゴリー | |---|---| | アカウント登録および認証 | §2.1 | | サービス提供(投稿・コメント・フォロー・グループの公開) | §2.1、§2.2、§2.3 | | 画像処理(EXIFデータ削除、ぼかし処理、ウォーターマーク付与) | §2.3(画像) | | プレミアムサブスクリプション管理 | §2.4 | | トランザクションメール送信(認証、請求通知) | §2.1(電子メール)、§2.4 | | セキュリティ、不正検知、および不正利用防止 | §2.5 | | 集計・非識別化されたプロダクト分析 | §2.3(非識別化)、§2.5(非識別化) | | 法的義務の遵守 | 必要に応じて | | AI個人記録分析(`/me/insights`、プレミアム、オプトイン) | ご自身の過去のユーザーコンテンツ(テキスト)のみ |

    4. 画像処理およびウォーターマーク

    本サービスに画像をアップロードすると、以下の処理が自動的にこの順序で適用されます。

  • EXIFメタデータの削除。 GPS座標、デバイスモデル、撮影タイムスタンプ、その他のEXIFメタデータは、保存された画像から永久に削除されます。
  • 金額のぼかし処理。 アップロードUI上でユーザーが指定した矩形領域に、不透明な黒いオーバーレイが合成されます。デフォルトはオンであり、アップロードごとにオフに切り替えることができます。当社はOCR処理を行いません。ユーザーが明示的に指定した領域のみが処理されます。
  • ウォーターマークの焼き込み。 すべての処理済み画像の右下に、`SELF-REPORTED · UNVERIFIED · @yourhandle · vN.N-locale`(`vN.N-locale`はアップロード時点で有効な免責事項のバージョン)がピクセルレベルで焼き付けられます。このウォーターマークは、CSSまたはDOM操作によって削除することはできません。
  • ストレージバリアント。 処理済み画像は1200pxおよび600pxのWebPバリアントとして保存されます。原本はお客様のプライベートオブジェクトストレージプレフィックスに保管され、投稿またはアカウントの削除時にバリアントとともに削除されます。

    • これらの手順により、機密情報の意図せぬ開示リスクを低減します。アップロード前にご自身で機密コンテンツを編集・削除する責任はユーザーご自身にあります。

    5. 処理の法的根拠

    5.1 アメリカ合衆国

    処理は、契約(本規約)、当社の正当な事業上の利益、および必要に応じたユーザーの同意に基づき行われます。

    5.2 欧州連合/欧州経済領域/英国(GDPR/UK GDPR)

  • 第6条第1項(b)(契約): アカウント作成、サービス提供、決済処理、およびトランザクションメールについて。
  • 第6条第1項(f)(正当な利益): セキュリティ、不正防止、不正利用検知、集計分析、およびサービス改善について。当社の正当な利益はお客様の権利・自由とのバランスを取っており、均衡テストを文書化しており、監督機関の要請に応じて提供可能です。
  • 第6条第1項(c)(法的義務): 決済記録の保存(VAT/MOSS)、および合法的な司法・行政命令への対応について。
  • 第6条第1項(a)(同意): AI個人記録分析(`/me/insights`、プレミアムのオプトイン)、およびこれら以外の根拠でカバーされない将来の処理について。

    • 5.3 大韓民国(個人情報保護法〔PIPA〕)

    処理は、(i) ユーザーとの契約(PIPA §15(1)(4))、(ii) 契約上厳密に必要とされない処理についてのユーザーの同意(PIPA §15(1)(1))、および (iii) ユーザーの権利が不当に損なわれない範囲での正当な利益(PIPA §15(1)(6))に基づきます。

    5.4 日本(個人情報保護法〔APPI〕)

    処理は、第3条に規定された利用目的のために行われ、APPI第21条が要求する通りユーザーへの通知を行います。

    6. 越境移転(PIPA §28開示テーブル)

    Hatdown LLC はドイツにサーバーを設置し、アメリカ合衆国・韓国・ドイツの委託先(サブプロセッサ)を利用する Delaware 州LLCであるため、以下の越境データ移転が発生します。本テーブルは、韓国PIPA §28の開示要件を満たすよう構成されており、EU/UK/日本/ブラジルのユーザーに対しても同等の移転詳細を通知するものです。

    | 受領者 | 国 | 目的 | データカテゴリー | 方法 | 保存期間 | |---|---|---|---|---|---| | Contabo GmbH | ドイツ(EU) | 主要VPSホスティング;PostgreSQL、Redis、Cloudflaredトンネル | 処理されたすべてのデータ | 送信時TLS 1.2以上;ホストにおいてAES-256で静的暗号化 | アカウント完全削除後30日+バックアップローテーション | | Stripe, Inc. | アメリカ合衆国(EU向けはアイルランド) | 決済処理;サブスクリプション管理 | 電子メール、ハンドル名、決済手段、決済履歴 | Stripe APIへのTLS 1.2以上;Stripe標準契約条項(EU) | Stripe保存ポリシーに準拠;最短5年(IRS/EU VAT) | | Buchida Co., Ltd. | 大韓民国 | トランザクションメール配信 | 電子メールアドレス、受信者名、メッセージ本文 | Buchida APIへのTLS 1.2以上 | Buchida保存ポリシーに準拠 | | Cloudflare, Inc.(R2) | グローバル(北米優先) | 画像およびバックアップのオブジェクトストレージ | 処理済みスクリーンショット;age暗号化されたDBバックアップ | TLS 1.2以上+静的AES-256暗号化;バックアップはage暗号化(X25519)を追加適用 | アカウント完全削除後30日;バックアップは直近30日分デイリー+6ヶ月分マンスリー | | Anthropic, PBC | アメリカ合衆国 | ご自身の過去の投稿テキストのみを対象とするAI個人記録分析(プレミアム、オプトイン) | ご自身の投稿テキスト(他ユーザーのテキストは対象外) | Anthropic APIへのTLS 1.2以上;Anthropic DPA+標準契約条項 | Anthropicポリシーに準拠(現在APIでは保持期間ゼロ) | | Google LLC | アメリカ合衆国 | OAuth認証(Googleログイン) | OAuth識別子 | ブラウザリダイレクトによるハンドシェイク | アカウント完全削除後30日 | | Kakao Corp. | 大韓民国 | OAuth認証(Kakaoログイン) | OAuth識別子 | ブラウザリダイレクトによるハンドシェイク | アカウント完全削除後30日 | | GlitchTip(Contabo上のセルフホスト) | ドイツ | エラー・例外トラッキング | スタックトレース;IPアドレス;ユーザーエージェント | 内部TLS 1.2以上 | 90日 |

    6.1 EEA外へのEU/UK移転の根拠

    米国の受領者(Stripe、Anthropic、Google、Cloudflare米国エンドポイント)への移転については、以下によります。
  • 受領者がEU-米国データプライバシーフレームワーク(DPF)認証を取得している場合は同フレームワーク;
  • 取得していない場合は標準契約条項(欧州委員会実施決定(EU)2021/914);
  • 補完的技術措置(TLS 1.2以上、静的暗号化、バックアップのage暗号化)。

    • 6.2 韓国ユーザーの国外移転の根拠

    PIPA §28に基づき、受領者の同一性、国、目的、カテゴリー、方法、および保存期間を上記テーブルのとおり開示します。また、プライバシーポリシー同意フローを通じて登録時にユーザーの同意を取得します。ユーザーは同意を拒否することができますが、その場合、当該委託先に依存するサービス機能は利用できなくなります。

    7. Cookieおよび類似技術

    7.1 使用するカテゴリー

  • セッションCookie — Better Auth が発行。HTTP-Only・Secure・SameSite=Strict。厳密に必要なCookieであり、ログイン機能を無効にせずに無効化することはできません。
  • OAuthステートCookie — OAuthハンドシェイクにおけるCSRF防止のために使用される短期間(最大10分)のステートトークン。厳密に必要なCookieです。
  • ロケールCookie — 優先言語を保存します。機能性Cookieです。

    • 7.2 使用しないカテゴリー

  • 広告目的のCookieは使用しません。
  • Google Analytics、Meta Pixel、TikTok Pixel、またはその他のクロスサイトトラッカーは統合していません。
  • クロスコンテキスト行動広告(CCPA/CPRA §1798.140(ah))のために個人情報を販売または共有することはありません。

    • 7.3 Cookieへの同意

    当社が使用するのは厳密に必要なCookieおよび機能性Cookieのみであるため、ePrivacy指令第5条第3項に基づき、EU/UKユーザーに対する同意バナーは表示しません。将来的に必須でないCookieを導入する場合には、同意バナーを追加します。

    8. 保存期間

    | カテゴリー | 保存期間 | 根拠 | |---|---|---| | アカウントデータ | ユーザー起因の削除まで;リクエストに応じてソフト削除;30日後に自動ワーカーによりハード削除 | GDPR第5条第1項(e)、PIPA §21、契約、同意 | | 復習投稿 | 投稿またはアカウントの削除まで;即時非表示;アカウントと共に30日でハード削除 | 同意 | | コメント | 投稿と同様 | 同意 | | アップロード画像 | 投稿またはアカウントの削除時に永久削除 | 同意 | | Stripe決済記録 | 各取引から最短5年 | IRS記録保持要件;EU VAT(理事会指令2006/112/EC);韓国電子商取引法§22 | | アクセスログおよびIP | 3ヶ月 | 韓国通信秘密保護法§15-2;GDPR第5条第1項(e)データ最小化 | | 報告・モデレーション記録 | 1年 | モデレーション監査;DSA第24条透明性 | | バックアップ(age暗号化、R2保存) | 直近30日分デイリースナップショット+6ヶ月分マンスリースナップショット | セキュリティおよび災害復旧 | | ソフト削除されたプロフィール(30日間の猶予) | 30日 | ユーザーによる復元の機会確保 | | GlitchTipエラーログ | 90日 | セキュリティおよび信頼性 |

    8.1 ハード削除の手順

    定期実行バックグラウンドワーカー(`hard-delete-soft-deleted`)が毎日実行され、30日以上経過したレコードをプライマリストレージから永久削除します。削除されたレコードを含むバックアップは積極的に上書き処理されません。当該レコードは上記ローテーションポリシーに従い、ローテーションサイクルから最長6ヶ月で暗号化バックアップから消去されます。

    8.2 法的保全

    法的または規制上の保全が適用される場合(例:召喚状、裁判所命令、税務調査)、当該記録は保存期間を超えて保全され、隔離されアクセス制御が適用されます。

    9. ユーザーの権利

    9.1 全ユーザーに認められる権利

    ユーザーはいつでも以下を行うことができます。
  • `/me`を通じてご自身のデータにアクセスする;
  • `/me/edit`を通じてプロフィールデータを修正する;
  • `/settings`を通じてアカウントを削除する(即時ソフト削除;30日後にハード削除);
  • オプトイン処理(AIインサイト等)に対する同意をいつでも撤回する;
  • 以下に記載する権利を行使するために [email protected]連絡する。

    • 9.2 GDPR/UK GDPR上の権利(EU/EEA/UK在住者)

  • 第15条 — アクセス;
  • 第16条 — 訂正;
  • 第17条 — 消去(「忘れられる権利」);
  • 第18条 — 処理の制限;
  • 第20条 — ポータビリティ(リクエストに応じてJSONエクスポートを提供);
  • 第21条 — 異議申し立て(正当な利益に基づく処理に対する異議を含む);
  • 第22条 — 法的効果を伴う完全自動化意思決定の対象にならない権利(本サービスはユーザーをかかる決定の対象としません);
  • 第77条 — 監督機関への申告権。

    • 9.3 CCPA/CPRA上の権利(カリフォルニア州在住者)

  • 収集された個人情報のカテゴリー、目的、第三者のカテゴリー、および収集された具体的な情報を知る権利(CCPA §1798.110、§1798.115);
  • 削除する権利(CCPA §1798.105);
  • 訂正する権利(CPRA §1798.106);
  • 販売または共有のオプトアウト権(CCPA §1798.120、CPRA §1798.121)— 当社は個人情報を販売または共有しません
  • 機密個人情報の利用制限権(CPRA §1798.121)— 当社は定義上の機密個人情報を収集しません
  • 権利行使に対する差別を受けない権利(CCPA §1798.125);
  • CPRA §1798.185(a)(7)に基づく権限委任代理人によるリクエスト。

    • 9.4 韓国個人情報保護法(PIPA)上の権利

  • 開示請求権(PIPA §35);
  • 訂正・削除請求権(PIPA §36);
  • 処理停止請求権(PIPA §37);
  • 損害賠償請求権(PIPA §39);
  • 苦情申告権(韓国インターネット振興院(KISA)— 118;個人情報紛争調停委員会 — 1833-6972)。

    • 9.5 日本個人情報保護法(APPI)上の権利

  • 開示請求権(第33条);
  • 訂正等の請求権(第34条);
  • 利用停止等の請求権(第35条);
  • 苦情申告権(個人情報保護委員会)。

    • 9.6 ブラジルLGPD(ブラジル在住者 — Day 1市場サポート)

    LGPD第17条〜第22条の下で、GDPR第15条〜第22条に相当する権利が認められます。

    9.7 オーストラリアプライバシー法1988年(オーストラリア在住者)

    APP第12条および第13条に基づくアクセスおよび訂正の権利。

    9.8 回答期限

    当社は、受領から30日以内に確認可能な権利行使リクエストに回答し、複雑なリクエストについては最大60日延長することができます(GDPR第12条第3項)。CCPA/CPRAについては45日以内(最大45日延長可)。PIPAについては10日以内。

    9.9 権利行使の方法

    [email protected] 宛てに、件名を `[Privacy Request] – <権利の種別>` として、ご登録の電子メールアドレスをご記載の上ご連絡ください。対応前に本人確認のため追加の確認をお願いする場合があります。

    10. セキュリティ

    10.1 技術的措置

  • パスワードはBetter Authによりハッシュ化(bcryptクラス、ソルト付き、一方向性);
  • TLS 1.2以上によるエンドツーエンド暗号化(Cloudflareエッジ+オリジンへのCloudflaredトンネル);
  • 機密情報(保持するサードパーティAPIトークン)の静的AES-256-GCM暗号化;
  • 日次の暗号化Postgresバックアップ(age、X25519公開鍵暗号化;秘密鍵は別途保管);
  • HTTP-Only・Secure・SameSite=Strictのセッションcookie;
  • データベースをホスト上の127.0.0.1にバインド;公開アクセス不可;SSHキー認証のみ;
  • アプリケーション層の「スコープクエリ」パターンをコードレビュー時に強制(PostgreSQL RLSの代替):いかなるルートハンドラも、セッションを確立せずにデータベースを照会することはできず、すべてのヘルパー関数は第一引数として`userId`を受け取る;
  • 依存関係の脆弱性自動スキャン(GitHub Dependabot);
  • CI/CDセキュリティゲート(禁止ワードスキャン、シークレットスキャン)。

    • 10.2 組織的措置

  • アクセスを担当役員(現時点ではCEO)に制限;
  • すべての委託先との機密保持条項;
  • 委託先リストの年次見直し。

    • 10.3 物理的措置

  • Contaboデータセンター(ドイツ)の物理的アクセス管理(ISO 27001認証取得済み)。

    • 10.4 侵害通知

    自然人の権利および自由に対するリスクをもたらす可能性のある個人データ侵害が発生した場合、当社は72時間以内に管轄監督機関へ通知し(GDPR第33条)、不当な遅延なく影響を受けるユーザーへ通知し(GDPR第34条、PIPA §34に基づくKISA通知、APPI第26条に基づく個人情報保護委員会(PIPC)通知)、影響を受けるカリフォルニア州居住者に対してCCPAが要求する通知を行います。

    11. 子どものプライバシー

    本サービスは18歳以上の成人を対象としています。当社は以下の者から故意に個人情報を収集しません。

  • 13歳未満の子ども(アメリカ合衆国COPPA、15 U.S.C. §6501以下;GDPR第8条に基づくUK/EU向けの13歳未満/16歳未満の閾値);
  • 14歳未満の子ども(大韓民国個人情報保護法);
  • 13歳未満の子ども(日本個人情報保護法の未成年者に関するガイドライン)。

    • 未成年者が登録していることが判明した場合、当社は不当な遅延なくそのアカウントおよび関連データを削除します。未成年者が登録していると思われる保護者は [email protected] にご連絡ください。

    12. 委託先(サブプロセッサ)

    現在の委託先リストは第6条に記載されています。個人データを取り扱う委託先を追加または変更する場合は、少なくとも30日前に本ポリシーを更新します。重要な追加については、プレミアム会員に電子メールでお知らせします。

    13. マーケティングコミュニケーション

    当社はデフォルトでマーケティングメールを送信しません。トランザクションメール(アカウント認証、請求書、セキュリティアラート)は、同意なしに契約根拠の下で送信されます(GDPR前文第47項)。将来的にマーケティングニュースレターを導入する場合は、オプトイン方式とし、すべてのメッセージから配信停止できるようにします。

    14. 自動化された意思決定およびプロファイリング

    本サービスは、法的または同等に重大な効果を伴う自動化された意思決定にユーザーを供しません(GDPR第22条)。Discoverページにおけるエンゲージメントベースのフィードランキングは、コンテンツ表示上の選択であり、ユーザーに対して法的効果を生じさせる決定ではありません。

    15. 本ポリシーの変更

    重要な変更は通知(アプリ内通知+全アカウント保有者への電子メール)から少なくとも30日後に発効します。重要でない変更は通知から少なくとも7日後に発効します。過去のバージョンはバージョン管理されたURL(例:`/privacy/v2.0`、`/privacy/v3.0`)からアクセス可能な状態で保持します。

    16. 苦情申告および監督機関

    16.1 EU/EEA

    居住国のデータ保護機関に苦情を申告することができます。一覧は https://edpb.europa.eu で公開されています。

    16.2 英国

    情報コミッショナーオフィス(ICO)— https://ico.org.uk

    16.3 韓国

  • 個人情報紛争調停委員会:1833-6972 — www.kopico.go.kr;
  • 個人情報침해신고センター:118 — privacy.kisa.or.kr

    • 16.4 カリフォルニア州

    カリフォルニア州司法長官 — https://oag.ca.gov/privacy/ccpa

    16.5 日本

    個人情報保護委員会 — https://www.ppc.go.jp

    16.6 ブラジル

    国家データ保護庁(Autoridade Nacional de Proteção de Dados、ANPD)

    16.7 オーストラリア

    オーストラリア情報コミッショナーオフィス(Office of the Australian Information Commissioner、OAIC)

    17. データ保護責任者(DPO)

    データ保護責任者は指定されていません。当社はGDPR第37条の義務的指定要件(大規模な系統的監視なし;特別カテゴリーの大規模処理なし)を満たしていないと判断しています。プライバシーに関する窓口は [email protected] のCEOです。

    18. 連絡先

    管理者(Controller): Hatdown LLC 電子メール: [email protected] サービスURL: https://iseestocks.com