プライバシーポリシー

最終更新日：2026年6月10日

mihaRashi株式会社（以下「当社」といいます）は、当社が提供する「Nicher Flow」（以下「本サービス」といいます）における利用者の個人情報を含む情報の取扱いについて、以下のとおりプライバシーポリシー（以下「本ポリシー」といいます）を定めます。

第1条(事業者情報)

• 事業者名：mihaRashi株式会社
• 住所：〒150-0043 東京都渋谷区道玄坂1丁目10番8号 渋谷道玄坂東急ビル2F-C
• 代表者：代表取締役 三原 大和
• お問い合わせ：本サービス上のお問い合わせフォーム

第2条(取得する情報)

当社は、本サービスの提供にあたり、以下の情報を取得します。

1. アカウント情報：メールアドレス、パスワード(後述の方法で保護して保存)。Google アカウントでログインする場合は、Google から提供されるメールアドレス、氏名、プロフィール画像。
2. プロフィール・事業者情報：表示名、事業者名、請求書記載用の氏名・住所・電話番号・メールアドレス、振込先口座情報(銀行名・支店名・口座種別・口座番号・口座名義)、インボイス登録番号、プロフィール画像、通知設定、売上目標その他のプロフィール設定。
3. 取引先・外注先情報：利用者が登録する取引先(法人・個人)および外注先の名称、担当者名、連絡先(メール・電話・住所)、振込先情報、ニックネーム、通知用 Webhook URL 等。
4. 業務データ：案件のタイトル・金額・単価・外注費・納期・URL 等、作業時間の記録、タスク、カレンダーイベント、請求書および受領請求書(金額・PDF・発行時点で保存される情報を含む)。
5. フィードバック情報：利用者が投稿する報告内容、カテゴリ、添付されたスクリーンショット(1件あたり最大3枚)。
6. 利用ログ・技術情報：ページの閲覧・主要機能の利用に関するイベント(当社管理者のみが閲覧)、Cookie 等によるセッション情報。なお、利用者の IP アドレス・ブラウザ情報等は、当社が利用するインフラ事業者のシステムログに記録される場合があります。
7. Google カレンダー連携情報(任意・連携した場合のみ)：Google アカウントのメールアドレス、連携のためのアクセストークン・リフレッシュトークン(暗号化して保存)。詳細は第10条に定めます。

第3条(利用目的)

当社は、取得した情報を以下の目的で利用します。

1. 本サービスの提供・運営・保守のため
2. 利用者の認証およびアカウント管理のため
3. 利用者からの問い合わせ・サポート対応のため
4. 本サービスの機能改善・新機能開発のため
5. 料金の請求・決済処理のため
6. 利用規約に違反する行為への対応のため
7. 本サービスに関する重要なお知らせ・連絡のため

第4条(外部サービスの利用)

当社は、本サービスの提供に必要な範囲で、以下の外部サービスを利用します。これらの外部サービスにおいて、当社が取り扱う情報が保存・処理される場合があります。これらの事業者は日本国外(主に米国)にデータを保管する場合があります。

• Supabase Inc.(米国)：データベース・認証・ファイルストレージ基盤
• Vercel Inc.(米国)：ホスティング、リクエストログ・実行環境
• Resend, Inc.(米国)：メール配信。送信先メールアドレス、件名、本文、および請求書 PDF(取引先情報・金額・振込先等を含む場合があります)を送信します。
• Google LLC(米国)：Google アカウントによるログイン機能の提供、利用者が任意でカレンダー連携を有効化した場合の連携処理、案件インポート機能における公開スプレッドシートの取得
• 決済事業者：有料プランの決済処理のため、決済事業者を利用する場合があります(導入時に本ポリシーを更新します)。

また、利用者ご自身が設定した Webhook URL(Slack・Discord 等)に対して、当該 URL を通じて請求書通知等のデータを送信します。これらの送信先は利用者が指定したものであり、送信先における情報の取扱いについて当社は責任を負いません。

当社は、外部サービスの利用にあたり、各サービスの提供条件・セキュリティ体制・データの保存地域等を確認し、必要かつ適切な安全管理措置を講じるよう努めます。

なお、当社は、第三者によるアクセス解析・行動追跡を目的としたツール(Google Analytics 等)を本サービスに設置していません。

第5条(第三者提供)

1. 当社は、次のいずれかに該当する場合を除き、あらかじめ利用者の同意を得ることなく、個人情報を第三者に提供しません。
   1. 法令に基づく場合
   2. 人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難である場合
   3. 本サービスの提供に必要な範囲で、外部サービス事業者に対して個人情報の取扱いを委託する場合、または外部サービスの利用に伴い必要な範囲で情報が保存・処理される場合
2. 前項第3号の場合、当社は委託先に対して必要かつ適切な監督を行います。

第6条(Cookie 等の利用)

本サービスは、以下の目的で Cookie およびブラウザの保存領域(ローカルストレージ等)を利用します。

1. 必須：ログインセッションの維持(認証用 Cookie)、外部連携時の安全性確保のための一時的な Cookie。
2. 利便性のための保存：画面表示設定、未保存の入力内容の一時保存、ガイドの進行状態等。これらは利用者のブラウザ内で完結し、原則として当社サーバーには送信されません。
3. 当社は、第三者によるアナリティクス用・広告用の Cookie を設置していません。

第7条(情報の管理・安全管理措置)

1. 当社は、取得した情報の漏えい、滅失またはき損の防止その他の安全管理のために必要かつ適切な措置を講じます。
2. パスワードは復元困難な形式で保存し、外部連携トークン等の重要情報については、暗号化その他の適切な方法により保護します。
3. 管理上必要な処理においてアクセス権限を限定し、適切に管理します。

第8条(保有期間・削除)

1. 当社は、利用目的の達成に必要な範囲で情報を保有します。
2. 利用者が退会した場合、当社は利用者の情報を当社の定める方法に従い削除します。ただし、請求書として発行された情報のうち発行時点で保存されたもの、法令上保存が必要な情報、およびインフラ事業者のシステムログ等、技術上・法令上削除できない情報についてはこの限りではありません。
3. 退会後、同一のメールアドレスを用いた再登録ができない場合があります。

第9条(プロフィール画像の取扱い)

利用者が登録するプロフィール画像は、本サービス内での表示のために保存され、限定的な有効期限付きの URL により配信されます。Google アカウントでログインした場合、Google から提供されるプロフィール画像の URL を表示に用いることがあります。

第10条(Google カレンダー連携について)

当社は Google カレンダーとの連携機能を提供していますが、現時点では実際の予定の読み取りや書き込みは行っていません。具体的には次のとおりです。

1. 取得し保管する情報：利用者が「Google カレンダーと連携」を有効にすると、Google アカウントのメールアドレス、および OAuth で発行されたアクセストークン・リフレッシュトークンを、暗号化したうえで当社の利用するサーバーに保管します。
2. 要求する権限の範囲：Google OAuth では予定の閲覧・作成・編集・削除に対応する権限を要求していますが、現時点ではこの権限を使用していません。トークンの取得と保管までで処理を停止しており、当社が Google カレンダー上の予定を読み取り・作成・編集・削除することはありません。
3. 将来の予定：将来的に同期機能を提供する場合には、改めて本ポリシーを更新してお知らせします。
4. 連携の解除：利用者は、設定画面の「連携を解除する」操作により、いつでも連携を解除できます。解除時には、Google 側でのトークンの無効化(revoke)と、当社が保管している連携情報の削除を行います。
5. 退会時：アカウントを削除すると、保管されている Google 連携情報(暗号化されたトークン・メールアドレス)も併せて削除されます。

なお、本サービスには別途、利用者の予定情報(案件の納期・請求書の支払期限等)を外部カレンダーで表示するための一方向のフィード機能がありますが、これは Google カレンダーへ情報を書き込むものではありません。

第11条(開示・訂正・利用停止等の請求)

利用者は、当社が保有する自己の個人情報について、開示・訂正・追加・削除・利用停止等を請求することができます。請求は、本サービス上のお問い合わせフォームよりお願いいたします。当社は、法令に従い、合理的な期間内に対応します。

第12条(本ポリシーの変更)

当社は、必要に応じて本ポリシーを変更することがあります。重要な変更を行う場合は、本サービス上で周知します。変更後のポリシーは、本サービス上に掲示された時点から効力を生じます。

第13条(お問い合わせ窓口)

本ポリシーに関するお問い合わせは、本サービス上に設置するお問い合わせフォームよりお願いいたします。

制定日：2026年6月10日

mihaRashi株式会社