プライバシーポリシー

1. はじめに

もちもた（以下「本サービス」）は、お客様の個人情報の保護を重要視しています。本プライバシーポリシーは、英国の一般データ保護規則（UK GDPR）および2018年データ保護法（Data Protection Act 2018）に準拠し、当サービスがどのように個人情報を収集、使用、保護するかを説明します。

2. データ管理者

データ管理者: Hoshiko Tech Ltd.

ICO登録番号: ZC083228

連絡先: privacy@mochi-mota.com

3. 収集する情報

3.1 出品者が提供する情報

商品を出品する際、以下の情報を収集します：

商品情報: タイトル、説明、価格、カテゴリー、状態
連絡先情報: メールアドレス（必須）、電話番号（任意）
位置情報: エリア名とOutward Codeのみ（例：「SW1A」- フルのPost Codeは保存しません）、最寄駅（任意）
画像: 商品の写真（任意）
連絡方法の設定: メールアドレスの公開、電話番号の公開、お問い合わせフォームの受付（出品者が選択）

⚠️ 連絡先情報の公開について

出品者は連絡方法を選択できます。「メールアドレスを公開」または「電話番号を公開」を選択した場合、その情報は出品ページに表示されます。「お問い合わせフォーム」を選択した場合、購入希望者はフォーム経由でメッセージを送信でき、出品者のメールアドレスは直接公開されません。

3.2 お問い合わせフォームの利用者の情報

出品者への問い合わせフォームを利用する際、以下の情報を収集します：

お名前: 出品者に表示されます
メールアドレス: 出品者への送信メールの返信先として設定されます
メッセージ内容: 出品者にメールで送信されます

これらの情報は出品者へのメール送信のみに使用され、当サービスのデータベースには保存されません。

3.3 自動的に収集される情報

サイト訪問時、以下の情報が自動的に収集される場合があります：

IPアドレス
ブラウザの種類とバージョン
アクセス日時
参照元URL
デバイス情報

3.4 画像アップロード時に収集される情報

画像をアップロードする際、コンテンツモデレーションおよび法的義務の遵守のために、以下の情報を収集・一時保管します：

IPアドレス: 画像と共に30日間保管され、その後自動的に削除されます
EXIFメタデータ: コンテンツモデレーションのために画像から抽出され、データベースに一時的に保管されます。モデレーション完了後（通常数秒以内）、EXIFデータは自動的に削除されます。システム障害などによりモデレーションが完了しなかった場合、EXIFデータは最大30日間保管された後、自動クリーンアップにより削除されます。保存画像からはプライバシー保護のためEXIFデータは永久に削除されます。EXIFデータには、カメラやスマートフォンによって埋め込まれたGPS座標、デバイス情報、タイムスタンプなどが含まれる場合があります。

3.5 通報時に収集される情報

出品を通報する際、IPアドレスと出品IDを組み合わせた暗号学的ハッシュを作成します。このハッシュは：

同一の送信元からの重複通報を検出するために使用されます
元のIPアドレスを復元することはできません
通報ごとに異なるハッシュとなるため、異なる出品への通報を関連付けることはできません

通報時に生のIPアドレスを保存することはありません。

3.6 苦情・異議申立て時に収集される情報

モデレーション判断に対する苦情または異議申立てを提出する際（お問い合わせフォームまたはメール経由）、以下の情報を収集・保管します：

氏名およびメールアドレス
出品ID（提供された場合）
苦情の種類（例：コンテンツの削除、出品の却下）
メッセージ本文（苦情の内容）
受付番号（苦情に付与される番号）

処理の法的根拠: 法的義務 — 英国オンライン安全法2023（UK Online Safety Act 2023）第21条に基づき、苦情処理手続きの運用が義務付けられています。

保管期間: 苦情記録は解決後6年間保管されます。苦情の処理方法の詳細については、苦情・異議申立て手続きをご覧ください。

4. Cookieについて

本サービスは、独自のトラッキングCookieやアナリティクスCookieを使用していません。ただし、インフラストラクチャプロバイダーであるCloudflareが、セキュリティおよびボット検出の目的で技術的なCookieを設定する場合があります。

__cf_bm: Cloudflareのボット管理に使用される技術的Cookie（30分で有効期限切れ）

これらのCookieはサービスの正常な運用とセキュリティ保護に必要であり、英国のPrivacy and Electronic Communications Regulations（PECR）に基づく「厳密に必要なCookie（Strictly Necessary Cookies）」に該当します。

5. 情報の使用目的

収集した情報は、以下の目的で使用します：

商品情報の掲載・表示
ユーザー間の連絡を可能にする（お問い合わせフォーム経由のメッセージ転送を含む）
サービスの運営、改善
不正行為の防止、検出
法的義務の遵守
統計データの作成（個人を特定できない形式）

6. 法的根拠（UK GDPR）

個人データの処理は、以下の法的根拠に基づきます：

契約の履行 (Contractual Necessity): 投稿された商品を掲載し、ユーザー間の連絡を仲介することは、本サービスの基本的な提供内容であり、利用規約に基づく契約を履行するために必要不可欠な処理です。
正当な利益 (Legitimate Interests): サービスのセキュリティ維持、不正行為の防止、サービスの改善。
同意 (Consent): 特定の状況下（例：任意情報の提供）において同意に基づく場合があります。
法的義務 (Legal Obligation): 英国法に基づき、警察や公的機関からの適法な開示請求に応じる場合。

7. 情報の保管と保護

7.1 保管期間

投稿情報: 最後の更新（投稿または編集）から30日間保管されます。期限が過ぎた投稿はシステムにより自動的に削除されます。
アクセスログ: リアルタイムで処理され、永続的には保存されません。Cloudflareがインフラ運用の一環としてエッジログを短期間保持する場合があります。
画像アップロードメタデータ: IPアドレスおよびEXIFデータはモデレーション完了後に自動的に削除されます（通常数秒以内）。未処理のレコードは最大30日間保管されます。
お問い合わせフォームのメッセージ: 当サービスのデータベースには保存されません（メール送信のみ）。
苦情・異議申立て記録: 解決後6年間保管されます（1980年出訴期限法に基づく民事請求期間に準拠）。

児童性的虐待コンテンツ（CSAM）に関する例外

児童性的虐待コンテンツの可能性があると判断された場合、アップロード者のIPアドレスおよびEXIFメタデータは、児童性的搾取・虐待（報告）規則2025（CSEA Reporting Regulations 2025）に基づき、通常の30日間の保管期間を超えて保持される場合があります。このデータは、英国国家犯罪対策庁（NCA）への報告のためにのみ保持され、同規則に定められた保管期間に従います。

⚠️ 不正行為に関するデータ保持

不正行為（詐欺等）の疑いがあるとしてフラグが立てられた投稿については、UK GDPR第17条(3)(e)に基づき、法的請求の確立・行使・防御のために必要な期間、削除リクエストがあった場合や30日の期間経過後でもデータを保持する場合があります。

7.2 セキュリティ対策

個人情報を保護するため、合理的な技術的・組織的セキュリティ対策を実施しています。

8. 第三者への開示

以下の場合を除き、第三者に個人情報を提供することはありません：

ユーザーが自ら公開を選択した情報
法令に基づく開示義務がある場合
サービス提供に必要な範囲での委託先
不正行為の調査、法的手続きが必要な場合

8.1 サービス提供事業者

本サービスは、以下のカテゴリの第三者事業者に個人データの処理を委託しています：

クラウドインフラ・コンテンツ配信: ホスティング、データベース、画像ストレージ、グローバルコンテンツ配信（Cloudflare）
メール送信: マジックリンクやお問い合わせフォームの転送などのトランザクションメール（Resend）
コンテンツモデレーション: テキストおよび画像の禁止コンテンツ検出のための自動チェック
管理者通知サービス: サービス管理者への内部アラートのみ（ユーザーデータは一般公開されません）

すべての事業者はデータ処理契約に基づいて業務を行っています。具体的な事業者の一覧については、privacy@mochi-mota.com までお問い合わせください。

8.2 自動コンテンツモデレーション

テキストモデレーション: 出品タイトルおよび説明文は、第三者のAIモデレーションサービスにより自動的にチェックされます。

画像のモデレーション: アップロードされた画像は、第三者のコンテンツモデレーションサービスにより自動的にチェックされます。

画像のメタデータ: プライバシー保護のため、EXIFデータ（GPS位置情報、デバイス情報など）は自動的に削除されます。

人間による審査の権利: 自動判定に異議がある場合は、privacy@mochi-mota.com までご連絡ください。

9. 国際データ移転

本サービスは、英国外に所在するサービス提供事業者を利用しています。そのため、お客様の個人データが英国外に移転される場合があります。

Cloudflare, Inc.（米国）: ホスティング、データベース、画像ストレージ、コンテンツ配信に利用しています。Cloudflareは英国向けのデータ移転について、UK GDPR第46条に基づく標準契約条項（SCCs）およびUK International Data Transfer Addendum（IDTA）を適用しています。

Resend, Inc.（米国）: メール送信サービスに利用しています。標準契約条項（SCCs）に基づきデータを処理しています。

コンテンツモデレーション: テキストおよび画像データは、米国またはEUに所在する第三者のモデレーションサービスに送信される場合があります。米国の事業者については標準契約条項（SCCs）、EUの事業者についてはUK GDPRの十分性認定により保護されています。

すべての移転先について、UK GDPRに基づく適切な保護措置が講じられていることを確認しています。データ移転に関する詳細は、privacy@mochi-mota.com までお問い合わせください。

10. あなたの権利（UK GDPR）

UK GDPRの下、あなたには以下の権利があります：

アクセス権: あなたの個人データにアクセスし、コピーを取得する権利
訂正権: 不正確な個人データを訂正する権利
削除権（忘れられる権利）: 特定の状況下で個人データの削除を要求する権利
処理の制限権: 特定の状況下で個人データの処理を制限する権利
データポータビリティ権: 構造化された形式でデータを受け取る権利
異議申立権: 個人データの処理に異議を唱える権利

権利の行使方法

メールアドレス: privacy@mochi-mota.com

本人確認のため、投稿時に使用したメールアドレスからご連絡ください。

11. 投稿の削除方法

マジックリンク: 投稿時に送信されるメール内のリンクから編集・削除が可能です。
自動削除: 投稿は最終更新から30日後に自動的に削除されます。
メールでの依頼: マジックリンクを紛失した場合は、privacy@mochi-mota.com までご連絡ください。

12. 児童のプライバシー

本サービスは18歳未満の方を対象としていません。18歳未満の方は本サービスを利用しないでください。

また、当社は児童の安全を最優先事項としており、自動モデレーションツールを使用して、違法なコンテンツ（CSAM等）のアップロードを積極的に防止しています。18歳未満の方の個人情報または不適切なコンテンツが検出された場合、直ちに削除し、必要に応じて英国国家犯罪対策庁（NCA）等の関係当局に通報します。

13. 監督機関への苦情

個人データの取り扱いに関して懸念がある場合、英国の情報コミッショナー事務局（ICO）に苦情を申し立てる権利があります。

Information Commissioner's Office (ICO)

Website: https://ico.org.uk

Helpline: 0303 123 1113

14. ポリシーの変更

本プライバシーポリシーは随時更新される場合があります。重要な変更がある場合は、本ページ上部の「最終更新日」を更新し、変更内容をサイト上で通知します。変更後も本サービスを継続して利用された場合、更新されたポリシーに同意したものとみなされます。

定期的に本ページをご確認いただくことをお勧めします。

15. お問い合わせ

データ保護に関するお問い合わせ:

privacy@mochi-mota.com

Hoshiko Tech Ltd.
16 The Mall, Surbiton, England, KT6 4EQ

16. 準拠法と言語 (Governing Law & Language)

本プライバシーポリシーおよび本サービスに関する一切の法的問題は、イングランドおよびウェールズの法律（English Law）に準拠します。

本ポリシーは、日本語を母国語とする利用者の便宜のために日本語で作成されていますが、法的な解釈において疑義が生じた場合、または法的手続きにおいては、イングランド法および英語による解釈が優先されます。