プライバシーポリシー

最終更新日: 2026年5月1日

1. 事業者情報

本サービス「Kokopon(ココポン)」(以下「当サービス」)は、Utsubo株式会社(以下「当社」)が運営しています。

• 事業者名: Utsubo株式会社
• 所在地: 〒542-0086 大阪府大阪市中央区西心斎橋1丁目13-18
• 代表取締役: ルカム ジョスラン アンドレ クロード
• 個人情報保護管理者: ルカム ジョスラン アンドレ クロード(代表取締役)
• 適格請求書発行事業者登録番号: T6120001237425

2. 取得する個人情報

当サービスでは、以下の情報を取得します。

• 氏名、メールアドレス(アカウント登録時)
• LINEユーザーID、LINE表示名、言語設定(LINE連携時)
• 店舗名、住所、Googleビジネスプロフィール情報、OAuthトークン(店舗登録時)
• 店舗のGoogleビジネスプロフィールに投稿された口コミの内容(口コミ件数、平均評価、本文、投稿者名、利用者による返信状態) — 第11条に定める診断および返信下書き機能を提供する目的のみで Google Business Profile API から読み取り、Kokopon側で恒久的なコピーを保持しません。
• Instagramビジネス/クリエイターアカウントのユーザーID(アプリスコープの数値ID)、ユーザー名(ハンドル)、アカウント種別、長期アクセストークン(Instagram連携時、有効期限最長60日。第12条参照)
• 店舗がアップロードした写真、紹介文、投稿内容
• 決済情報(Stripe社経由、当社はカード番号を保存しません)
• 利用状況ログ(アクセス日時、IPアドレス、ブラウザ情報、Cookie識別子)

3. 利用目的

• 当サービスの提供・運営
• AIによる投稿文の生成およびGoogleビジネスプロフィール、Instagram(連携時)への自動投稿
• Googleビジネスプロフィールの口コミ・写真・投稿状況の読み取りに基づく店舗プロフィールの診断および推奨ミッションの提示
• 口コミへの返信下書きの生成、および利用者がLINE上で明示的に承認した返信のGoogleビジネスプロフィールへの送信
• LINE公式アカウントを通じたサポート連絡および週次レポートの配信
• 利用料金の請求および適格請求書の発行
• サービス改善のための分析(Google Analytics 4)
• 不正利用の検知および対応
• 法令に基づく対応

4. 第三者提供

当社は、以下の場合を除き、本人の同意なく個人情報を第三者に提供しません。

• 法令に基づく場合
• 人の生命、身体、財産の保護のために必要で、本人の同意取得が困難な場合
• 利用目的の達成に必要な範囲で業務委託先に提供する場合(下記「5. 業務委託先」参照)

5. 業務委託先(サブプロセッサ)

当サービスは以下の外部サービスと連携しています。

• Stripe, Inc.(決済処理 / 米国)
• LINE株式会社(メッセージ送受信、LIFF / 日本)
• Google LLC(ビジネスプロフィール投稿、OAuth、Places API、Google Analytics 4 / 米国)
• Meta Platforms, Inc.(Instagram API with Instagram Login経由のInstagram投稿配信 / 米国)
• OpenAI, L.L.C.(AI投稿文生成 / 米国)
• Amazon Web Services, Inc.(データベース(RDS Postgres)ホスティング / 米国)
• Cloudflare, Inc.(画像配信・R2ストレージ / 米国)
• Resend, Inc.(トランザクションメール送信 / 米国)
• Vercel Inc.(フロントエンド配信 / 米国)
• Functional Software, Inc. dba Sentry(エラーモニタリング / 米国)

6. 外国にある第三者への提供(個人情報保護法第28条)

第5条記載の業務委託先のうち、米国に所在する事業者へ個人データを提供する場合があります。 米国の個人情報保護制度については、個人情報保護委員会が公表する諸外国における個人情報の保護に関する制度等についての情報を参照ください。 当社は、各事業者が当社と同等の安全管理措置を講じていることを確認した上で提供しており、定期的に当該措置の実施状況を確認します。 ご請求があれば、講じている措置の詳細を遅滞なく開示します。

7. 保存期間

• アカウント情報: 退会後90日以内に削除
• 投稿・画像データ: アカウント削除時に削除(バックアップは最長30日保持)
• 外部サービスのOAuthトークン(Google、Instagram等): 利用者による連携解除まで保管。Instagramの長期アクセストークンは有効期限が60日であり、当社は失効前に自動的にリフレッシュします。連携解除時は当該トークンをデータベースから消去します(第10条のセキュリティ措置に基づく暗号化済み)。
• 監査ログ: 削除フラグ付きで2年間保管
• 決済履歴・適格請求書: 関連法令に従い最低7年間保管

8. 利用者の権利

利用者は、自己の個人情報について、開示、訂正、利用停止、消去、第三者提供の停止を請求することができます。 削除を希望される場合は、ダッシュボードの「アカウント削除」または下記連絡先までご連絡ください。

9. Cookie等の利用

当サービスはセッション管理およびアクセス解析(Google Analytics 4)のためにCookieを使用します。 アクセス解析Cookieは、ブラウザの設定または Google Analyticsオプトアウトアドオン により無効化できます。

10. セキュリティ

当サービスは、不正アクセス、漏えい、滅失、毀損を防止するため、 適切な技術的・組織的安全管理措置を講じます(暗号化(AES-256-GCM)による外部サービストークンの保管、アクセス制御、定期バックアップ、監査ログ)。

11. Google APIから受け取った情報の取り扱い (Limited Use)

Kokoponは、Google APIから受け取ったすべての情報について、Limited Use要件を含む Google API Services User Data Policy を遵守します。

Kokopon's use of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

具体的には、当社は以下を遵守します:

• Googleビジネスプロフィールのデータ(https://www.googleapis.com/auth/business.manageスコープで取得)は、以下の目的にのみ使用します。
  • 利用者がKokopon内で承認した投稿(Local Post)のGoogleマップへの公開。
  • 週次レポート用のパフォーマンス指標(表示回数、ルート検索、電話、ウェブサイトクリック、メニュークリック、予約)の読み取り。
  • 店舗プロフィールの診断および推奨ミッション機能のための口コミデータ(口コミ件数、平均評価、本文、投稿者名、返信状態)の読み取り。読み取った口コミデータはLINE上で利用者本人に提示するためにのみ使用し、第三者へ提供することはありません。
  • 口コミへの返信。返信文はKokoponが下書きを生成し、利用者がLINE上で明示的に承認した場合に限り、Google Business Profile API(accounts.locations.reviews.updateReply)を通じて送信します。利用者の承認なくKokoponが自動的に返信することはありません。
  当社は、上記スコープを利用して営業時間、住所、写真の変更を行うことはありません。
• Google Places APIから取得したデータ(店舗候補名、住所、電話番号、Place ID、Googleマップのリンク)は、店舗オーナーが自店をGoogleマップ上で特定するための検索結果表示にのみ使用します。
• Googleユーザーデータを広告目的で使用することはありません。
• Googleユーザーデータを第三者に販売しません。
• AI/MLモデル(OpenAI等)の学習目的でGoogleユーザーデータを使用、転送、または開示しません。投稿文生成のために送信される情報は、店舗オーナーがKokopon上で入力した一般的なテキスト(店名・カテゴリ・キャンペーン情報等)に限定され、Googleから取得した個人データ(GBPトークン、Performance APIの集計値、Places API応答、および口コミ本文・投稿者名)は学習用途で送信しません。口コミへの返信下書き生成のためにOpenAIへ口コミ本文を送信する際は、推論(inference)目的のみでの利用に限定し、学習(training)用途には使用されない契約条件下で処理します。
• Googleユーザーデータを人間が読み取る形でアクセスすることは、(a)利用者から明示的な同意を得た場合、(b)セキュリティ目的(不正アクセスの調査等)、(c)法令遵守、(d)Kokoponの内部運営上必要かつ集計・匿名化された場合のみに限定します。
• Google OAuthトークンは保存時にAES-256-GCMで暗号化されます(第10条参照)。利用者はダッシュボードからいつでも連携を解除でき、解除時にKokoponはGoogleのrevokeエンドポイントを呼び出してアクセス権を取り消します。

12. Instagram APIから受け取った情報の取り扱い

Kokoponは、Meta Platforms社が提供する「Instagram API with Instagram Login」を通じて取得したすべての情報について、 Meta Platform Terms および Instagram Platform Policy を遵守します。

Kokopon's use of information received from the Instagram API will adhere to the Meta Platform Terms and the Instagram Platform Policy.

具体的には、当社は以下を遵守します:

• Instagram APIから取得するデータは、利用者が連携時にスコープ instagram_business_basic および instagram_business_content_publish で許諾した範囲(IGユーザーID、ユーザー名、アカウント種別、長期アクセストークン、コンテナID、外部投稿ID、投稿パーマリンク)に限定されます。
• Instagramへの投稿は、利用者がKokopon内で承認した投稿(LINE経由の「投稿する」ボタンによる明示的な承認)のみが対象です。利用者の同意なく自動的に投稿することはありません。
• Instagramユーザーデータを広告目的で使用することはありません。
• Instagramユーザーデータを第三者に販売しません。
• AI/MLモデル(OpenAI等)の学習目的でInstagramユーザーデータを使用、転送、または開示しません。投稿文生成のために送信される情報は、店舗オーナーがKokopon上で入力した一般的なテキスト(店名・カテゴリ・キャンペーン情報等)に限定され、Instagramから取得した個人データ(IGトークン、Insights API応答等)は送信しません。
• Instagram長期アクセストークンは保存時にAES-256-GCMで暗号化されます(第10条参照)。トークン有効期限は最長60日であり、当社は失効前に自動的にリフレッシュします。
• 利用者はダッシュボードからいつでも連携を解除できます。Kokopon側ではトークンを暗号化済みフィールドから消去し、ステータスを revoked に変更します。
• 重要: Instagram API with Instagram Loginにはプログラム的なトークン取消エンドポイントが存在しないため、Instagram側での完全な解除には、Instagramアプリの「設定 → アプリとウェブサイト → Kokopon」から手動で削除する必要があります。当社のダッシュボードは連携解除時にこの案内を表示します。

13. 本ポリシーの変更

当社は、法令の変更またはサービス内容の変更に応じて本ポリシーを改定することがあります。 重要な変更がある場合は、サービス内通知またはメールで事前にお知らせします。

14. お問い合わせ窓口

個人情報保護管理者: ルカム ジョスラン アンドレ クロード(代表取締役)

プライバシーに関するお問い合わせは、以下までご連絡ください。

privacy@kokopon.jp

営業時間: 平日 10:00–18:00（土日祝を除く）