プライバシーポリシー

最終更新日：2026年5月24日

合同会社Cuepost（以下「当社」）は、本サービス「Endebut Catch」における 個人情報の取扱いについて、以下のとおりプライバシーポリシーを定めます。

1. 取得する情報

• メールアドレス、パスワード（ハッシュ化）
• 表示名（応募者はニックネーム推奨）、自己紹介
• プロフィール写真・動画・音声
• 生年月日、活動拠点（都道府県）
• 応募者の特技・経験・志望理由・身長・SNSリンク
• 主催者のグループ名・募集要項・コンセプト・連絡先
• 主催者の身元確認資料（法人登記事項証明書、代表者本人確認書類、 事業実態を示す資料等）※当社の求めに応じて提出いただいた場合のみ
• サービス利用ログ（IPアドレス、操作履歴等）

応募者の連絡先情報の取扱いについて

• サインイン用メールアドレス: ログイン認証のため Supabase Auth に暗号化保管します。他ユーザー（主催者を含む）には一切開示されません。
• プロフィール上の連絡先フィールド（電話・LINE・別メールアドレス等）:応募者は登録できません（システムで強制的に空欄）。そのため当社データベースに保存されません。
• 主催者との連絡: サイト内チャット機能を通じて行います（後述「サイト内チャット」参照）。
• 保護者連絡先（未成年応募者の場合のみ）: 非公開で保管し、運営のみが緊急時に確認します（後述「未成年者の保護」参照）。

2. 利用目的

• 本サービスの提供・運営
• 応募者と主催者のマッチング
• 主催者の身元確認および反社会的勢力に該当しないことの確認
• 不正利用の検知・対応
• 当社からの重要なお知らせの送信
• サービス改善のための統計分析

3. 第三者提供

当社は、法令に基づく場合または利用者の同意を得た場合を除き、 個人情報を第三者に提供しません。

4. 公開範囲と連絡手段

• 応募者の公開情報: 表示名・自己紹介・年齢・身長・活動拠点・ 経験・特技・志望理由・活動可能日・写真・動画・音声・SNSリンク
• 応募者の非公開情報: 未成年応募者の保護者同意情報・保護者連絡先（運営のみが確認し、相手主催者には開示しません）
• 応募者のプロフィール連絡先フィールド: 応募者ユーザーには電話・LINE・別メール等の連絡先フィールドが表示されず、登録できません。 主催者との連絡はサイト内チャット機能を介して行います。
• 主催者の連絡先: オーディション情報の一部として「問い合わせ先」を任意で公開できます。 応募者からの応募時に直接連絡を可能にする目的です。
• サイト内チャット機能: スカウト承諾後、当事者間でサイト内チャットによるやり取りが可能になります。 面談決定までは個人連絡先を交換せずチャット内でやり取りでき、合否連絡・辞退連絡もチャットで完結できます。 チャット内容は当事者間のやり取りとして取り扱います。
• 面談後の連絡先交換: 実際の面談時に当事者間で連絡先を交換いただき、以降は直接連絡が可能になります。 これにより当サイトで応募者の連絡先を保有することなく、円滑なやり取りが実現できます。
• 通報機能: 面談ドタキャン、悪質勧誘、不適切な発言等のトラブルが発生した場合、 通報機能で運営にご連絡いただけます。報告内容に応じて運営が対応します。

5. 未成年者の保護

• 満18歳未満の方が本サービスを利用する場合、保護者の同意 + 保護者の連絡先（メール or 電話）の登録が必須です。
• 応募者ご本人のプロフィール連絡先フィールド（電話・LINE等）は、年齢問わず登録できません（システムで強制的に空欄になります）。 サインイン用メールアドレスは Supabase Auth に暗号化保管されますが、他ユーザーには開示されません。
• 未成年応募者については、トラブル発生時に運営から連絡できるよう、保護者の連絡先のみ取得します。
• 保護者情報は当社データベースに保管されます（氏名・続柄・連絡先）。 目的は未成年者保護およびトラブル発生時の緊急連絡用です。
• 保護者情報は非公開です。他のユーザー（主催者を含む）には開示されません。 当社運営側のみが、未成年者保護の必要があると判断した場合に確認します。
• 応募者本人がアカウントを削除すると、保護者情報も併せて削除されます。

6. 主催者の身元確認情報の取扱い

• 当社は、利用規約第6条に基づき、主催者に対し 法人登記事項証明書・代表者本人確認書類・事業実態を示す資料等の 身元確認資料の提出を求める場合があります。
• 取得した身元確認情報は、主催者の身元確認および反社会的勢力に 該当しないことの確認の目的でのみ利用し、それ以外の目的には使用しません。
• 身元確認情報は当社の運営担当者のみが閲覧でき、 応募者その他の利用者には一切開示しません。
• 当社は、必要な確認を終えた後、合理的な期間内に身元確認資料の原本データを 削除します。確認結果（適否）のみを記録として保持します。
• 身元確認情報は、本サービスを通じて成立する個別契約のあっせん・推薦には 一切用いません。

7. 安全管理

当社は、個人情報の漏洩・滅失・毀損を防止するため、以下の技術的・組織的セキュリティ対策を実施しています。

• 通信の暗号化: 全通信を HTTPS / TLS で暗号化（HSTS preload 対応）
• データベース行レベルセキュリティ (RLS): PostgreSQL のRLSにより、ユーザーごとのデータ境界をDB側で強制
• パスワード管理: パスワードは Supabase Auth により bcrypt 系ハッシュで保管。当社はハッシュ化前の値を保持しません
• パスワード強度の強制: 10文字以上 + 大文字/小文字/数字/記号のうち3カテゴリ以上を必須化
• セキュリティヘッダー: Content-Security-Policy (CSP) / X-Frame-Options / X-Content-Type-Options / Referrer-Policy / Permissions-Policy 等を全レスポンスに付与
• レート制限: スパム・ブルートフォース対策として API エンドポイントに送信回数制限を実装
• ファイル検証: アップロードされた画像・動画はマジックバイト検証により拡張子偽装をブロック
• セキュリティイベントログ: スカウト送信・承諾等の重要操作と、不正検知用のIPハッシュ（個人特定不可）を記録
• シークレット情報の分離: API キー等の機密値はサーバー側のみで保管し、クライアントへ露出しません
• 最小権限の原則: 各ユーザーは自分のデータのみ編集可能。他者データはRLSポリシーで保護

詳細は セキュリティ対策ページ をご覧ください。

8. 退会・削除

利用者はいつでもアカウントを削除できます。削除後、関連データは合理的な期間内に消去します。 ただし、法令により保存が義務付けられた情報、および不正調査のために必要な情報は この限りではありません。

9. お問い合わせ

個人情報の取扱いに関するお問い合わせは、合同会社Cuepostまでご連絡ください。

以上 / 合同会社Cuepost

※ 本ポリシーは公開準備中の暫定版です。リリース時に正式版を掲載します。