OPUS プライバシーポリシー
本ポリシーは OPUS(以下「本サービス」)がお客様の個人情報をどのように取得・利用・保管・廃棄するかを定めるものです。本サービスは Security by Design および Privacy by Design の原則に基づき、「個人情報の保護に関する法律」(APPI) および個人情報保護委員会(PPC)のガイドライン、ならびに韓国の 個人情報保護法(PIPA) の基準を反映しています。
1. 事業者・問い合わせ先
- 運営事業者:株式会社イージメーション(주식회사 이지메이션、代表 鄭勲)
- 所在地:大韓民国 ソウル特別市 永登浦区 議事堂大路 83、ソウルフィンテックラボ HPビル 4・5・6・8階(汝矣島洞)
- 事業者登録番号(韓国):649-81-00202
- 個人情報保護管理者:代表取締役(お問い合わせ:admin@opus-store.com)
- お問い合わせ:admin@opus-store.com(お電話でのお問い合わせは受け付けておりません。メールにてご連絡ください。)
2. 取得する個人情報の項目
サービスの段階に応じて、以下の項目を取得する場合があります。
- アカウント・認証:メールアドレス、パスワード(ハッシュ化等により 平文では保存しない 形式)、表示名、ロール(作家・コレクター等)
- サービス利用:複製不可能なデジタルアート に関するメタデータ、エディション・来歴・所有履歴(The Chronicle および連携記録)
- 技術情報:IP アドレス、Cookie・ローカルストレージ、デバイス・ブラウザ情報、アクセス・利用ログ
- 分析(該当する場合):非識別・集計ベース の利用統計(ページ閲覧、イベント集計など)。個人を直接識別しない設計とします。
3. 利用目的
- 会員の識別、ログイン・セッション管理、不正利用の防止
- 認証されたデジタルエディション の所有・来歴・鑑賞体験の提供、および The Chronicle 記録の 完全性・監査可能性 の維持
- カスタマーサポート、お知らせ、規約・ポリシー変更の通知
- サービス品質の改善(統計・セキュリティ監視、PII 最小露出 の原則に基づくログ)
本サービスは NFT 等の分散台帳技術 を 技術的手段 として活用する場合がありますが、投資・収益・金融商品 を目的とした個人情報の取り扱いは行いません。
4. The Vault および暗号化・セキュリティ制御
OPUS は重要データの 保管時(At-Rest) および 伝送時(In-Transit) において暗号化とアクセス制御を適用します。
- The Vault:運用インフラ内の プライベート保管・処理区域 を指し、個人情報・提出資産・監査ログ等は 業務上必要最小限の範囲 でのみ当該区域またはこれに相当する制御水準の環境に保管されます。
- 暗号化:伝送経路は TLS 等の業界標準を用います。保管データは 暗号化ストレージ・暗号化バックアップ 等により漏えいリスクを軽減します(具体的なアルゴリズム・鍵管理は社内セキュリティ基準およびインフラ文書に従います)。
- アクセス制御:最小権限(RBAC) の原則、運用・開発の分離、監査ログ(識別情報 マスキング の原則)を適用します。
- 完全性:The Chronicle 等 不可変・連続記録 が必要な領域は ハッシュチェーン 等により 完全性検証 をサポートします。その場合も 直接識別子 は可能な限り 分離・最小化 します。
5. 個人情報の第三者提供および処理の委託
- 原則として、お客様の同意なく第三者に個人情報を提供することはありません(APPI 第 27 条)。
- 委託(ホスティング、決済代行、分析ツール等)がある場合、委託契約 に従い 目的外利用の禁止・技術的および組織的安全管理措置 を要求し、委託先と処理項目 を本ポリシーまたは別紙で開示します(APPI 第 25 条)。
5.1 決済処理の委託 — 加盟審査中
本サービスは、日本国内でのクレジットカード等の決済処理を 日本国内の決済代行会社(PSP) に委託する予定であり、現在 KG イニシス・ジャパン(KG Inicis Japan) を最優先候補として加盟審査を進めています。加盟確定までは本項の委託先名称・所在国・処理項目等は暫定表記であり、加盟確定の時点で本表を確定し、本ポリシーを更新するとともに、利用者にあらためてご案内します。いずれの決済代行会社を選定する場合でも、カード番号などの決済情報は OPUS のサーバーを経由せず、選定された決済代行会社の PCI DSS 準拠環境で直接お預かりする ことを要件とします。
| 項目 | 内容(暫定 — 加盟確定時に確定) |
|---|---|
| 委託先の名称 | 加盟審査完了時に確定(現候補:KG イニシス・ジャパン(KG Inicis Japan)) |
| 所在国 | 日本(現候補ベース;他の PSP を選定した場合は更新) |
| 委託する処理 | 決済セッションの生成、カード等決済情報の収集・トークン化、決済結果の通知(Webhook)、返金処理 |
| 提供される個人情報の項目 | OPUS 注文番号、決済金額(JPY)、通貨、結果区分。カード番号・有効期限・セキュリティコードは OPUS 側では取得・保有しません(選定された決済代行会社が直接お預かりします)。 |
| 委託先における保有・利用期間 | 選定された決済代行会社のポリシーおよび PCI DSS 等の関連法令・基準に従います。 |
| 安全管理措置 | PCI DSS 認証事業者の選定、TLS 通信暗号化、トークン化による加盟店側カード番号非保持を前提とします。委託契約により目的外利用の禁止と技術的・組織的安全管理措置を求めます。 |
| 同意の撤回 | 決済画面に進まないことで本委託を回避できます。既に発生した決済については別途返金手続きにより対応します。 |
| 導入時期 | 加盟審査の完了時点で本表を確定し、サービス公開と同時に最新の表記に更新します。 |
将来的に他の決済代行会社・関連処理委託先を追加する場合は、当該処理を開始する前に 本ポリシー第 5 条を更新し、同一の形式で開示します。
6. 外国にある第三者への個人情報の提供(APPI 第 28 条)/国外移転(PIPA 第 28 条の 8)
Google・LINE のアカウントでのログイン・新規登録 を選択された場合、認証処理のためお客様の個人情報が第三者に提供される場合があります。なお、LINE Login は日本国内の事業者(LY Corporation)への提供であり、APPI 第 28 条が定める「外国にある第三者への提供」には該当しません(§6.2 注記参照)が、多言語ユーザーに対する開示の一貫性確保のため、本条にて同一様式で情報の流れを開示します。当該提供に関する同意は、登録・ログイン画面の 「利用規約およびプライバシーポリシーへの同意」 チェックボックスに含まれており、その具体的内容は本条により事前に開示します。本条は 日本国個人情報保護法(APPI)第 28 条 および 大韓民国個人情報保護法(PIPA)第 28 条の 8 第 2 項(国外移転の事前告知)が求める情報を包括的に記載します。
6.1 Google LLC(米国)— アカウント認証
| 項目 | 内容 |
|---|---|
| 提供先の氏名または名称 | Google LLC |
| 提供先の所在国 | アメリカ合衆国(United States of America) |
| 提供の時期・方法 | お客様が Google ログイン・新規登録を 選択した時点 において、HTTPS ベースの OAuth 2.0 / OpenID Connect 標準フローにより提供 |
| 提供される個人情報の項目 | メールアドレス、Google 表示名、プロフィール画像 URL、Google アカウント一意識別子(OIDC sub) |
| 提供先の利用目的 | お客様の本人確認、認証トークンの発行、サービスログイン状態の維持 |
| 提供先における保有・利用期間 | Google 側は Google プライバシーポリシーに従います。OPUS 側はお客様の アカウント削除 または 同意撤回 の時点まで保有します。 |
| 安全管理措置 | TLS 通信暗号化、OAuth 権限スコープの最小化(プロフィール・メールの範囲のみ要求)、OPUS 内部保管時のアクセス制御(RBAC)および監査ログの記録 |
| 提供先国における個人情報保護制度 | 米国には包括的な連邦個人情報保護法は存在せず、分野別の連邦法および FTC Act §5(不公正または欺瞞的行為の禁止)により執行されます。Google LLC は同社のプライバシーポリシーおよび標準契約条項(SCC)等により保護を履行しています。当該情報は PPC 公表の「外国における個人情報の保護に関する制度等の調査」を参照し作成しています。 |
| 提供先が講ずる措置 | Google LLC は OECD プライバシー 8 原則に相当する内部統制、業界標準の暗号化、および EU 一般データ保護規則(GDPR)に整合した処理者(Processor)契約を採用しています。 |
| 同意撤回の方法 | お客様は Google ログインを 選択しない ことにより本提供を拒否できます。提供後の撤回は OPUS アカウント削除 のリクエストによりご対応いたします。 |
6.2 LY Corporation(日本国内)— LINE Login 認証
注記(APPI 第 28 条との関係): LY Corporation は日本国内に所在する事業者であり、本提供は「外国にある第三者への提供」(APPI 第 28 条)には該当しません。本サービスは多言語(日本語・韓国語・英語)で提供されるため、日本国外に居住するお客様にとっては国外移転に該当することがあり、開示一貫性のため §6 に同一様式で記載します。
| 項目 | 内容 |
|---|---|
| 提供先の氏名または名称 | LY Corporation(旧 LINE Corporation 等を統合した日本法人。2023 年 10 月 1 日付で LINE Corporation・ヤフー株式会社等のグループ再編により発足) |
| 提供先の所在国 | 日本(東京都所在) |
| 提供の時期・方法 | お客様が LINE ログイン を 選択した時点 において、HTTPS ベースの OAuth 2.0 / OpenID Connect(LINE Login v2.1) 標準フローにより提供 |
| 提供される個人情報の項目 | LINE が発行する OIDC sub(お客様の固有識別子)、メールアドレス(お客様の明示的同意があった場合)、LINE 表示名、プロフィール画像 URL |
| 提供先の利用目的 | お客様の本人確認、認証トークンの発行、サービスログイン状態の維持 |
| 提供先における保有・利用期間 | LY Corporation 側は LY Corporation グループプライバシーポリシーに従います。OPUS 側はお客様の アカウント削除 または 同意撤回 の時点まで保有します。 |
| 安全管理措置 | TLS 通信暗号化、LY Corporation が署名する ID トークン(JWT)の署名・有効期限検証、OAuth 権限スコープの最小化(profile openid email の範囲のみ要求)、OPUS 内部保管時のアクセス制御(RBAC)および監査ログの記録 |
| 提供先国における個人情報保護制度(日本国外居住者向け) | 日本は 個人情報の保護に関する法律(APPI) により規律され、個人情報保護委員会(PPC) が監督します。日本居住者にとっては本提供は国内提供にあたり、APPI 第 28 条の外国第三者提供規制の対象外です。 |
| 提供先が講ずる措置 | LY Corporation は APPI および同社グループのデータ保護方針に基づき、安全管理措置・委託先管理・お客様の権利(開示・訂正・削除等)への対応を履行しています。 |
| 同意撤回の方法 | お客様は LINE ログインを選択しない ことにより本提供を拒否できます。提供後の撤回は OPUS アカウント削除 のリクエストによりご対応いたします。 |
6.3 その他
上記 6.1 〜 6.2 以外の外国にある第三者への提供(例:新たな OAuth プロバイダーの追加、海外の分析・ホスティング委託等)を導入する場合、当該処理を開始する前に 本ポリシー第 6 条を更新し、提供先・所在国・項目・期間・同意撤回権を同一の形式で開示します。変更はサービス内告知またはメールにてご連絡いたします。
7. お客様の権利(APPI 第 32 条〜第 39 条)
お客様は保有個人データについて、以下の権利を有します。
- 開示請求(APPI 第 33 条):当社が保有するお客様の個人データの内容の開示
- 訂正・追加・削除請求(APPI 第 34 条):内容が事実でない場合の訂正等
- 利用停止・消去請求(APPI 第 35 条):目的外利用・不正取得・漏えい等の場合の利用停止等
- 第三者提供の停止請求(APPI 第 35 条)
- 同意の撤回:本サービスの設定画面または問い合わせ窓口からお申込みいただけます
請求は本人確認のうえ、APPI および当社規程に従い合理的な期間内に対応いたします。
8. 保有期間および廃棄
- 退会 または 保有期間満了 の場合、関連する個人情報は 遅滞なく廃棄 します。ただし、関係法令に 保存義務 がある場合は、当該期間まで分離保管のうえ廃棄します。
- The Chronicle 等 監査・完全性 のための記録は ブロックチェーン・ハッシュ・不可変ログ の形式で 永続的に保管 される場合があります。この場合、直接識別情報 は 分離・非識別化 等により最小化します。
9. Cookie および類似技術
本サービスは セッション・基本設定・セキュリティ のために Cookie 等を使用します。分析目的の Cookie については、同意が必要な場合は別途同意 UI をご用意します。
10. 子どもの個人情報
本サービスは 16 歳未満(または管轄法上の子ども) の個人情報を 故意に取得しません。該当の事実を確認した場合は 遅滞なく削除 します。
11. 韓国個人情報保護法(PIPA)への対応
大韓民国居住のお客様に対しては、「個人情報保護法」 および施行令に基づく 取得・利用同意、第三者提供、廃棄、利用者の権利(閲覧・訂正・削除・処理停止等)の手続を適用します。韓国語版ポリシーは本書と同一の範囲を対象とする正本です。
12. 漏えい等の報告・本人通知
個人データの漏えい・滅失・毀損等が発生し、かつ APPI 施行規則第 7 条に該当する事態が生じた場合、個人情報保護委員会への報告 および 本人への通知 を速やかに行います。
13. 本ポリシーの変更
法令・サービス変更に伴い本ポリシーを改定する場合があります。重要な変更 はサービス内告知またはメールにてご連絡いたします。
文書バージョン:v1.0.0 | 施行日:2026-05-23 | 最終更新日:2026-05-23 | 次回レビュー:法令・準拠法整合性