プライバシーポリシー
最終更新日: 2026年3月4日
1. 基本方針
FORMLOVA(フォームラバ)(以下「当サービス」)の運営者(以下「当方」)は、個人情報の重要性を認識し、その保護に努めます。当方は、個人情報の保護に関する法律(個人情報保護法)その他関連法令およびガイドラインを遵守し、以下のプライバシーポリシーに従って個人情報を適切に取り扱います。
2. 対象年齢
当サービスは16歳以上の方を対象としています。当方は、16歳未満の方の個人情報を故意に収集することはありません。16歳未満の方が当サービスに個人情報を提供していることが判明した場合、当方は直ちに当該データを削除します。
フォーム回答者の年齢確認は、フォーム作成者の責任において行ってください。フォーム作成者は、16歳未満の個人情報を収集する場合、適用される法令(GDPR第8条、COPPA等)に従い、保護者の同意を取得する等の適切な措置を講じる義務を負います。
3. 収集する個人情報
当サービスでは、以下の個人情報を収集します。
アカウント情報
- メールアドレス
- パスワード(ハッシュ化して保存し、平文では保持しません)
- 氏名
- 組織名(任意)
フォーム回答データ
ユーザーが作成したフォームに対して、回答者が入力したすべてのデータを収集します。これにはテキスト、選択肢、ファイルアップロード、メールアドレス、電話番号等が含まれる場合があります。
回答者識別情報
フォームの回答時に、重複回答の防止および回答者の識別を目的として、入力されたメールアドレス、またはIPアドレスとブラウザ情報(User-Agent)のハッシュ値を生成・保存します。ハッシュ値は不可逆的な変換処理により生成されるため、元の情報を復元することはできません。
利用情報
- IP アドレス
- ブラウザ情報(User-Agent)
- アクセス日時
- ページ閲覧履歴
- 滞在時間
- デバイス情報
メール配信情報
メールの開封日時(トラッキングピクセルによる検知)、リンクのクリック日時および対象リンクを記録します。
決済情報
有料プランのお支払いには Stripe を利用しています。クレジットカード番号等の決済情報は Stripe が直接処理し、当方のサーバーにはカード情報を保存しません。当方が保持するのは、Stripe が発行する顧客 ID および決済履歴のみです。
Cookie
セッション管理、認証状態の維持およびアクセス解析のために Cookie を使用します。詳細は「14. Cookie の使用」をご参照ください。
4. 利用目的
収集した個人情報は、以下の目的で利用します。
- 当サービスの提供、運営および改善
- アカウントの認証および管理
- メールの送信(回答通知、自動返信メール、リマインドメール、メーリングリストへの一斉送信)
- メール配信の効果測定(開封およびクリックの追跡)
- フォーム回答者の重複回答防止のための識別情報の生成および管理
- MCPプロトコルを通じたAIクライアント経由でのサービス提供
- フォームの改善のためのA/Bテストおよびファネル分析
- ユーザーの指示に基づく外部CRMサービスへの回答データの連携
- Google Analytics によるウェブサイトの利用状況の分析
- 利用状況の分析および統計(個人を特定しない形での集計)
- お問い合わせへの対応
- 利用規約違反の調査および対応
- 法令に基づく対応
5. 第三者提供(業務委託)
当方は、サービスの提供に必要な範囲で、以下の事業者に個人情報の取り扱いを委託しています(個人情報保護法第27条第5項第1号)。当方は委託先の選定にあたり、個人情報の安全管理に関する基準を満たしていることを確認し、委託先における個人情報の取り扱いについて必要かつ適切な監督を行います。
| サービス名 | 用途 | データの種類 |
|---|---|---|
| Supabase | データベース、認証 | アカウント情報、フォーム回答データ |
| Vercel | ホスティング | アクセスログ |
| Resend | メール送信 | メールアドレス、メール本文 |
| Stripe | 決済処理 | 決済に必要な情報 |
| Google LLC | アクセス解析(Google Analytics) | IPアドレス(匿名化済み)、ページ閲覧履歴、デバイス情報、滞在時間 |
上記以外の第三者に対し、ユーザーの同意なく個人情報を提供することはありません。ただし、以下の場合を除きます。
- 法令に基づく開示請求があった場合
- 人の生命、身体または財産の保護のために必要な場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要な場合
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行するために協力する必要がある場合
MCP クライアント経由での外部サービス連携
ユーザーの明示的な指示により、フォーム回答データがMCPクライアント上の他サービス(HubSpot、Salesforce、Notion等)に送信される場合があります。この場合の個人情報の第三者提供は、ユーザー自身の判断と指示に基づくものであり、連携先サービスにおけるデータの取り扱いは当該サービスのプライバシーポリシーに従います。
チーム機能によるデータ共有
ユーザーがチーム機能を利用し、他のメンバーを招待した場合、当該メンバーはその権限(閲覧者・編集者・管理者)に応じてフォーム回答データにアクセスできます。チームへの招待およびメンバーの権限設定はユーザーの責任において行われます。
6. 外国にある第三者への個人データの提供(越境移転)
当サービスの運営にあたり、以下の外国にある事業者に個人データの取り扱いを委託しています。
| 委託先 | サーバー所在国・地域 | 個人情報保護に関する制度 |
|---|---|---|
| Supabase | 米国(AWS) | 連邦取引委員会法に基づく執行。一部の州法(CCPA等)が適用される場合あり |
| Vercel | 米国およびグローバルCDN | 同上 |
| Resend | 米国(AWS) | 同上 |
| Stripe | 米国 | 同上。PCI DSS Level 1 認証を取得 |
| Google LLC | 米国 | 同上。アクセス解析データ(IPアドレス、閲覧履歴、デバイス情報) |
各委託先は、暗号化(保存時・転送時)、アクセス制御、監査ログ等の安全管理措置を講じています。当方は、個人情報保護法第28条に基づき、委託先が個人データを適切に管理するために必要な措置を講じていることを定期的に確認します。
7. 安全管理措置
当方は、個人情報の漏えい、滅失またはき損を防止するため、以下の安全管理措置を講じています。
- データベースの AES-256 暗号化(保存時暗号化 / Encryption at Rest)
- 全通信の HTTPS / TLS 暗号化(転送時暗号化 / Encryption in Transit)
- Row Level Security(RLS)によるデータベースレベルのアクセス制御
- パスワードのハッシュ化保存(平文での保存は行いません)
- OAuth 2.1 による MCP クライアント認証(ユーザーごとのトークン発行)
- 個人情報へのアクセス権限の最小化
- 監査ログによる全操作の記録および定期的な確認
- 定期的なセキュリティ対策の見直しおよび改善
8. データ保持期間
個人情報の保持期間は以下のとおりです。保持期間を経過したデータは、速やかに削除します。
| データの種類 | 保持期間 |
|---|---|
| アカウント情報 | アカウント存続中および退会後30日間 |
| フォーム回答データ | ユーザーが削除するまで永続保管(回答者の資産として蓄積) |
| アクセスログ | 取得から90日間 |
| 決済履歴 | 法令で定められた期間(7年間) |
| メールトラッキングデータ(開封・クリック記録) | 12ヶ月 |
| 監査ログ | 12ヶ月 |
| 配信停止リスト | 永続(法令遵守のため削除不可) |
| OAuthトークン | セッション期間中(ログアウトまたは有効期限切れ時に削除) |
アカウント削除時は、関連する全データ(フォーム、回答データ、メール送信履歴、チームメンバー情報等)をカスケード削除します。
9. ユーザーの権利
ユーザーは、個人情報の取り扱いに関して以下の権利を有します。
日本の個人情報保護法に基づく権利
- 個人情報の開示請求
- 個人情報の訂正、追加または削除の請求
- 個人情報の利用停止または消去の請求
- 第三者提供の停止請求
GDPR に基づく権利(EU / EEA 居住者向け)
EU / EEA に居住するユーザーは、GDPR(EU 一般データ保護規則)に基づき、以下の権利を有します。
- データアクセス権(第15条) -- ご自身の個人情報の写しを請求する権利
- 訂正権(第16条) -- 不正確な個人情報の訂正を請求する権利
- 削除権(いわゆる「忘れられる権利」/ 第17条) -- 個人情報の削除を請求する権利
- 処理の制限を請求する権利(第18条)
- データポータビリティの権利(第20条) -- 構造化された形式でデータを受け取る権利
- 処理に対する異議申し立ての権利(第21条)
- 同意の撤回権(第7条第3項) -- 同意に基づく処理について、いつでも同意を撤回する権利
EU/EEA居住者は、ご自身の居住国のデータ保護監督機関に対して苦情を申し立てる権利を有します(GDPR第77条)。
UK GDPR に基づく権利(英国居住者向け)
英国に居住するユーザーは、UK GDPR(2018年データ保護法を含む)に基づき、上記 EU/EEA 居住者と同等の権利を有します。英国居住者は、UK ICO(Information Commissioner's Office)に対して苦情を申し立てる権利を有します。ICO の詳細については https://ico.org.uk をご参照ください。
CCPA に基づく権利(カリフォルニア州居住者向け)
カリフォルニア州に居住するユーザーは、カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー権法(CPRA)に基づき、以下の権利を有します。
- 知る権利(Right to Know) -- 過去12ヶ月間に収集した個人情報のカテゴリ、収集元、利用目的、および第三者提供先を開示請求する権利
- 削除権(Right to Delete) -- 一定の法令上の例外を除き、収集された個人情報の削除を請求する権利
- オプトアウト権(Right to Opt-Out) -- 個人情報の「販売」または「共有」を拒否する権利。当方は、ユーザーの個人情報の販売は行っていません。Google Analytics の利用は分析目的に限定されており、個人情報の販売には該当しません
- 非差別権(Right to Non-Discrimination) -- 上記の権利を行使したことを理由に、サービスの内容や品質において差別的な扱いを受けない権利
カリフォルニア州居住者は、認定代理人を通じて上記の権利を行使することもできます。権利行使の請求は support@formlova.com までご連絡ください。請求を受領後、本人確認のためアカウント登録情報との照合を行います。
データポータビリティ
当サービスでは、全プラン(無料プラン含む)において、フォーム回答データの CSV / Excel エクスポート機能を提供しています。ユーザーはいつでもご自身のデータを取得し、他のサービスに移行することができます。
権利行使の手続き
- support@formlova.com 宛にメールで請求内容をご連絡ください
- ご本人確認のため、登録メールアドレスからの送信を確認します
- 請求内容の確認後、原則として30日以内に対応します
- 開示請求に対しては、電磁的記録(CSV / Excel ファイル等)の提供により対応します
- 本人確認ができない場合、または請求が法令の要件を満たさない場合は、その理由を通知のうえ、請求に応じないことがあります
- 手数料: 無料
10. データ管理者とデータ処理者の関係
フォーム作成者のアカウント情報
当方がデータ管理者(コントローラー)として、本ポリシーに従い管理します。
フォーム回答データ
フォーム作成者がデータ管理者(コントローラー)であり、当方はフォーム作成者の指示に基づきデータを処理するデータ処理者(プロセッサー)の立場にあります。フォーム回答者のデータに関する開示・訂正・削除等の請求は、原則としてフォーム作成者に対して行っていただきます。
フォーム作成者は、自己の責任において適用されるプライバシー関連法令を遵守し、フォーム回答者に対して適切な告知を行う義務を負います。
データ処理契約(DPA)
当方は、GDPR第28条に準拠したデータ処理契約(Data Processing Agreement / DPA)を提供可能です。DPAの締結が必要な場合は support@formlova.com までご連絡ください。
11. AIクライアント(MCP)経由でのデータ処理
当サービスはMCPを通じてAIクライアント(Claude、ChatGPT、Gemini等)から操作されることを前提に設計されています。ユーザーがAIクライアントを通じてフォーム回答データを参照・操作する場合、当該データはAIクライアント(大規模言語モデル)のコンテキストに一時的に読み込まれます。
この処理はユーザー自身の指示に基づいて行われます。AIクライアントにおけるデータの取り扱い(学習への使用の有無、データの保持期間等)は、各AIクライアント提供者のプライバシーポリシーおよび利用規約に従います。当方は、AIクライアント内でのデータの取り扱いについて責任を負いません。
ユーザーは、個人情報を含む回答データをAIクライアント上で取り扱う際のリスクを理解し、自己の責任において利用してください。
12. メールトラッキング
当サービスから送信されるメールには、配信効果の測定を目的として以下のトラッキング技術が使用される場合があります。
- 開封追跡: メール本文に透明なピクセル画像(トラッキングピクセル)を埋め込み、メールが開封された日時を記録します
- クリック追跡: メール本文中のリンクをリダイレクト URL に変換し、リンクがクリックされた日時および対象のリンクを記録します
これらのトラッキングは、フォーム作成者が配信効果を把握するために行われます。フォーム作成者は、メール送信時にトラッキングを有効または無効に設定できます。メールの受信者は、メールクライアントの画像表示設定を無効にすることで、開封追跡を防止できます。
13. メールの配信停止
当サービスから送信されるメールには、配信停止リンクが含まれています。配信停止リンクをクリックすることで、当該フォームからのメール配信を停止できます。配信停止後は、抑止リストに登録され、以降のメールは送信されません。
なお、サービスの運営に関する重要な通知(アカウントに関する連絡、セキュリティに関する通知等)は、配信停止後も送信される場合があります。
14. Cookie の使用
当サービスでは、サービスの提供およびアクセス解析のために Cookie を使用します。使用する Cookie は以下の3つに分類されます。
必須 Cookie
サービスの基本機能に不可欠な Cookie です。これらを無効にすると、サービスの一部機能(ログイン等)が正常に動作しなくなります。
| Cookie 名 | 目的 | 保持期間 |
|---|---|---|
| sb-*-auth-token | 認証状態の維持 | セッション期間中 |
分析 Cookie
当サービスでは、ウェブサイトの利用状況の把握および改善のために Google Analytics(計測ID: G-2PHVCDGZTC)を使用しています。Google Analytics は Cookie を使用して以下の情報を収集します。
- IPアドレス(Google Analytics により自動的に匿名化されます)
- ページ閲覧履歴
- 滞在時間
- デバイス情報(ブラウザの種類、OS、画面解像度等)
| Cookie 名 | 目的 | 保持期間 |
|---|---|---|
| _ga | ユーザーの識別(Google Analytics) | 2年間 |
| _ga_* | セッション状態の維持(Google Analytics) | 2年間 |
収集されたデータは Google のサーバーに送信・保存されます。Google のプライバシーポリシーについては https://policies.google.com/privacy をご参照ください。
Google Analytics によるデータ収集を拒否する場合は、Google が提供するオプトアウトアドオン( https://tools.google.com/dlpage/gaoptout )をブラウザにインストールしてください。
機能 Cookie
ユーザーの設定を記憶し、利便性を向上させるための Cookie です。
| Cookie 名 | 目的 | 保持期間 |
|---|---|---|
| locale | 言語設定の保持 | 1年間 |
Do Not Track シグナルへの対応
現時点では、Do Not Track(DNT)シグナルに対する業界統一の技術標準が確立されていないため、当サービスはブラウザから送信される DNT シグナルへの自動応答は行っていません。Google Analytics によるトラッキングを無効化したい場合は、上記のオプトアウトアドオンをご利用ください。
15. 個人関連情報の取り扱い
当サービスでは、以下の個人関連情報を取得・利用しています。
- IPアドレスおよびブラウザ情報のハッシュ値(フォーム回答者の識別および重複回答防止のため)
- メールの開封日時およびリンクのクリック日時(メール配信の効果測定のため)
これらの情報を第三者に提供する場合であって、提供先において個人データと紐付けられることが想定されるときは、あらかじめご本人の同意を得たうえで提供します。
16. 自動化された意思決定およびプロファイリング
当サービスでは、フォームのA/Bテストおよびフォーム最適化機能において、回答者の行動データ(離脱率、完了率等)を統計的に分析します。ただし、これらの分析は集団レベルの統計処理であり、個人に対する法的効果または同様の重大な影響を及ぼす自動化された意思決定(GDPR第22条第1項)は行いません。
17. GDPR に基づく処理の法的根拠
EU/EEAに居住するユーザーの個人データの処理にあたり、以下の法的根拠に基づいています。
- 契約の履行(GDPR第6条第1項(b)): アカウント作成、フォーム作成・管理、回答データの保管、メール送信など、サービス提供に必要な処理
- 同意(GDPR第6条第1項(a)): マーケティングメールの送信、メールトラッキング
- 正当な利益(GDPR第6条第1項(f)): サービスの改善、不正利用の防止、セキュリティの確保、Google Analytics によるアクセス解析
- 法的義務の遵守(GDPR第6条第1項(c)): 税務・会計上の記録保持義務
同意を法的根拠とする処理については、ユーザーはいつでも同意を撤回できます。撤回は将来の処理に対してのみ効力を生じます。
EU/EEA からの国際データ移転
日本は欧州委員会による十分性認定を受けています。日本から米国等の第三国への再移転にあたっては、各委託先が標準契約条項(SCC)またはその他の適切な保護措置を講じていることを確認しています。
UK GDPR への準拠
当方は、UK GDPR(2018年データ保護法を含む)にも準拠してサービスを提供しています。英国居住者の個人データの処理には、上記の EU/EEA 向け法的根拠と同等の根拠を適用します。
データ保護責任者(DPO)
当方はGDPR第37条に定めるDPO選任義務に該当しないため、DPOは選任していません。個人データの取り扱いに関するEU/EEA/UK居住者からのお問い合わせは support@formlova.com で受け付けます。
18. データ侵害時の通知
個人データの侵害が発生した場合、当方は適用される法令に従い、以下のとおり通知を行います。
GDPR に基づく通知
- 管轄のデータ保護監督機関に対し、侵害を認識してから72時間以内に報告します
- データ主体の権利と自由に対して高リスクをもたらす場合、遅滞なくデータ主体に通知します
日本の個人情報保護法(2022年改正)に基づく通知
- 個人情報保護委員会に対し、速報(3-5日以内)および確報(30日以内、不正アクセスの場合は60日以内)を報告します
- 本人に対し、事態の概要、漏えいした個人データの項目、原因、および当方の対応について通知します
通知内容
- 侵害の概要と発生時期
- 影響を受けるデータの種類と概数
- 講じた対策および被害軽減措置
- 連絡先
通知方法
影響を受けるユーザーへの通知は、登録メールアドレスへのメール送信、およびウェブサイト上の告知により行います。
19. フォーム回答者の方へ
FORMLOVA上のフォームに回答された方の個人データは、フォーム作成者の指示に基づき当サービスのサーバーに保管されます。
回答者のデータに関する管理責任はフォーム作成者にあり、回答者は原則としてフォーム作成者に対してデータの開示・訂正・削除を請求してください。
フォーム作成者に連絡がつかない場合は、 support@formlova.com までご連絡ください。当方はフォーム作成者と連携し、合理的な範囲で対応します。
20. 免責事項
当方は、本ポリシーに従い個人情報の適切な管理に努めますが、以下については責任を負いかねます。
- フォーム作成者が第三者の個人情報を不適切に収集・利用した場合
- ユーザーがAIクライアントを通じて第三者サービスに個人データを送信した場合
- ユーザーが自己のアカウント情報を適切に管理しなかったことに起因する個人情報の漏えい
- 天災、サイバー攻撃その他の不可抗力による個人情報の漏えい
21. 改定手続き
当方は、法令の改正やサービス内容の変更等に伴い、必要に応じて本プライバシーポリシーを改定することがあります。
- 重要な変更を行う場合は、登録メールアドレスへの通知またはサービス内での告知により、事前にお知らせします
- 改定後のプライバシーポリシーは、本ページに掲載した時点で効力を生じます
- 改定後にサービスを継続してご利用いただいた場合、改定後のポリシーに同意したものとみなします
22. 準拠法および管轄裁判所
本プライバシーポリシーは、日本法に準拠し解釈されるものとします。本ポリシーに起因する紛争については、東京地方裁判所を第一審の専属的合意管轄裁判所とします。ただし、EU/EEA居住者についてはGDPRその他の適用されるEU法令に基づく強行規定が、英国居住者についてはUK GDPRおよび2018年データ保護法に基づく強行規定が、カリフォルニア州居住者についてはCCPA/CPRAに基づく強行規定が、それぞれ優先します。
23. お問い合わせ先
個人情報の取り扱いに関するお問い合わせ、開示請求等は、以下の窓口までご連絡ください。
制定日: 2026年2月26日