Farm Code プライバシーポリシー(β版)
版数: 2026-06-02-beta
第1条(基本方針)
Farm Code(運営: 宮原隼人 個人。以下「当方」または「Farm Code」といいます。)は、農業向けコンパウンドSaaS「Farm Code」(以下「本サービス」といいます。)の提供にあたり、お客様の個人情報の重要性を認識し、個人情報の保護に関する法律その他の関連法令およびガイドラインを遵守し、適切な取扱いと保護に努めます。
第2条(事業者情報)
| 項目 | 内容 |
|---|---|
| サービス名称 | Farm Code(個人運営) |
| 運営者 | 宮原隼人 |
| 個人情報保護管理者 | 宮原隼人(運営者本人) |
| お問い合わせ窓口 | contact@vernoa.jp |
| 所在地 | 開示・訂正等の請求にあたり必要な場合に別途ご案内します |
本サービスは現在、運営者個人が試験的に運営しています。今後、株式会社VERNOA(設立予定)の設立後、本サービスに関する事業者地位を同社に承継する予定です(第15条参照)。
第3条(取得する個人情報の項目)
当方は本サービスの提供にあたり、以下の個人情報を取得します。
(1) 経営体(契約者)に関する情報
経営体名、所在地、緯度・経度(天気情報の取得・地図表示のため)、住所テキスト、郵便番号、契約担当者の氏名・連絡先。
(2) 本サービス利用者(従業員等)に関する情報
氏名(姓・名およびそれぞれのフリガナ)、表示名、ログインID、メールアドレス、雇用形態、ロール(オーナー/マネージャー/ワーカー)、賃金情報(時給・日給・月給等の単価および適用開始日)、所定労働時間(1日あたりの労働時間および週あたりの労働日数)、勤怠記録(打刻時刻・作業内容・対象圃場・対象作付け)、有効/無効ステータス。
(3) 各モジュールの業務データに含まれ得る情報
販売管理における顧客・取引先・出荷先・JA(農業協同組合)精算先の名称および担当者の連絡先、経費・経営管理における取引先情報、購買(Marketplace)における配送先(氏名・住所・連絡先)・注文履歴、環境(ZeRo.agri連携)における外部サービスの認証情報・制御設定・連携設定。これらに個人情報が含まれる場合があります。
(4) 認証・セッションに関する情報
Supabase Authが発行する認証ユーザーID、ログインパスワード(当方では平文を保持せず、Supabase上でハッシュ化して保管)、セッションCookie。
(5) 位置情報
土地・圃場の地図ピン登録において利用者が「現在地から取得」を選択した場合の、利用者の端末の位置情報(緯度・経度)。本機能は利用者の操作時にのみ取得し、常時取得は行いません。
(6) 操作ログに関する情報
監査ログ(高権限操作の実行記録、操作者、操作対象、操作日時、IPアドレス)、フィードバック投稿内容。
(7) 技術的情報
IPアドレス、ブラウザの種類およびバージョン、リファラ、アクセス日時、エラー情報。
本サービスは、個人番号(マイナンバー)その他の特定個人情報の取扱いに対応していません。利用者は、本サービスに個人番号その他の特定個人情報を入力または保存しないものとします(利用規約第8条第7項)。
個人情報のご提供は任意ですが、必要な情報をご提供いただけない場合、本サービスの全部もしくは一部をご利用いただけないこと、または適切な対応ができないことがあります。
第4条(個人情報の利用目的)
当方は、取得した個人情報を以下の目的の範囲内でのみ利用します。
- 本サービスの提供・運営および各機能(打刻・勤怠管理・給与計算・農地管理・作付管理・収量記録・販売管理・経費管理・経営管理・環境(センサー)可視化・購買等)の実行のため。
- 本サービスに関するお問い合わせ・サポート対応のため。
- 本サービスに関する重要なお知らせ(規約改定・障害情報・メンテナンス情報等)を通知するため。
- 本サービスの利用状況の分析、機能改善および新機能開発のため。
- 不正アクセス・不正利用の検知および防止のため。
- 法令または公的機関からの要請に基づく対応のため。
β版期間中、本サービスは無償で提供しているため、利用料金の計算・請求目的での利用は行いません。法人化および有償化に伴い本目的を追加する場合は、本ポリシーを改定し事前に通知します。
第5条(個人情報の取扱いにおける役割)
本サービスにおいて当方が取り扱う個人情報は、その性質に応じて次のとおり区分されます。
(1) 経営体からの委託に基づき取り扱う個人データ
経営体がその役員・従業員その他の第三者の個人情報(第3条(2)等)を本サービスに入力する場合、当該個人情報の取扱いに関する責任を負う個人情報取扱事業者は経営体です。当方は、経営体からの委託に基づき、本サービスの提供という委託業務の遂行に必要な範囲で当該個人データを取り扱い、本条に定める安全管理措置を講じます。経営体は、当該第三者に対し、利用目的・本ポリシーに基づく取扱い・外国にある第三者への提供について、あらかじめ説明し必要な同意を取得する責任を負います(利用規約第8条)。
(2) 当方が自ら取得する個人情報
契約担当者の氏名・連絡先、お問い合わせ内容、認証情報、アクセスログ・技術的情報等、当方が自ら取得する個人情報については、当方が個人情報取扱事業者として、第4条の利用目的の範囲で取り扱います。
第6条(個人情報の第三者提供)
- 当方は、次のいずれかに該当する場合を除き、お客様の個人情報をあらかじめご本人の同意を得ることなく第三者に提供することはありません。
- 法令に基づく場合。
- 人の生命、身体または財産の保護のために必要があり、ご本人の同意を得ることが困難な場合。
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合で、ご本人の同意を得ることが困難な場合。
- 国の機関若しくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合で、ご本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合。
- 当方は、現在、広告配信・行動ターゲティングを目的とした個人データの第三者提供(広告配信事業者への提供を含みます。)を行っていません。将来これを行う場合は、本ポリシーを改定し、必要な同意取得その他法令上必要な手続きを行います。
第7条(個人情報の取扱いの委託および外国にある第三者への提供)
当方は、利用目的の達成に必要な範囲内で、個人情報の取扱いの全部または一部を外部委託することがあります。委託先には個人情報の適切な取扱いを義務付け、必要かつ適切な監督を行います。
現在、以下の委託先を利用しており、これらは外国に所在するため、個人情報保護法第28条に基づく外国にある第三者への提供に該当します。当方は、各提供先が同条第1項に定める基準に適合する体制を備えていること、または日本と同等の水準と認められる国に所在することを確認しています。
| 委託先 | 利用目的 | 所在国 | 個人情報保護制度 |
|---|---|---|---|
| Supabase Inc. | データベース・認証基盤の提供(本サービスの中核データを保管) | 米国 | 米国には個人情報保護に関する包括的な連邦法はありませんが、州法(カリフォルニア州CCPA等)による規律があります。SupabaseはDPAおよびSOC 2 Type II準拠の運用を提供しています。 |
| Vercel Inc. | 本サービスのホスティング(アプリケーション配信) | 米国 | 同上。VercelもSOC 2 Type II準拠およびGDPR対応のDPAを提供しています。 |
| Upstash, Inc. | レートリミット用Redisキャッシュの提供(IPアドレス等を一時的に保持) | 米国 | 同上。 |
| Resend (Resend, Inc.) | メール通知の送信(フィードバック通知・監査アラート・ZeRo.agri連携通知等。宛先メールアドレス・氏名等を含むことがあります) | 米国 | 同上。 |
| Functional Software, Inc.(Sentry) | エラー監視(EUリージョンを使用。PIIを送信しない設定[氏名・メール・IP・Cookie・リクエストボディを送信しない]で運用) | ドイツ(EU) | EU/EEA加盟国としてGDPRが適用され、日本と同等水準の個人情報保護制度を有します。 |
| Open-Meteo (Zippenfenig Software) | 天気情報の取得(緯度・経度を送信) | ドイツ | 同上(GDPR)。 |
| OpenStreetMap Foundation (Nominatim) | 住所⇄緯度経度変換(緯度・経度または住所文字列を送信) | 英国 | 英国データ保護法(UK GDPR)が適用され、日本と同等水準の個人情報保護制度を有します。 |
各提供先国における個人情報保護制度の詳細(参考情報)は、個人情報保護委員会の公表資料 (https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku) をご参照ください。
なお、当方は、委託先等との間で個人情報保護法に定める基準に適合する体制を整備する旨を合意し、委託先等による相当措置の継続的な実施を確保するために必要な措置を講じます。
第8条(利用者情報の外部送信について)
本サービスは、機能の提供のために、利用者のブラウザ・端末から当方以外の第三者が運営するサービスへ情報を送信することがあります(電気通信事業法に基づく外部送信に関する情報の公表)。送信先・送信される情報・目的は以下のとおりです。
| 送信先 | 送信される情報 | 目的 |
|---|---|---|
| api.open-meteo.com (Open-Meteo) | 緯度・経度 | 天気情報の取得・表示 |
| nominatim.openstreetmap.org (OpenStreetMap) | 住所文字列または緯度・経度 | 住所と緯度経度の相互変換 |
| zipcloud.ibsnet.co.jp | 郵便番号 | 郵便番号からの住所補完 |
| tile.openstreetmap.org / cyberjapandata.gsi.go.jp(国土地理院) | 地図表示に必要な座標・タイル情報 | 地図の表示 |
| Sentry (ingest.de.sentry.io) | エラー情報・CSP違反レポート(氏名・メール・Cookie等のPIIを送信しない設定) | 不具合の検知・改善、セキュリティ監視 |
当方は、現在、広告配信・行動ターゲティングを目的とした外部送信(広告タグ・トラッキング目的の情報収集モジュール等)は行っていません。アクセス解析ツール等を新たに導入する場合は、本ポリシーを改定し、本欄を更新のうえ事前に通知します。
第9条(安全管理措置)
当方は、取得した個人情報の漏えい、滅失または毀損の防止その他個人情報の安全管理のために、以下の措置を講じています。
(1) 組織的安全管理措置
運営者本人が個人情報保護管理者を兼ね、個人情報の取扱方針を本ポリシーとして定めています。高権限操作(メンバー招待、ロール変更、有効/無効切替、経営体情報変更、パスワードリセット等)はすべて監査ログに記録しています。法人化後は、社内規程および責任者体制を整備のうえ運用します。
(2) 人的安全管理措置
現時点では運営者個人のみが個人情報を取扱います。法人化後は、従業員に対して個人情報保護に関する教育・研修を実施し、秘密保持義務を課します。
(3) 物理的安全管理措置
個人情報を保管するサーバーは委託先(Supabase等)のデータセンターにて、入退室管理・監視カメラ・施錠等の物理的セキュリティ対策が講じられた環境で運用されています。
(4) 技術的安全管理措置
- 通信の暗号化: HTTPS(TLS)による暗号化およびHSTSの適用。
- 保管データの暗号化: 委託先(Supabase)による保管時暗号化。
- アクセス制御: 経営体ごとに分離されたデータアクセス制御(Row Level Security)、ロールベースの権限管理。
- 認証強化: パスワードのハッシュ化保管、無効化されたアカウントのAuthレベルでの即時ban。
- セキュリティヘッダー: Content Security Policy(CSP nonce方式)、X-Frame-Options、X-Content-Type-Options、Referrer-Policy等の適用。
- 不正アクセス対策: レートリミット、CSRF対策(同一オリジンチェック)、JWT署名検証。
- 入力検証: サーバーサイドでのスキーマ検証(zod)。
第10条(漏えい等が発生した場合の対応)
当方は、取り扱う個人データの漏えい、滅失、毀損その他個人の権利利益を害するおそれが大きい事態が生じた場合、個人情報の保護に関する法律第26条に従い、個人情報保護委員会への報告および本人への通知(本人への通知が困難な場合は代替措置)を行います。経営体からの委託に基づき取り扱う個人データについて当該事態が生じた場合は、速やかに当該経営体に報告するとともに、原因の調査、被害の拡大防止および再発防止に必要な措置を講じます。
第11条(個人情報の保有期間)
当方は、利用目的の達成に必要な期間に限り個人情報を保有し、目的達成後は遅滞なく消去するよう努めます。ただし、法令により保存期間が定められているもの(労働基準法に基づく賃金台帳・労働者名簿の3年間保存等)については、当該期間が経過するまで保管します。
β版利用終了後の保有期間および削除手順については、別途締結する覚書または利用規約(TERMS_OF_SERVICE_BETA.md 第18条)の定めによります。
技術的に完全な削除が困難な場合(バックアップ等に保存されている場合を含みます。)、当方は、削除が可能となるまでの間、当該個人情報を安全に隔離し、その後の処理を行わないものとします。
第12条(開示・訂正・削除等の請求)
ご本人またはその代理人は、当方が保有する個人情報について、開示・訂正・追加・削除・利用停止・消去・第三者提供の停止を請求することができます。請求の手続きは以下のとおりです。
- 第2条記載のお問い合わせ窓口までメールでご連絡ください。
- ご本人確認のため、必要書類のご提示をお願いする場合があります。
- 請求内容を確認のうえ、合理的な期間内に対応します。
- ただし、法令により当方が保存義務を負う情報については、削除に応じられない場合があります。
- 経営体からの委託に基づき取り扱う個人データ(第5条(1))については、当該経営体から必要な権限を付与されない限り、当方の判断でご本人に対し直接の開示等を行わず、経営体を通じて対応するものとします。
開示請求に対しては、原則として手数料はいただきません。
第13条(Cookieおよび類似技術の利用)
本サービスは、ログイン状態の維持(セッション管理)のためにCookieを利用しています。Cookieはブラウザの設定により無効化できますが、その場合本サービスの一部機能をご利用いただけなくなる可能性があります。
現在、第三者によるトラッキング目的のCookieは利用していません。本サービスがブラウザ・端末から外部に送信する情報については、第8条(利用者情報の外部送信について)をご参照ください。
第14条(未成年者の個人情報)
本サービスは、原則として法人または個人事業主としての農業経営者および従業員の業務利用を想定しており、18歳未満の方による直接のご利用は想定していません。万一18歳未満の方の個人情報を取得していたことが判明した場合は、速やかに削除等の対応を行います。
第15条(本ポリシーの改定および事業者地位の承継)
(1) 改定
当方は、法令の改正、本サービスの内容変更その他必要に応じて、本ポリシーを改定することがあります。改定後の本ポリシーは、本サービス上での掲示その他適切な方法により告知した時点から効力を生じるものとします。重要な変更を行う場合は、利用者に対して事前にメール等の方法により通知します。
(2) 法人設立に伴う事業者地位の承継
当方(宮原隼人)は、株式会社VERNOA(設立予定)の設立後、本サービスに関する事業者地位を同社に承継する予定です。承継時には、利用者に対して事前にメール等の方法により通知し、承継後の事業者情報および本ポリシーの取扱いについてあらためてご案内します。承継後は、本ポリシー第2条記載の事業者情報が同社に置き換わるとともに、必要に応じて本ポリシー全体を法人版に改定します。
第16条(お問い合わせ窓口)
本ポリシーに関するお問い合わせ、個人情報の取扱いに関するご質問・ご請求は、以下の窓口までご連絡ください。
- サービス名称: Farm Code(個人運営)
- 運営者: 宮原隼人
- メールアドレス: contact@vernoa.jp
制定日: 【YYYY年MM月DD日】(公開時に確定) 最終改定日: 【YYYY年MM月DD日】 ステータス: β版(個人運営期)