セキュリティとデータの取り扱い

1. データの保存先

• アプリケーションデータ（出席記録、質問、投票結果等）は Supabase（データベース所在地: 東京リージョン）に保存されます。
• パスワードは bcrypt によりハッシュ化して保存され、平文では保持しません。
• 決済情報（カード番号等）は Stripe が保持し、当社のデータベースには保存されません。
• 通信はすべて TLS（HTTPS）で暗号化されます。

2. 参加者データの範囲

参加者（学生・受講者・イベント参加者）はアカウント登録を行いません。保存されるのは、主催者が設定したフォーム項目に参加者自身が入力した内容（氏名・学籍番号等）、Q&A・投票への投稿内容、および出席登録時の位置判定結果のみです。これらは該当フォーム・ルームを作成した主催者だけが閲覧できます。

3. 位置情報の扱い

• 位置情報は、主催者が位置確認を有効にしたフォームでのみ、参加者のブラウザの許可を得て取得します。
• 用途は「対象エリア内からの登録かどうかの確認」のみです。継続的な追跡は行いません。
• 保存されるのは登録時点の座標と判定結果で、主催者のみが確認できます。

4. 出席記録の性質について（正直なご説明）

ざせきくんの出席記録は、QRコード・位置情報・連続登録の制限（クールダウン）を組み合わせて「不正のコストを上げる」仕組みであり、紙やExcelよりはるかに確実な運用上の記録を残せます。一方で、参加者の本人認証（学認・SSO等）は行わないため、厳格な本人確認を法的に要求される用途（単位認定の唯一の根拠、法定研修の証明等）には、組織の規程に照らした確認をお願いしています。誇張した説明をしないことを、私たちは大切にしています。

5. データの保持と削除

• フォーム・ルームのデータは、主催者が削除するまで保持されます。削除は管理画面からいつでも実行できます。
• フォーム・ルームを削除すると、紐づく出席記録・質問・投票データも削除されます。
• アカウントを削除すると、作成したすべてのデータが削除されます（管理画面のアカウント設定から実行できます）。
• 削除後のデータ復元はできません。必要なデータは事前にCSV/JSONでエクスポートしてください。

6. 外部委託先

サービス提供のため、次の事業者を利用しています: Supabase（データベース・リアルタイム配信）、Vercel（ホスティング）、Stripe（決済）、Google（OAuth認証）、Cloudinary（画像配信）。各社との通信は暗号化されています。

7. お支払い・書類対応

クレジットカード決済のほか、法人・教育機関向けに銀行振込（請求書払い）に対応しています。見積書・請求書・納品書の発行も可能です。詳しくはお問い合わせください。

8. ご質問・確認事項

セキュリティチェックシートへの回答など、導入にあたっての確認はお問い合わせフォームからご連絡ください。