MMakiba

プライバシーポリシー

最終更新日:2026年5月24日

Provato Works合同会社(以下「当社」)は、当社が提供する教会管理サービス「Makiba」(以下「本サービス」)における、利用者の個人情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。

本サービスは、日本国内のプロテスタント教会が、教会員の名簿管理、出席記録、牧会記録などを行うためのオンラインサービスです。本サービスの性質上、当社は、契約教会から委託を受けて、その教会員等の個人情報を取り扱います。

第1条 適用範囲

本ポリシーは、当社が本サービスの提供にあたって取得する、契約教会の管理者・職員、ならびに契約教会が本サービスに登録する教会員等の個人情報の取扱いについて適用されます。

第2条 取得する個人情報

当社は、本サービスの提供にあたり、以下の個人情報を取得します。

(1) 契約教会の管理者・職員から取得する情報

  • 氏名、メールアドレス、ログイン認証情報
  • 所属する教会の名称、役職等
  • 本サービスへのログイン履歴、操作履歴

(2) 契約教会が本サービスに登録する教会員等の情報

本サービスにおいて、契約教会が教会員等の情報として登録できる項目は以下のとおりです。必須となるのは氏名およびそのふりがなのみで、その他の項目は契約教会の判断により登録されます。

  • 氏名・ふりがな(必須)
  • 生年月日、性別
  • 住所、電話番号、メールアドレス
  • 家族構成、緊急連絡先
  • 受洗日、受洗教会、転入日、信仰の状況(要配慮個人情報)
  • 出席記録
  • 教会全体の収支記録(収入・支出の項目および金額。個人別の献金額は記録されません)
  • 牧会上の面談記録
  • 契約教会が独自に追加するカスタムフィールド

※ 本サービスにおいて、教会員等の情報は契約教会が登録するものであり、当社が教会員等から直接取得するものではありません。

第3条 利用目的

当社は、取得した個人情報を以下の目的の範囲内で利用します。

  1. 本サービスの提供、運営、保守
  2. 契約教会との連絡、お問い合わせへの対応
  3. 本サービスに関する重要なお知らせの送付
  4. 本サービスの改善、新機能の開発
  5. 利用料金の請求、入金管理
  6. 不正利用の防止、利用規約違反への対応
  7. 統計データの作成(個人を特定できない形に加工した上で)
  8. その他、上記に付随する目的

第4条 第三者への提供

当社は、以下のいずれかに該当する場合を除き、個人情報を第三者に提供しません。

  1. 本人または契約教会の同意がある場合
  2. 法令に基づく場合
  3. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合

第5条 業務委託

当社は、本サービスの提供のため、以下の事業者に個人情報の取扱いの一部を委託しております。委託先は、適切な情報セキュリティ管理体制を有する事業者を選定し、個人情報を適切に取り扱うよう契約等により義務付け、必要かつ適切な監督を行います。

  • Supabase Inc.(米国)— データベース、認証、ストレージ。教会員等のデータは東京リージョン(日本国内)に保管
  • Vercel Inc.(米国)— Webアプリケーションのホスティング、サーバーレス関数の実行、認証ミドルウェアの実行、エッジネットワーク経由の配信。本サービスのプログラム実行リージョンは東京 (hnd1) に固定していますが、ビルド・ログ・メトリクス等の管理プレーンは米国にあります。
  • Stripe, Inc.(米国)— 決済処理

委託先の追加・変更が生じた場合は、本ポリシーの改定により公表します。

第6条 外国にある第三者への個人情報の提供

本サービスは、第5条記載の委託先の利用に伴い、個人情報の一部が米国その他の国に保管または通信される場合があります。各事業者は、適切なセキュリティ管理体制を有しており、当社は、個人情報の保護に関して必要な措置を講じています。

ただし、教会員等の主要なデータは、Supabase Inc. の東京リージョン(日本国内)に保管されます。Vercel Inc.(米国)は Web ホスティングおよびサーバーレス関数の実行を提供する事業者であり、API リクエストの処理に伴い、教会員等の個人情報の一部が関数のメモリ内で一時的に処理されます。本サービスでは関数の実行リージョンを東京 (hnd1) に固定していますが、Vercel のビルド・ログ等の管理プレーンは米国に所在します。Stripe, Inc.(米国)は決済情報の処理に限定されます。

各国の個人情報保護制度に関する情報は、個人情報保護委員会のウェブサイト(https://www.ppc.go.jp/)等をご参照ください。

第7条 安全管理措置

当社は、取得した個人情報の漏えい、滅失または毀損の防止、ならびに不正アクセス・改ざんの防止のため、以下の措置を講じています。

(1) 暗号化

  • 本サービスへの通信は、すべてTLSにより暗号化しています。
  • 個人データは、Supabaseの基盤上でAES-256により保存時暗号化されます。
  • ログインパスワードおよびポータルPINは、bcryptにより一方向ハッシュ化して保管し、平文では保持しません。

(2) 牧会記録のエンドツーエンド暗号化(E2EE)

牧会上の面談記録は、契約教会の担当者のブラウザ上でAES-256-GCMにより暗号化された上でサーバーに保存されます。復号鍵はパスフレーズからPBKDF2(600,000回反復)で導出され、当社のサーバーに送信されることはありません。当該記録の内容は、当社を含む第三者には復号できない設計です。

(3) アクセス制御・テナント分離

データベースには Row Level Security(RLS)を全テーブルに適用し、契約教会のテナント境界を越えるアクセスを禁止しています。さらに、契約教会内においても、管理者・職員に対してモジュール(教会員・出席・行事・心訪記録等)ごとの権限を割り当て、必要最小限のアクセスに制限しています。

(4) 認証

  • 管理者・職員のログインには、認証アプリ(TOTP)による多要素認証を提供しています。
  • 一定時間操作のないセッションは自動的にログアウトし、心訪記録の復号鍵もブラウザのメモリから自動的に消去されます。

(5) 監査ログ

教会員台帳・心訪記録・教会設定・ユーザー管理等の機微なリソースに対する閲覧・作成・更新・削除の操作は、操作者・時刻・対象を含むアクセスログとして記録され、契約教会の管理者が閲覧できます。

(6) 不正利用・濫用への対策

  • 認証エンドポイント等にはレート制限を設け、ブルートフォース攻撃を抑止しています。
  • 画像アップロードは、ファイル形式を内容(マジックバイト)から検証し、スクリプト埋め込み可能な形式を拒否します。
  • HSTS、X-Frame-Options、Referrer-Policy、Permissions-Policy 等のセキュリティヘッダを配信時に付与しています。

(7) 依存ライブラリの脆弱性管理

GitHub Dependabot を有効化し、本サービスが利用するライブラリの脆弱性情報を継続的に監視しています。本番環境に影響する脆弱性が判明した場合は、影響評価のうえ修正版を適用します。

(8) 組織的安全管理措置

個人情報取扱責任者を定め、社内の個人情報取扱規程に基づき、アクセス権限の付与・棚卸し、運用状況の定期的な見直しを実施しています。

(9) 物理的安全管理措置

個人データの保管は、適切なセキュリティ管理体制を有するクラウドホスティング事業者(第5条参照)のデータセンターに依拠しています。当該事業者は、データセンターへの入退室管理、機器の盗難・損壊防止等の物理的安全管理を実施しています。

安全管理措置の全体像については、セキュリティについてのページもご参照ください。

第8条 保有個人データの開示・訂正・利用停止等

ご本人またはその代理人から、保有個人データの開示、訂正、追加、削除、利用停止、消去または第三者提供の停止のご請求があった場合は、法令に従い、合理的な期間内に対応します。

教会員等の保有個人データに関するご請求は、原則として、当該教会員が所属する契約教会にお申し出ください。当社は、契約教会からの指示に基づいて対応します。

ご請求の方法・必要書類等の詳細は、第11条のお問い合わせ窓口までご連絡ください。

第9条 Cookie等の取扱い

本サービスでは、利便性の向上、利用状況の把握等のために、Cookie等の技術を使用することがあります。Cookieはブラウザの設定により無効化できますが、その場合、本サービスの一部の機能が利用できなくなる可能性があります。

第10条 保管期間

個人情報は、利用目的に必要な範囲内で保管します。契約教会が本サービスの利用を終了した場合、当該教会のデータは原則として解約後90日を経過した時点で削除します。ただし、法令に基づく保存義務がある場合はこの限りではありません。

第11条 お問い合わせ窓口

本ポリシーに関するお問い合わせ、保有個人データに関するご請求は、下記までご連絡ください。

事業者名:Provato Works合同会社

お問い合わせ:info@provatoworks.com

脆弱性のご報告は /.well-known/security.txt に記載の連絡先までお寄せください。

事業者の代表者氏名、所在地等の詳細は特定商取引法に基づく表記をご覧ください。

第12条 本ポリシーの改定

当社は、法令の変更や本サービスの改善等に伴い、本ポリシーを改定することがあります。重要な変更を行う場合は、本サービス上での通知、契約教会へのメール送信等の方法によりお知らせします。改定後の本ポリシーは、本サービス上に掲載した時点から効力を生じるものとします。

制定日:2026年5月23日

最終改定日:2026年5月24日

← トップに戻る利用規約はこちら →