1. 個人情報取り扱いに関する基本方針
mcextra(以下「当社」といいます。)は、当社が取り扱う個人情報の重要性を深く認識し、お客様の信頼に応えるべく、以下のとおり基本方針を定め、適切な管理・保護に努めます。
1.1 法令・ガイドライン等の遵守
当社は、個人情報の保護に関する法令および国が定めるガイドライン、その他の規範を遵守します。
1.2 適正な取得
個人情報は、利用目的を明示したうえで、適法かつ適切な手段により取得します。
1.3 利用目的の明確化
取得した個人情報は、あらかじめ公表または通知した利用目的の範囲内でのみ取り扱い、目的外利用は行いません。
1.4 安全管理措置の徹底
個人情報の漏えい、滅失、毀損を防止するため、組織的・人的・物理的・技術的な安全管理措置を講じます。
1.5 継続的改善
個人情報保護のための仕組みについて、定期的に見直し・改善を行い、運用を継続的に向上させます。
1.6 お問い合わせへの対応
個人情報の取扱いに関する苦情・相談を適切かつ迅速に処理できる体制を整備し、ご要望には誠実に対応します。
2. 定義
プライバシーポリシーで使用する言葉の定義は個人情報保護法とその他関連法令に従い、次のとおりとします
2.1 「本ウェブサイト」
mcextraが運営・管理し、本プライバシーポリシーを適用するウェブサイト一切をいう。
2.2 「利用者」
本ウェブサイトにアクセスし、情報の閲覧、各種サービスの利用を行う個人または法人をいう。
2.3 「個人情報」
個人情報保護法(平成15年法律第57号)第2条第1項に規定する「個人情報」をいい、生存する個人に関する情報であって、氏名、生年月日、住所、電話番号、メールアドレスその他の記述等により特定の個人を識別できるものを指す。
2.4 「個人データ」
前号の「個人情報」のうち、検索可能な方法(氏名や会員ID等をキーとしてエクセル一覧や50音順名簿等により容易に照合可能な形式)で管理されるものをいい、個人情報保護法第16条第3項において特別保護の対象とされるものをいう。
2.5 「第三者」
当社及び利用者以外の個人、法人その他の主体をいい、当該主体に対する情報の開示・提供を「第三者提供」という。
2.6 「第三者提供」
個人データを、本人の同意を得ることなく前号に定める第三者へ開示または提供する行為をいう。
2.7 「共同利用」
当社が取得した個人データを、利用目的の範囲内で他の事業者と共同して利用することをいい、当該共同利用の責任範囲および管理方法を別途定めるものとする。
2.8 「SSL」
Secure Sockets Layerの略称であり、インターネット上の通信路を暗号化し、情報の盗聴・改ざんを防止するプロトコルを指す。
2.9 「Cookie」
ウェブサーバーが利用者のブラウザに一時的または継続的に情報を保存する技術であり、利用者の識別、セッション管理、利便性向上等を目的として用いられるHTTPヘッダ方式の仕組みをいう。情報通信端末(パーソナルコンピュータ、スマートフォンその他のデバイスを含みます。)に保存される文字列情報であり、当該端末を一意に識別し、閲覧履歴その他の利用状況を取得する技術的手段をいいます。クッキーは情報主体を直接特定し得る氏名等を含むものではありませんが、他の情報と結合することで個人データとなり得る場合があります。
3. 個人情報の取得方法
当ウェブサイトは、以下の手段を通じてユーザーの個人情報を取得いたします。
3.1 ユーザー登録情報の入力
ユーザーが本サイトの会員登録、コメント投稿、お問い合わせフォームの送信等の際に、氏名、メールアドレス、パスワード等の情報を任意かつ能動的に入力することにより取得します。
3.2 クッキー(Cookie)および類似技術の利用
本サイトでは、ユーザーの利便性向上およびアクセス状況の統計的解析を目的として、クッキーやWebビーコン、ローカルストレージ等の技術を用いる場合があります。これらの技術により取得されるIPアドレス、訪問日時、閲覧ページ、利用端末情報等の情報は、個人を特定し得る情報として取り扱います。
3.3 外部認証サービスとの連携
Google、Facebook、Twitterなどの第三者認証サービスを用いたログイン機能を提供する場合、当該サービスから取得した氏名、メールアドレス、プロフィール画像等の情報を利用者の同意を前提として取得します。
3.4 ログファイルの自動収集
サーバーログとして保存されるアクセスログ(IPアドレス、HTTPリクエスト情報、ブラウザタイプ、OS情報、リファラーURLなど)を、自動的に取得・保管します。これらは主にサービスの障害対応やセキュリティ強化、統計解析を目的として利用します。
3.5 API連携による情報取得
本サイトが外部API(例:決済代行、メール配信システム等)を利用する場合、そのAPIプロバイダーから送付される取引情報または配信状況情報を取得します。取得する情報の範囲および利用目的は、あらかじめ利用者に明示した上で同意を得た内容に準じます。
3.6 アンケート・キャンペーン等への応募
アンケートフォームやプレゼントキャンペーン等にユーザーが応募する際、任意項目として取得される属性情報(年齢、性別、居住地等)や意見・要望等の情報を取得します。
3.7 その他利用者からの明示的同意に基づく取得
上記以外に、利用者が個別に同意した方法(メールマガジン登録、提携サービス利用時の情報共有など)により取得する場合があります。
4. 個人情報の利用目的
以下に定める各利用目的の達成に必要な範囲で、個人情報を取扱います。
4.1 サービス提供および運営管理
本サイトの会員認証、ログイン管理、利用状況の把握・分析、各種お知らせ配信、パスワード再設定手続等、サービスの提供および運営管理のために利用します。
4.2 安全性の確保および不正利用防止
利用者の本人性確認、不正アクセス検知・対応、悪質ユーザーの排除、セキュリティ事象の調査・対応およびシステム脆弱性の検査等、安全性の確保およびサービス信頼性向上のために利用します。
4.3 コンテンツの改善・開発
利用者の利用履歴、アクセスログ、アンケート結果等の統計的データを集計・分析し、機能追加、UI/UX改善、新規コンテンツ開発等、サービス品質向上のために利用します。
4.4 お問い合わせ対応およびサポート
お問い合わせフォーム、チャットサポート、メール対応等を通じて寄せられたご意見・ご要望・苦情等への適切な対応および解決のために利用します。
4.5 マーケティング・プロモーション
新機能・イベントのお知らせ配信、キャンペーンの案内、メールマガジン配信等、当社および提携先の商品・サービス情報提供のために利用します。
4.6 法令遵守および権利保護
景品表示法、不正競争防止法等関連法令に基づく対応、裁判所・警察等公的機関からの照会への対応、利用規約違反時の措置、当社権利義務の行使・保護のために利用します。
5. 安全管理措置
5.1 組織的安全管理措置
当社は個人データ保護を統括する責任者(プライバシーオフィサー)を任命し、個人情報保護規程を制定のうえ、全社的な遵守体制を確立しています。また、個人データ取扱業務を特定部署に限定し、取扱権限の所在を明示することで組織的責任を明確化しています。
5.2 人的安全管理措置
個人データ取扱業務従事者に対しては、採用時および定期的研修を義務付け、個人情報保護に関する最新の法令・ガイドライン・社内規程を周知徹底します。さらに、秘密保持契約の締結および違反時の懲戒規定を社内規程として明文化しています。
5.3 物理的安全管理措置
当社サーバールームおよび個人データ保管庫への入退室は、入館カードおよび生体認証による二段階認証制御を導入し、正当な権限を有する者以外の立入を厳格に制限します。また、出退勤管理システムとの連動ログを取得・保存のうえ、定期的に照合・監査を実施します。
5.4 技術的安全管理措置(暗号化措置)
個人データの送受信時には TLS1.2 以上の暗号化プロトコルを必須とし、保存データ(保管データ)には AES-256 以上の暗号化技術を適用します。パスワード等の機密情報はハッシュ化(SHA-256 以上)およびソルト付与により保護し、平文での保持を排除しています。
5.5 アクセス制御措置
情報システムへのアクセスは個別ID認証および多要素認証(MFA)を必須とし、管理者権限を最小権限で付与します。また、権限変更・削除は業務異動発令と連動させ、リアルタイムに権限調整を行います。
5.6 監査ログ管理措置
個人データを取り扱うシステム及びネットワーク機器のアクセスログ、操作ログはすべて収集し、改ざん防止のため WORM(Write Once Read Many)ストレージに格納します。ログは少なくとも1年間保存し、定期的に整合性検証を実施します。
5.7 システム監視・脆弱性管理措置
IDS/IPS による常時ネットワーク監視および、定期的な外部専門機関による脆弱性診断・ペネトレーションテストを実施し、発見されたリスクに対しては速やかに是正措置を講じます。パッチ適用ポリシーを定め、重要度に応じた適用期限を厳守します。
5.8 データ廃棄措置
保有期間を経過した個人データおよび訂正・削除指示のあったデータは、電子媒体の場合は復元不可能な消去ソフトを用いて完全消去し、紙媒体の場合は裁断または溶解により復元不能化します。廃棄ログも記録し、管理責任者が検証します。
5.9 定期的見直し措置
以上の安全管理措置は、少なくとも年1回以上の内部監査を契機に有効性評価および必要に応じた改善を実施し、法令改正や社会情勢の変化に応じて社内規程を更新します。継続的改善サイクル(PDCA)を回転させることで、常に最適な安全性を保持します。
6. 個人データの共同利用
当社単独で共同利用は行いません
7. 個人データの第三者提供
7.1 原則禁止
当サイト運営者(以下「当方」といいます。)は、個人情報保護法第27条第1項に基づき、あらかじめご本人の同意を得ることなく保有する個人データを第三者に提供することはいたしません。
7.2 第三者提供に該当しない行為
第三者提供に当たらない行為として、個人データの取扱いを外部に委託する場合、合併その他の事業承継に伴って個人データが移転する場合、前項(6)で定義した共同利用に該当する場合、ならびに法令に基づく場合が挙げられます。
7.3 典型的な提供先および提供目的
広告配信やアクセス解析のため、Google LLC(Google AdSense)にはIPアドレス・クッキー識別子・閲覧履歴等を、サーバーホスティング運用のため、さくらインターネット株式会社にはアクセスログ・メール送信ログ等を提供することがあります。これらの提供はTLSによる暗号化通信を用い、かつGoogle LLCとは標準契約条項(SCC)を締結する等、個人情報保護法および関連ガイドラインの要求水準を満たす安全管理措置を講じたうえで実施いたします。
7.4 同意取得の方法
上記のような第三者提供を行う際は、ご本人に対しプライバシーポリシーへの同意チェックボックス、ポップアップによるオプトイン表示、または電子メールによる明示的同意のいずれかの手段で同意を取得いたします。
7.5 提供記録の保存
当方は、個人情報保護法第30条に則り、第三者提供に関する提供年月日、提供先、提供項目、提供方法、同意取得状況等の記録を電磁的に作成し、少なくとも3年間保存いたします。
7.6 外国に所在する第三者への提供
個人データを日本国外の第三者へ提供する場合、当該国の個人情報保護制度・事業者の安全管理措置を事前に調査し、十分な保護が確保されていることを確認したうえで提供いたします。
7.7 第三者提供の停止請求
ご本人は、個人情報保護法第30条の4に基づき、当方による第三者提供の停止を請求する権利を有しています。手続の詳細は第8項「個人データの開示、訂正等の手続きについて」に従ってください。
8. 個人データの手続き
8.1 開示請求の方法
本人又は正当な代理人は、当運営者所定の「保有個人データ開示等請求書」に必要事項を記載のうえ、電子メール又は書留郵便で当サイト窓口宛に送付することにより、保有個人データの開示を請求できます。
8.2 本⼈確認に関する措置
請求に際しては、運転免許証・旅券その他公的機関が発行する顔写真付き身分証明書の写し(代理人による請求の場合には委任状及び代理人本人の身分証明書の写しを含む)を添付し、本人性を確認します。
8.3 回答方法及び期間
運営者は前条の請求を受領した日から起算して14日以内に、原則として電子メール(PDF 形式の書面)により回答します。やむを得ない事由により当該期間内に回答できない場合、速やかに理由及び見込み期間を通知します。
8.4 手数料
保有個人データの開示請求については、1 件当たり 1,000 円(消費税別)の手数料を申し受けます。手数料は、当運営者指定の銀行口座又はキャッシュレス決済手段により納付してください。訂正、追加、削除又は利用目的の通知の請求については手数料を徴収しません。
8.5 不開示事由
開示請求が、本人又は第三者の生命・身体・財産その他の権利利益を害するおそれがある場合、運営者の業務の適正な実施に著しい支障を及ぼすおそれがある場合、若しくは法令に違反するおそれがある場合等には、全部又は一部の開示を行わないことがあります。この場合、運営者はその理由を付して通知します。
9. 利用停止請求
9.1 利用停止・消去請求の方法
本人又は正当な代理人は、当サイトが保有する個人データが不正に取得・利用されている等、個人情報保護法第 35 条所定の要件に該当するときは、「保有個人データ利用停止等請求書」を提出することにより、当該データの利用停止又は消去を請求できます。
9.2 第⼆者提供停⽌請求の方法
当サイトが本人の同意なく個人データを第三者に提供していると認められる場合、本人又は正当な代理人は、前条と同一の手続きにより、当該第三者提供の停止を求めることができます。
9.3 調査及び判断
運営者は、利用停止等請求を受けた場合、事実関係を速やかに調査し、請求が法定要件を満たすと認められるときは、当該データの利用停止、消去又は第三者提供の停止を行います。
9.4 回答方法及び期間
運営者は、前条の調査を完了した日から起算して30日以内に、請求に対する措置の結果を電子メールで通知します。調査に長期間を要する場合は、その旨と見込期間を通知します。
9.5 不承諾事由
利用停止等の請求が法令上の要件を満たさない場合、又は請求に応じることで本人若しくは第三者の権利利益を著しく害するおそれがある場合には、請求を不承諾とすることがあります。その際には、不承諾とした理由を付して通知します。
10. 個人情報お問い合わせ窓口
10.1 問い合わせ窓口の設置
本サイトの個人情報の取扱いに関する開示請求・訂正請求・利用停止請求・第三者提供の停止請求その他の苦情・ご相談は、「MCExtra個人情報保護管理担当」(以下「管理担当」という。)が一元的に受理いたします。
10.2 連絡手段
管理担当へのご連絡は、下記専用メールアドレス(privacy@mcextra.com)または当サイト所定の問い合わせフォームに限り受け付けます。電話・来訪等、前記以外の方法による申し出は原則として承りません。
10.3 受付時間
問い合わせの受領は年中無休で行いますが、管理担当による実質的な対応時間は日本標準時(JST)平日10時から17時までとし、当該時間外および土日祝日に受領したお問い合わせについては翌営業日以降の対応となります。
10.4 回答方法・期間
お問い合わせ内容の精査後、管理担当は合理的な期間内(通常2週間以内)に、電子メールにより回答を行います。当該期間内に回答が困難な場合は、その旨および見込み期間をメールにて通知します。
11. SSLセキュリティ情報
11.1 通信経路の暗号化
本サイトでは、ユーザー端末と当社保有サーバ間の通信において Transport Layer Security(TLS)プロトコルを用いた暗号化通信(いわゆる SSL 通信)を強制し、データ転送時に第三者が内容を窃取・改ざんするリスクを遮断します。TLS ハンドシェイク時には Perfect Forward Secrecy(PFS)を担保する鍵共有方式を優先的に選定し、通信経路の秘匿性を保持します。
11.2 サーバ証明書の取得・管理
当社は、業界標準の認証局(CA)から Extended Validation(EV)または Organization Validation(OV)レベルの X.509 証明書を取得し、厳格な身元確認を経てサーバの真正性を保証します。証明書署名ハッシュアルゴリズムには SHA‑256 以上を使用し、有効期間の満了 30 日前を目安に自動更新を行うことで、失効や期限切れによる警告発生を未然に防止します。
11.3 暗号スイートおよび鍵長の選定
TLS1.2/TLS1.3 を有効とし、AES‑GCM 256 bit 以上の暗号スイートを最優先でネゴシエーションします。RSA 鍵交換は非推奨とし、楕円曲線 Diffie‑Hellman Ephemeral(ECDHE)を既定とします。これにより暗号強度を高水準で維持しつつ、将来的な量子計算機の実用化に伴う脅威にも一定の耐性を確保します。
11.4 脆弱性対応と監視体制
SSL/TLS 実装に関する脆弱性(例:Heartbleed、BEAST、POODLE 等)が公表された場合には、24 時間以内にセキュリティパッチの適用可否を評価し、適用が必要な場合は直ちにローリングアップデートを実施します。さらに、Qualys SSL Labs など外部評価サービスによる定期スキャンを実施し、評価結果が Grade A 以上であることを継続的に確認します。
11.5 ブラウザ側の安全性担保措置
HTTP Strict Transport Security(HSTS)ポリシーをレスポンスヘッダに設定し、初回アクセス以降のダウングレード攻撃やプロトコルストリッピングを防止します。また、Cookie 属性に Secure/HttpOnly/SameSite を付与し、中間者攻撃およびクロスサイトリクエストフォージェリ(CSRF)の脅威を最小化します。
11.6 ログ・証跡の保全
TLS ハンドシェイクおよび証明書検証に関するイベントログを最長 24 か月間、安全なストレージに保管します。当該ログはアクセス権限を最小化し、改ざん防止機構(WORM ストレージまたはハッシュチェーン)を施すことで、後日のフォレンジック調査に資する完全性を確保します。
12. cookieの管理
12.1 クッキーの利用目的
本サイトでは、以下の目的の範囲内でクッキーを利用します。
(1) 利用者の閲覧履歴等を参照し、当該利用者に最適化されたコンテンツを表示するため
(2) アクセス状況の統計的解析を通じて、本サイトの性能・ユーザビリティを向上させるため
(3) 不正アクセス・サービス妨害等のセキュリティリスクを検知・防止するため
(4) 広告配信事業者(Google LLC が提供する Google AdSense を含みます。)による行動ターゲティング広告の配信および広告効果測定を実施するため
12.2 クッキーの種別
本サイトが利用するクッキーは、次の二種に大別されます。
(1) ファーストパーティクッキー:本サイトのドメインから発行され、サイト機能の維持および分析に用いられるもの
(2) サードパーティクッキー:分析サービス(例:Google Analytics)や広告配信サービス等、第三者のドメインから発行され、当該第三者のプライバシーポリシーに従って取り扱われるもの
12.3 クッキー取得に関する同意の取得方法
本サイトでは、初回アクセス時にクッキー利用に関するバナーまたはポップアップを表示し、利用者が「同意する」ボタンを選択した時点でクッキーの保存を開始します。同意を取得した後も、利用者は随時これを撤回することができます。
12.4 クッキーの管理・拒否方法
利用者は、ブラウザ設定の変更、アドオンの導入、オプトアウトページ(例: https://tools.google.com/dlpage/gaoptout )へのアクセス等により、クッキーの受入れを拒否または削除することが可能です。ただし、クッキーを無効化した場合、本サイトの一部機能(ログイン保持、表示最適化、広告非表示設定等)が利用できなくなることがあります。
12.5 サードパーティクッキーに関する責任範囲
本サイトは、サードパーティクッキーにより取得された利用者情報の処理について、当該第三者が公表するプライバシーポリシーの遵守状況を合理的に確認するものの、当該第三者による情報取扱いそのものを直接的に管理・監督する立場にありません。利用者は、必要に応じて当該第三者のポリシーを確認し、オプトアウト手続を行ってください。
12.8 クッキーに関するお問い合わせ
クッキーの管理方法、同意の撤回手続きその他本条に関するお問い合わせは、下記「個人情報の取扱いに関する相談や苦情の連絡先」までご連絡ください。
13. 事業者情報
代表者氏名:ポップポテト
所在地:東京都世田谷区
連絡先:support@mcextra.
14. 改定について
14.1 改定の要否
当サイトは、個人情報保護法その他関連法令の改正、業務内容の変更、または技術的環境の進展等に伴い、本ポリシーの全部または一部を適宜改定する必要があると判断した場合、速やかに改定を行います。
14.2 改定の手続
改定は、事前の予告期間を設けたうえで、当サイト上への掲示その他当サイトが適当と認める方法により利用者に周知するものとし、当該掲示をもって改定の効力発生条件を充足したものとします。
14.3 重大な改定の範囲
利用目的の追加・変更、第三者提供の範囲拡大、取得情報の種類拡大等、利用者の権利義務に影響を及ぼすと合理的に判断される改定(以下「重大改定」といいます。)を行う場合は、当サイトは合理的期間を定めて個別に電子メール等で通知し、明示的な同意取得を要するものとします。
14.4 軽微な改定
法令上の用語修正、表現の明確化、誤記の訂正その他利用者の権利義務に影響を及ぼさない軽微な改定は、前項に定める個別通知を要しないものとし、当サイト上への掲示をもって効力を生じます。
14.5 改定後ポリシーの効力発生日
改定後のプライバシーポリシーは、特段の定めがない限り、当サイトが掲示した時点から効力を有するものとします。利用者は、改定後も当サイトを継続利用することにより、改定内容の適用を受け入れたものとみなされます。
14.6 規範遵守および継続的改善
当サイトは、本ポリシーが常に最新の法令遵守状態を維持し得るよう、定期的に内容を精査し、必要に応じて継続的な見直しおよび改善を実施します。
15. 最終更新日
本プライバシーポリシーは、2025年7月22日付をもって最終改訂