Privacy
プライバシーポリシー
RUSH 株式会社 (以下「当社」) は、本ウェブサイトおよび RUSH サービス (Owner / Staff / Customer 向けアプリケーションを含む、以下「本サービス」) における個人情報の取扱いについて、以下のとおりプライバシーポリシー (以下「本ポリシー」) を定めます。
1. 適用範囲
本ポリシーは、本ウェブサイトの閲覧・お問い合わせと、本サービス (店舗オーナー / スタッフによる POS・注文・決済・レポート利用、および飲食店の来店客によるモバイルオーダー・決済利用) の 双方に適用されます。取得する情報の範囲は用途によって異なるため、次項で区分して記載します。
2. 取得する個人情報
(1) お問い合わせ・サイト利用時
- 屋号 / 法人名
- 担当者名
- 連絡用メールアドレス
- 現在ご利用中の POS
- 月商レンジ (任意)
- お問い合わせ内容
- 送信元 IP アドレス / ブラウザ情報 (Formspree が自動収集)
(2) 本サービス利用時 (店舗オーナー / スタッフ)
- アカウント情報 (Apple / Google / LINE / Instagram / パスキーによる認証で取得する識別子・メールアドレス)
- 屋号・店舗情報 (所在地、営業時間、決済プロバイダの設定等)
- 注文・会計データ (メニュー、金額、会計方法)
- 決済処理に付随する情報 (カード末尾4桁、決済処理業者が発行する取引ID。カード番号本体は当社サーバーを経由せず各決済処理業者が直接取扱います)
- スタッフの勤怠・シフト情報 (ご利用プランに応じる)
(3) 本サービス利用時 (来店客 / rush_id)
来店客の情報は、来店先ブランドごとの明示的な opt-in 同意がある範囲でのみ取得・共有します。 同意なく取得・共有されることはありません。
- 来店履歴・注文内容 (visit_history)
- アレルギー情報 (allergy_data) — 個人情報保護法上の要配慮個人情報として、他の項目とは別画面で個別に同意を取得します
- 食事嗜好・健康に関する情報 (dietary_preference / health_data) — 同上
- スタッフに表示されるプロフィール情報 (staff_visible_profile)
- 複数ブランド間での共有可否 (cross_brand_share) — デフォルトは非共有
- マーケティング配信の可否 (marketing_email / marketing_sms)
- 匿名化された分析用データ (analytics_anonymous) — 個別の rush_id とは紐付けずに集計のみに利用
上記 (3) の同意管理・アクセス履歴・削除請求は、本サービスの「プライバシー」設定画面および後述の API から ご本人が直接確認・行使できます (§8 参照)。
3. 取扱いの法的根拠 (GDPR Art. 6 対応)
EU/EEA 在住者の個人データを取扱う場合に備え、GDPR 第 6 条に定める法的根拠を以下のとおり明示します (日本国内のみの取扱いに対しては個人情報保護法第 17 条 (利用目的の特定) を主たる根拠とします):
- 同意 (consent / Art. 6(1)(a)): 任意送信のお問い合わせフォーム、ニュースレター購読、来店客の各種 opt-in 同意 (visit_history / allergy_data 等)
- 契約履行 (contract / Art. 6(1)(b)): 加盟店契約・利用規約に基づくサービス提供、決済処理、デモ・オンボード対応
- 法的義務 (legal_obligation / Art. 6(1)(c)): 税法 (法人税法 / 消費税法)、適格請求書等保存方式、電子帳簿保存法、犯罪収益移転防止法、特定商取引法に基づく保存義務
- 正当な利益 (legitimate_interest / Art. 6(1)(f)): セキュリティ監視 (Sentry / Cloudflare WAF) / 不正利用検知 / システム稼働ログの保管。利用者の権利との比較衡量を実施
- 重大な利益 (vital_interests / Art. 6(1)(d)): 生命・身体に関わる緊急時 (該当ケースは現状想定なし)
- 公益・公権力 (public_task / Art. 6(1)(e)): 該当なし
4. 利用目的
- お問い合わせへの返信および対応
- デモ・オンボードに関するご連絡 (営業連絡)
- 本サービスの提供 (POS / 注文受付 / 決済処理 / レポート生成)
- 決済の実行・エラー対応・返金対応
- 来店客ご本人が同意した範囲での、来店履歴・嗜好情報等の店舗への共有
- 不正利用の検知およびシステムの安定運用
- RUSH に関する重要なお知らせ (プロダクト更新 / 料金改定通知等)
上記以外の目的 (無断でのマーケティング解析、外部広告への提供等) には利用しません。
5. 第三者送信先・委託先 (外部送信)
お問い合わせフォームの送信は Formspree, Inc. (米国カリフォルニア州) のサーバー上で 処理されます。Formspree のプライバシーポリシーは https://formspree.io/legal/privacy-policy/ をご参照ください。本サイトは Cloudflare Pages (米国) によるホスティングを利用しており、 アクセスログが Cloudflare のサーバーに送信されます。
本サービス (アプリ) の提供にあたり、以下の委託先・決済処理業者に利用目的の範囲内で必要な情報を 提供します:
- 決済処理 (カード / Tap to Pay): Stripe, Inc. (米国) / Block, Inc. (Square, 米国)
- 決済処理 (QR コード決済・コンビニ払い・銀行振込): KOMOJU 株式会社 (日本)
- 決済処理 (QR コード決済・直接契約分): PayPay 株式会社 (日本) / 楽天ペイメント株式会社 (日本) / d払い・au PAY・merpay の技術接続を担う決済ゲートウェイ事業者 (日本、選定中)
- 認証 (SSO): Apple Inc. (米国) / Google LLC (米国) / LINE ヤフー株式会社 (日本)
- エラー監視・可観測性: Sentry (米国)
6. 保有期間
お問い合わせいただいた個人情報は、対応完了日から原則 2 年間 保有し、その後速やかに削除します。
本サービス利用に伴う情報は、契約期間中および契約終了後の法定保存期間 (会計帳簿 7 年、適格請求書発行義務関連 データ等) に従い保管します。来店客の同意ベースの情報 (§2(3)) は、同意が撤回されるか削除請求 (§8) が 行われた場合、法定保存義務のある範囲を除き速やかに削除・匿名化します。データアクセス履歴は法人税法・ 個人情報保護法上の保存期間の観点から 5 年間 保持します (削除請求後も同様)。
7. 第三者提供
個人情報を第三者に提供する場合は、原則ご本人の同意を得てから提供します。ただし、以下の場合を除きます:
- 法令に基づく場合
- 人の生命・身体・財産の保護のために必要な場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要な場合
- 業務委託先・決済処理業者 (§5 記載の各社) に対し、利用目的の範囲内で必要な範囲を提供する場合
- 来店客ご本人が明示的に同意した範囲で、来店先ブランドに情報を共有する場合 (§2(3))
8. 利用者の権利 (GDPR Art. 15-21 / 改正個人情報保護法)
ご本人は、ご自身の個人データに関して以下の権利を行使できます:
- 開示請求 (Right of access / Art. 15): 当社が保有する個人データの開示
- 訂正請求 (Right to rectification / Art. 16): 誤った情報の訂正・追加
- 削除請求 (Right to erasure / "Right to be forgotten" / Art. 17): 利用目的達成後または不要となった個人データの削除
- 処理制限 (Right to restriction of processing / Art. 18): 法的義務調査中など特定状況での処理一時停止
- データポータビリティ (Right to data portability / Art. 20): 構造化された機械可読形式での個人データ提供 (CSV / JSON)
- 異議申立 (Right to object / Art. 21): 正当な利益に基づく処理 / マーケティング目的処理への異議
- 個人情報保護法に基づく利用停止 / 第三者提供の停止 / 利用目的の通知
来店客の方 (rush_id をお持ちの方) は、本サービスの「プライバシー」設定画面から、同意の一覧確認・撤回・ アクセス履歴の閲覧・削除請求・処理停止請求・データエクスポートをご自身で直接行うことができます。 設定画面をご利用いただけない場合は、下記 §12 の窓口までご連絡ください。本人確認のうえ、原則 30 日以内 (GDPR 上は 1 ヵ月、最大 3 ヵ月まで延長可) に対応いたします。対応に納得いただけない場合、日本国内であれば 個人情報保護委員会、EU/EEA 域内であれば監督機関 (Supervisory Authority) への申立権を有します。
9. Cookie / アクセス解析
本ウェブサイトは現時点ではトラッキング Cookie / アクセス解析ツール (Google Analytics 等) を導入していません。 将来導入する場合は、本ポリシーを改定したうえで明示的に通知し、EU/EEA 在住者には事前 opt-in 同意 (ePrivacy 指令準拠) を取得します。
10. データ保護責任者 (Data Protection Officer / DPO)
将来の EU 進出に備え、データ保護に関する問い合わせ窓口を設置しています。GDPR 第 37 条に基づく DPO の正式任命は、大規模個人データ処理に該当する状況に至った時点で実施します (現時点では任意設置)。
- Email: dpo@rush.example
- 連絡先: RUSH 株式会社 データ保護担当
11. 個人情報保護管理者
個人情報保護法第 19 条 (安全管理措置) に基づき、RUSH 株式会社内に個人情報保護管理者を置きます。
- 管理者: 代表取締役
- Email: privacy@rush.example
12. 国際データ移転 (GDPR Art. 44-49 / 改正個人情報保護法 28 条)
お問い合わせデータ・本サービス利用データは、委託先のサーバー所在地に応じて以下の国・地域に移転される場合があります:
- 米国: Formspree, Cloudflare, Stripe, Square, Sentry, Apple, Google
- 日本国内: KOMOJU, PayPay, 楽天ペイメント, LINE ヤフー, 自社運用サーバー
EU/EEA 域内からの移転については、原則として以下のいずれかの安全管理措置を採用します:
- 十分性認定 (Adequacy Decision): 日本は欧州委員会の十分性認定 (2019 年 1 月) 国であるため、EU → 日本の移転は適切
- EU-US Data Privacy Framework (DPF): 米国向け移転は、委託先が DPF に参加している場合に限り適法
- 標準契約条項 (Standard Contractual Clauses / SCC): DPF 未参加の委託先には SCC 2021/914 を採用
- Binding Corporate Rules (BCR): グループ内移転 (該当なし)
13. お問い合わせ窓口
個人情報・データ保護に関するお問い合わせは:
RUSH 株式会社 個人情報保護担当
Email: privacy@rush.example
DPO Email: dpo@rush.example
14. 改定
本ポリシーは、法令の改正 (個人情報保護法 / GDPR / ePrivacy 指令等) または事業内容の変更に伴い随時改定する場合があります。 重要な変更がある場合は、本サイト上および本サービス内で告知します。
制定日: 2026-05-12 / 最終改定: 2026-07-09