Dapanda(以下「運営者」)は、韓国個人情報保護法第30条に基づき、情報主体の個人情報を保護し、関連する権益を保障するため、以下のとおりプライバシーポリシーを策定・公開します。
最終改訂日 2026-05-13 · 施行日 2026-05-13
1. 個人情報の処理目的
運営者は以下の目的のためにのみ個人情報を処理します。目的の範囲を超えた利用はなく、変更が生じる場合は事前に同意を取得します。
- 入会意思の確認、会員の識別・認証、本人確認
- 投稿・コメントの作成および管理、通報・制裁処理
- 運営者と会員間のコミュニケーション(お知らせ・お問い合わせ対応)
- サービスの不正利用防止・利用統計分析
- (フェーズ2)決済・サブスクリプション・返金処理、取引履歴管理
2. 処理する個人情報の項目
必須項目
- メールアドレス
- パスワード(一方向ハッシュとしてのみ保存、平文は保存しない)
- 表示名
- 登録・アクセス日時、接続IP、ブラウザ情報
OAuth 登録時の追加項目
- Google:メールアドレス、プロフィール画像、表示名
- カカオ・WeChat(予定):各プロバイダが提供する識別子およびプロフィール
自動収集項目
- Cookie(セッション維持・認証トークン)
- アクセスログ(URL・日時・レスポンスコード)、エラーログ
3. 個人情報の処理および保存期間
運営者は、法令に定める保存・利用期間または情報主体から同意を得た期間内において個人情報を処理・保存します。
- 会員情報: 退会まで。登録日または最終ログイン日から1年が経過した会員の識別情報は、毎日1回(韓国標準時 03:00)自動匿名化処理されます。表示名は「退会済み会員」に変更され、自己紹介・プロフィール画像は即時削除されます。
- アクセス・エラーログ: 収集から1年
- 電子商取引の取引記録(フェーズ2): 電子商取引法第6条に基づく — 表示・広告6か月、契約・申込撤回・代金決済・商品提供5年、消費者苦情・紛争処理3年
4. 個人情報の第三者提供
運営者は、本ポリシー第1条に定める目的の範囲内でのみ個人情報を処理し、情報主体の同意がある場合または法令に特別な規定がある場合を除き、第三者に提供しません。
5. 個人情報処理の委託
安定したサービス運営のため、運営者は以下のとおり個人情報処理を委託しています。
| 受託者 | 委託業務 | 国 |
|---|---|---|
| Supabase, Inc. | アカウント認証、データベース、ストレージ | 米国 |
| Vercel, Inc. | Webホスティング、CDN、ビルド | 米国 |
| Google LLC | OAuth 認証(利用者が選択した場合) | 米国 |
上記受託者との委託契約には、個人情報保護法第26条に基づく安全措置義務条項が含まれています。
6. 情報主体および法定代理人の権利・義務とその行使方法
情報主体はいつでも運営者に対して以下の権利を行使できます。
- 個人情報の閲覧請求(個人情報保護法第35条)
- 誤りがある場合の訂正・削除請求(第36条)
- 処理停止請求(第37条)
- 退会(本ポリシー第3条の保存期間が適用)
権利の行使は、会員ダッシュボードの設定メニューから直接行うか、本ポリシー第10条に記載の担当者の連絡先へご連絡ください。
7. 個人情報の廃棄手続きおよび方法
保存期間の経過や処理目的の達成などにより個人情報が不要となった場合、運営者は遅滞なく該当する個人情報を廃棄します。
- 廃棄手続き: 退会または保存期間の到来時に、自動トリガーにより匿名化・削除処理されます。
- 廃棄方法: 電子ファイル形式のデータは復元不可能な方法で完全削除し、バックアップは一定期間保存後に自動廃棄されます。
8. 個人情報の安全性確保措置
運営者は、個人情報保護法第29条および同施行令第30条に基づき、以下の管理的・技術的・物理的措置を実施します。本措置は1人運営体制のSaaSインフラ(Vercel・Supabase)上で実装されます。
8.1 管理的措置
- 本ポリシーを内部管理計画として代替し、四半期に1回、点検・更新します。
- 管理者コンソールへのアクセスは単一の責任者(運営者本人)のアカウントに制限し、運営者個人のメールと公開連絡先メールを分離して運用します。
- 会員・管理者権限はデータベースカラム(role)で分離し、権限変更は監査可能なSQL変更履歴として記録します。
- 主要な運営上の決定および変更は、本ポリシーの変更履歴表に累積記録します。
8.2 技術的措置
- 送信区間の暗号化 — 全ページ・API呼び出しにHTTPS(TLS 1.2以上)を強制し、HTTPリクエストは自動リダイレクトします。
- パスワードの一方向ハッシュ — Supabase Auth が bcrypt でパスワードを保存し、平文はどこにも保管しません。
- 行単位アクセス制御(RLS) — 会員・投稿・コメント・プロフィールの全テーブルに Postgres Row Level Security ポリシーを適用し、自分のデータ以外へのアクセスを遮断します。
- SECURITY DEFINER 関数の境界化 — 権限昇格が必要な操作(閲覧数増加・退会匿名化等)は明示的な PostgreSQL 関数のみで公開し、search_path を固定します。
- PKCE ベースの OAuth — Google ログインは PKCE フローによりトークン窃取リスクを低減し、セッションは HttpOnly Cookie として保存します。
- 最小権限の原則 — 匿名・認証済み・管理者の3ロールに分離し、匿名キーはクライアント側に安全に公開できる範囲にのみ権限を付与します。サービスキーは環境変数に限定します。
- アクセス記録の保管 — 認証・管理者操作ログを1年保管し、不審なアクセスがあった場合は運営者にアラートします。
- 依存関係・セキュリティアップデート — 主要依存関係(Next.js・React・Supabase SDK)を最新の安定版に維持し、セキュリティパッチは無関係な作業より優先して適用します。
8.3 物理的措置
- 運営者は自社データセンター・サーバーを運営していません。すべてのデータは受託者(Supabase・Vercel)の認定施設に保管されます。
- 運営者本人が運営業務に使用する端末は、ディスク暗号化(FileVault/BitLocker)とスクリーンロックが常に有効な状態で使用します。
8.4 インシデント対応手続き
- 運営者または受託者が侵害の事実を認知した場合、直ちに影響範囲を調査します。
- 重大な侵害と確認された場合、情報主体に遅滞なく通知し、個人情報保護法第34条に基づき韓国インターネット振興院および関係機関に報告します。
- 侵害原因の分析と再発防止策を本ポリシーの変更履歴に明記し、影響を受けた会員に同じチャンネルで公開します。
9. 自動収集装置(Cookie)の運用および拒否方法
運営者は会員の認証セッション維持およびサービス利用分析のためにCookieを使用します。
- 必須Cookie: ログインセッション、CSRF 保護 — 拒否するとログイン不可
- 分析Cookie(予定):匿名の利用統計 — ブラウザ設定で拒否可能
Cookieの拒否方法:ブラウザ設定 → プライバシーとセキュリティ → Cookie → すべてのCookieをブロック、またはサイト別にブロック。
10. 個人情報保護責任者
運営者は個人情報処理に関する業務を総括して責任を負い、以下のとおり個人情報保護責任者を指定しています。
責任者 運営者本人(1人運営)
11. 権益侵害に対する救済方法
情報主体は個人情報侵害による救済を受けるため、以下の機関に紛争解決・相談等を申請することができます。
- 個人情報紛争調停委員会 — +82-1833-6972、 www.kopico.go.kr
- 個人情報侵害申告センター — 118、 privacy.kisa.or.kr
- 最高検察庁サイバー捜査課 — 1301、 www.spo.go.kr
- 警察庁サイバー捜査局 — 182、 ecrm.police.go.kr
12. 処理方針変更履歴
| 施行日 | バージョン | 変更概要 |
|---|---|---|
| 2026-05-12 | v1.0 | 初回制定(フェーズ1:会員・投稿・コメント範囲) |
| 2026-05-13 | v1.1 | 第8条の安全性確保措置を管理的・技術的・物理的・インシデント対応の4分類に拡張(施行令第30条基準)。本文変更のみで情報主体の権利範囲に変動なし。 |
| 2026-05-13 | v1.2 | 第3条 — 1年未ログイン会員の自動匿名化処理時刻(KST 03:00)・処理頻度(毎日1回)・匿名化対象項目を明示。PIPA-002自動廃棄メカニズムを明文化。 |