本文へスキップ

法的情報

プライバシーポリシー

最終更新日:2026年5月5日

最終更新日:  ·  約4分で読めます

01.

概要

FreeBillGenは、MB Libranet(リトアニア・ビリニュス)がfreebillgen.comにおいて運営する無料のホスト型請求書サービスです。MB Libranetは、GDPR第4条第7号に基づくすべての訪問者に対する唯一の個人データ管理者であり、本ポリシーはサービスの全利用に適用されます。

本ポリシーは、EU一般データ保護規則(規則(EU)2016/679、以下「GDPR」)第13条および第14条、ならびにリトアニア共和国個人データの法的保護に関する法律を遵守するために作成されました。収集するデータ、その目的、第三者への共有範囲、保持期間、およびお客様の権利行使方法についてご説明します。

02.

個人データ管理者について

唯一の個人データ管理者はMB Libranet(Lithuania・Vilnius)です。プライバシーに関するお問い合わせは、[email protected]までご連絡ください。法人の詳細情報(登録番号およびVAT番号を含む)は、会社情報ページをご参照ください。

当社は、当社の処理活動がGDPR第37条の要件を満たさないため、データ保護責任者(DPO)を任命しておりません。データ保護担当者には、上記のメールアドレスよりご連絡いただけます。

03.

処理するデータ

お客様がfreebillgen.comにてFreeBillGenをご利用になる際、以下の限定的なカテゴリーの個人データを、記載の法的根拠に基づいて処理します。

  • アカウントデータ. お客様のお名前、メールアドレス、およびbcryptハッシュ化されたパスワード(またはパスキーの公開鍵)。 法的根拠: 契約の履行——GDPR第6条第1項(b)号。
  • お客様が作成した請求書および取引先データ. お客様がご自身で入力したデータのみ:取引先名、住所、VAT番号、明細項目、合計金額、支払いステータス。 法的根拠: 契約の履行——GDPR第6条第1項(b)号。
  • セッションおよびセキュリティクッキー. ログイン状態を維持し、偽造リクエストを防止するための、署名済みセッションクッキーおよびCSRFトークンクッキー。 法的根拠: 厳密に必要なもの——GDPR第6条第1項(f)号、正当な利益。
  • サーバーログ. IPアドレス、ユーザーエージェント、およびリクエストのメタデータ。不正使用防止およびデバッグのため、短期間保持されます。 法的根拠: 正当な利益——GDPR第6条第1項(f)号。
  • VIES監査ログ. EU購入者のVAT番号を確認する際、理事会規則(EU)904/2010第31条に基づく証拠として、リクエスト識別子、照会した国番号と番号、および回答を保存します。 法的根拠: 法的義務——GDPR第6条第1項(c)号。

このデータの一部はお客様のものではなく、請求書の取引先(GDPR第14条)に帰属します。当該データの出所はお客様であり、当社はお客様が請求書に入力した場合にのみ受領します。当社は、お客様との契約の法的根拠、および税務上適合した請求書記録を保持するという事業者としての正当な利益に基づいて処理します。

当社はお客様のデータを一切販売しません。広告主、ブローカー、またはアナリティクスネットワークと共有することはありません。トラッキング、プロファイリング、または行動ターゲティングも一切行いません。

04.

副処理者

FreeBillGenは、意図的に限定された副処理者のみを利用しています。いずれも広告またはアナリティクスネットワークではありません。各副処理者はデータ処理に関する覚書(DPA)により拘束され、その機能に必要な最小限のデータのみを処理します。

SMTP2GO(トランザクションメール)

お客様が請求書をメールで送信する際、またはシステム通知を受信する際、メッセージはSMTP2GOのEUリージョン(mail-eu.smtp2go.com)を経由して送信されます。共有されるデータ:送信者、受信者のアドレス、件名、本文、および添付PDF。SMTP2GO Inc.はニュージーランドに設立されEUインフラを使用しており、データ移転は標準契約条項(SCC)により保護されます。

Cloudflare Turnstile(ボット対策)

/loginおよび/registerフォームには、自動化された不正使用を防ぐためにCloudflare Turnstileチャレンジが表示されます。ウィジェットはchallenges.cloudflare.comから読み込まれ、Cloudflareのsiteverifyエンドポイントと短命トークンを交換します。共有されるデータ:IPアドレス、ユーザーエージェント、および使い捨てチャレンジトークン。Turnstileはトラッキングクッキーを設定せず、広告目的には使用されません。Cloudflare, Inc.は米国を拠点としており、データ移転はEU・米国データプライバシーフレームワークおよび標準契約条項(SCC)により保護されます。

bunny.net(フォントCDN)

本サイトは、BunnyWay d.o.o.(スロベニア、EU)が運営するプライバシーに配慮したフォントCDNfonts.bunny.netから2種類のウェブフォントを読み込んでいます。共有されるデータ:フォントリクエスト中のIPアドレスおよびユーザーエージェント。詳細はプライバシーに関する声明をご参照ください。

欧州委員会VIES(VAT番号確認)

購入者のVAT番号を確認する際、入力された国コードおよびVAT番号が、欧州委員会のVAT情報交換システム(VIES)(ec.europa.eu)に送信されます。受信者はEU機関であり、処理は規則(EU)2018/1725に準拠します。

ホスティングおよびPDFレンダリング(自社内)

アプリケーションはEU域内の専用インフラで稼働しています。請求書PDFはmPDFを使用して自社サーバー上でレンダリングされます。サードパーティのPDF-as-a-serviceまたはホスティング再販業者は関与しておりません。

Googleサービスは使用しておりません。MetaまたはFacebookピクセルも使用しておりません。アナリティクスSDKも使用しておりません。サードパーティのエラーレポートサービスも使用しておりません。

05.

クッキー

FreeBillGenは厳密に必要なクッキーのみを設定します。eプライバシー指令(2002/58/EC)第5条第3項に基づき、厳密に必要なクッキーは同意を必要としないため、クッキーバナーは表示されません。

セッションクッキー

ログイン状態を維持し、セッション中に選択したインターフェース言語を記憶します。ログアウト時またはセッション有効期間の終了時に失効します。

HTTP-only · Secure · SameSite=Lax
CSRFトークンクッキー(XSRF-TOKEN)

状態変更リクエストが本サイトから送信されたことを確認するための、セッションごとの偽造防止トークンを保持します。ログイン中のすべてのアクションにフレームワークが要求します。

Secure · SameSite=Lax

アナリティクスクッキーは使用しておりません。広告クッキーも使用しておりません。FreeBillGenはサードパーティクッキーを設定しません。セクション04で説明したCloudflare Turnstileチャレンジは、challenges.cloudflare.comにスコープされた短命のクッキーを設定する場合がありますが、そのクッキーはボット対策チャレンジに厳密に必要なものであり、トラッキングには使用されません。

06.

データ保持期間

アカウントおよび請求書データは、アカウントが有効な間保持されます。アカウント削除時には、標準的な個人データは30日以内に削除されます。ただし、リトアニアの会計法(請求書記録について10年間の保持期間を定めています)が特定の書類をより長期間保持することを要求する場合は例外であり、その記録はアクセス制限されたアーカイブに移動され、法律上必要な期間のみ保持されます。

サーバーログは、有効なセキュリティ調査のためにより長期間の保持が必要な場合を除き、最大30日間保持されます。VIES監査ログの行は、理事会規則(EU)904/2010の証拠要件を満たすため、少なくとも10年間保持されます。

07.

GDPRに基づくお客様の権利

GDPRに基づき、お客様はアクセス権(第15条)、訂正権(第16条)、消去権(第17条)、処理の制限権(第18条)、データポータビリティ権(第20条)、および異議申立権(第21条)を有します。処理が同意に基づく場合、いつでも同意を撤回することができます(第7条第3項)。

また、GDPR第77条に基づき、監督機関——通常はお客様がお住まいもしくはお勤めの、または申し立てられた違反が発生したEU/EEA国の機関——に苦情を申し立てる権利を有します。事業者はリトアニアに設立されているため、主たる監督機関は国家データ保護監督局(State Data Protection Inspectorate of Lithuania、VDAI)です。

各権利の行使方法(タイムラインおよびリクエストに記載すべき事項を含む)のステップバイステップガイドについては、専用のGDPR権利ページをご参照ください。

08.

自動化された意思決定

FreeBillGenは、GDPR第22条の意味における自動化された意思決定またはプロファイリングを使用しておりません。お客様に法的または同様の重大な影響をもたらす決定が、自動化された手段のみによって行われることはありません。広告、信用、不正行為、その他いかなる目的においても、ユーザーのスコアリング、ランキング、またはプロファイリングは行いません。

09.

データセキュリティ

技術的および組織的措置(GDPR第32条):

  • パスワードはbcryptハッシュとして保存;パスキー(WebAuthn)にも対応。
  • TOTP対応の認証アプリを使用した任意の時間ベース二要素認証(2FA)。
  • すべての状態変更リクエストにCSRFトークンを適用。
  • 全体を通じてパラメータ化クエリを使用——文字列連結によるSQLは一切なし。
  • 転送中はHTTPS/TLSを使用;HTTPストリクトトランスポートセキュリティ(HSTS)を有効化。
  • コンテンツセキュリティポリシー(CSP)およびその他のセキュリティ強化ヘッダー。
  • セキュリティに敏感なアクションに対するアプリケーション層の監査ログ。
  • アクセス制限付きの暗号化データベースバックアップ。
10.

国際的なデータ移転

個人データは原則としてEU域内で処理されます。セクション04で挙げた副処理者のうち2者は、第三国へのデータ移転を伴う場合があります。

  • Cloudflare Turnstile——米国へのデータ移転であり、EU・米国データプライバシーフレームワークおよび欧州委員会の標準契約条項(SCC)により保護されます。
  • SMTP2GO——運営会社はニュージーランドに設立されており(欧州委員会の十分性決定の対象国)、配信にはEUリージョンのインフラを使用しています。移転が発生する場合は、標準契約条項(SCC)により保護されます。

その他の第三国へのデータ移転は行われません。変更が生じた場合は、適切なGDPR第5章の移転メカニズムを適用し、新たな移転が開始される前に本ポリシーを更新します。

11.

子どものプライバシー

FreeBillGenは業務用ツールであり、16歳未満の子どもを対象としておりません。当社は子どもから意図的に個人データを収集することはありません。

12.

本ポリシーの変更

重要な変更を行う場合は、新しい「最終更新日」を付した改訂版をこのページに公開し、有効なアカウントにメールで通知します。現行バージョンはページ上部の日付により識別されます。

13.

お問い合わせ

プライバシーに関するご質問および権利行使のご要望は:[email protected]。郵送先住所および法人の詳細情報は会社情報ページをご参照ください。