Is Road to Headliner really free?

Yes, 100% free with no ads or pay-to-win mechanics. All players compete on equal footing. We believe the best game is one where skill and strategy determine success, not your wallet.

How long is a season?

Each season lasts 12 real-world weeks. After a season ends, there's a brief offseason period, then you start fresh with a new band while keeping your awards, prestige, and account history.

Can I play on mobile?

Road to Headliner is designed primarily for PC/desktop browsers. The interface works reasonably on tablets, but the complex management screens are best experienced on a larger screen. A dedicated mobile experience may come in the future.

Yes! You share the game world with other players in real-time. Compete on leaderboards, enter festival brackets, collaborate on features, and declare rivalries with other bands.

What is MT (Management Time)?

MT is your action currency — think of it as your manager's energy. It regenerates 1 per hour up to a maximum of 48. Every action like booking shows, rehearsing, or recording costs MT, so planning your time wisely is key to success.

プライバシーポリシー |ヘッドライナーへの道

1. 私たちは誰なのか

Road to Headliner は、欧州連合のスロバキアに拠点を置く独立系開発者によって運営されているオンラインマルチプレイヤーバンド管理ゲームです。当社は、規則 (EU) 2016/679 (一般データ保護規則、「GDPR」) に基づいて、このサービスを通じて処理される個人データのデータ管理者です。当社のゲームサーバーとデータベースは、ドイツのファルケンシュタインにある Hetzner Cloud (EU) によってホストされています。すべてのプライバシーに関するお問い合わせ、データ主体のリクエスト、または苦情については、[email protected] までご連絡ください。

2. 当社が収集するデータ

アカウントデータ: 電子メールアドレス、表示名、ハッシュ化されたパスワード
設定データ: 言語、タイムゾーン
技術データ: IP アドレス、ユーザーエージェント (ブラウザー)、セッション識別子
ゲームデータ: バンド名、ゲームアクション、統計、シーズンスコア
コミュニケーションデータ: ダイレクトメッセージ、フォーラムの投稿 (ユーザー作成コンテンツ)
セキュリティデータ: 認証試行、マルチアカウント検出信号

3. お客様のデータの使用方法

ゲームサービスの提供・運営
セキュリティ、チート対策、詐欺防止
PostHog EU クラウドを介した Cookie を使用しない製品分析 (メモリのみ、Cookie や localStorage なし)。
弊社の自己ホスト型メールサーバーを通じて送信されるトランザクション電子メール (確認コード、パスワードリセット、セキュリティ警告)。

4. 処理の法的根拠 (GDPR)

契約履行（第6条(1)(b)）：アカウント管理、ゲームデータ、通信
正当な利益 (第 6 条(1)(f)): セキュリティ監視、チート対策、分析
同意 (第 6 条(1)(a)): 将来の特定の機能で必要な場合のみ

5. データの保持

当社は、保管制限の原則 (GDPR 第 5 条(1)(e)) に従って、収集された目的に必要な期間のみ個人データを保管します。次の保存期間は、毎日スケジュールされたクリーンアップによって自動的に適用されます。

アクティブなアカウント: アカウントが存在し、アクティブである間保持されるデータ
認証試行: 90 日後に自動的に削除されます
セッション: 最大 30 日間、期限切れのセッションは毎日削除されます
リクエストとセキュリティのログ: 90 日後に自動的に削除されます
管理監査ログ: 規制遵守のために 1 年間保存され、その後削除されます。
通知: 既読通知は 90 日後に削除され、未読の場合は 180 日後に削除されます
セキュリティアラート: 解決済みアラートは 180 日後に削除され、未解決アラートは 365 日後に削除されます。
ゲームシステムログ: 30 日後に削除されます。計算トレースとRNG監査レコード: 90日後に削除
ダイレクトメッセージ: 既読メッセージは 180 日後に削除され、未読メッセージは 365 日後に削除されます
プレイヤーの行動ログ: 30 日後に削除されます
状態スナップショットと週次スナップショット: 365 日後に削除されます
プレーヤーのレポート: 解決または却下されたレポートは 180 日後に削除されます
期限切れまたは使用済みの検証トークンとパスワードリセットトークン: 7 日後に削除されます
削除されたアカウント: アカウントが削除されるとすぐに個人データが匿名化されます。ゲーム記録 (バンドの順位、チャート履歴) は、競技上の完全性を保つために仮名化された形式で保存されます。
バックアップ: 個人データは、削除後最大 30 日間、暗号化されたバックアップに保存される場合があります。バックアップは保存時に暗号化され、アクセスが制御され、保存期間内に自動的に削除されます。これは、Recital 65 GDPR で開示されている許容された制限です。

6. お客様の権利

GDPR (第 15 条から第 22 条) に基づき、お客様はご自身の個人データに関して次の権利を有します。これらの権利を行使するには、「データ主体のリクエスト」という件名で、[email protected] に電子メールを送信し、行使したい権利を明記してください。リクエストを処理する前に、お客様の身元を確認させていただきます。当社は 30 日以内に対応します (GDPR 第 12 条(3))。複雑なリクエストの場合はさらに 60 日延長可能です。その場合、最初の 30 日以内に延長についてお知らせします。

アクセス権 (第 15 条): 当社がお客様に関して保持しているすべての個人データのコピーを要求します。また、[設定] > [データのエクスポート] を使用するか、ログイン中に GET リクエストを /api/v1/auth/data-export に送信することによって、いつでも機械読み取り可能な JSON 形式でデータをダウンロードすることもできます。エクスポートには、アカウントデータ、ゲームデータ、メッセージ、フォーラムの投稿、トランザクション履歴が含まれます。
消去する権利 (第 17 条): アカウントの永久削除とすべての個人データの匿名化を要求します。これは、[設定] > [アカウントの削除] からいつでも自分で行うことができます (パスワードの確認が必要です)。あなたの個人データはすぐに匿名化されます。ゲーム記録 (バンドの順位、チャートへのエントリー) は、競技上の完全性を保つために仮名化された形式で保存されます。注意: 匿名化されたデータは、暗号化されたバックアップに最大 30 日間保持される場合があります。
修正の権利 (第 16 条): 不正確な個人データの修正を要求します。アカウント設定を通じてプロフィール情報を更新できます。 UI を通じて変更できないデータ (電子メールアドレスなど) については、[email protected] にお問い合わせください。
データポータビリティの権利 (第 20 条): 個人データを構造化され、一般的に使用される機械可読形式 (JSON) で受け取ります。前述のデータエクスポート機能を使用するか、電子メールでコピーをリクエストしてください。
異議を唱える権利 (第 21 条): 不正行為防止プロファイリングやセキュリティ監視を含む、当社の正当な利益 (第 6 条 (1)(f)) に基づく処理に異議を唱えます。反対する特定の処理を記載して、[email protected] に電子メールを送信してください。お客様の利益に優先する説得力のある正当な理由を証明しない限り、当社は処理を停止します。
制限の権利 (第 18 条): 当社がお客様のデータの正確性を検証し、お客様の異議を評価し、または当社の正当な理由がお客様の正当な根拠に優先するかどうかを確認する間、処理の一時的な制限を要求します。制限中、当社は関連データを保存しますが、積極的に処理することはありません。制限をリクエストするには、[email protected] に電子メールを送信してください。
同意を撤回する権利 (第 7 条 (3)): 処理がお客様の同意に基づいている場合、いつでも同意を撤回することができます。撤回は、撤回前に実行された処理の合法性には影響しません。現在、すべての処理は同意ではなく、契約履行または正当な利益に基づいています。
苦情を提出する権利 (第 77 条): あなたには、監督当局に苦情を提出する権利があります。当社の業務に関する管轄当局は、Urad na ochranu osobnych udajov Slovenskej republiky (スロバキア共和国個人データ保護局)、Hranicna 12, 820 07 Bratislava, Slovakia (https://dataprotection.gov.sk) です。また、常居所または勤務先の EU 加盟国の監督当局に連絡することもできます。

7. データ共有とサブプロセッサ

当社は、本サービスを運営するために以下の副処理者を使用します。各副処理者はデータ処理契約 (GDPR 第 28 条) に基づいて従事し、その目的に厳密に必要なデータのみを処理します。

Hetzner Cloud (Hetzner Online GmbH、ドイツ): インフラストラクチャホスティングと暗号化されたバックアップストレージ。データカテゴリ: すべてのデータベースコンテンツ (アカウントデータ、ゲームデータ、通信)。場所: ドイツのファルケンシュタインデータセンター -- 国際転送はありません。 DPA: Hetzner 標準 DPA per Art。 28GDPR(https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/)。
Cloudflare (Cloudflare, Inc.、US と EU エッジノード): CDN、DDoS 保護、および Web アプリケーションファイアウォール。データカテゴリ: IP アドレス、HTTP リクエストヘッダー、リクエスト URL。転送メカニズム: EU-US データプライバシーフレームワーク (DPF、第 45 条の十分性決定) および標準契約条項 (SCC、モジュール 2: コントローラーからプロセッサー、第 46 条(2)(c))。 DPA: Cloudflare の顧客 DPA (https://www.cloudflare.com/cloudflare-customer-dpa/)。
トランザクション電子メール配信: 検証電子メール、パスワードのリセット、およびセキュリティ通知は現在、アプリケーションと同じ Hetzner がホストするインフラストラクチャ上の自己ホスト型 SMTP/Postfix サーバーを介して送信されます。電子メールアドレスと表示名は、メッセージ配信のためにのみ処理されます。
PostHog Cloud (EU リージョン): 製品分析とパブリックサイト CTA 分析。データカテゴリ: 仮名ユーザー ID、バンド ID、シーズン ID、ページパス、および明示的なイベントプロパティ。クライアントストレージが無効になっている (`persistence: memory`) ため、ブラウザ内の PostHog によって分析 Cookie や localStorage 識別子は作成されません。 DPA：https://posthog.com/dpa.

当社は、マーケティング、広告、またはプロファイリングを目的として、お客様の個人データを第三者と販売、賃貸、取引、または共有することはありません。データは、上記の目的のためにのみ、上記のサブプロセッサーとのみ共有されます。

8. 国際的なデータ転送

データは主にドイツ (Hetzner Cloud、Falkenstein データセンター) に保存されます。 Cloudflareは、HTTPリクエストデータをEUエッジノードで処理します。 EU以外の処理については、CloudflareはEU-USデータプライバシーフレームワーク（DPF、第45条の十分性決定）に参加し、補足的な保護手段として標準契約条項（SCC、モジュール2、第46条（2）（c））を提供します。製品分析は、Cookie なしのメモリモードで PostHog の EU クラウド領域を通じて処理されます。現在、トランザクション電子メール配信では、Hetzner がホストするインフラストラクチャ上の自己ホスト型 SMTP/Postfix サーバーを使用しているため、運用環境では別の第三国の電子メールプロセッサはアクティブになっていません。転送中のすべてのデータは、TLS 1.2+ によって暗号化されます。 EU の十分性に関する決定または適切な保護措置がない国に個人データが転送されることはありません (GDPR 第 46 条)。

9. セキュリティ対策

転送中の暗号化 (TLS 1.2+)
Argon2id でハッシュ化されたパスワード (業界をリードするアルゴリズム)
CSRF 保護を備えた HttpOnly セッション Cookie
役割ベースのアクセス制御と包括的な監査ログ

10. Cookie とローカルストレージ

当社は、eプライバシー指令 (指令 2002/58/EC 第 5 条(3)) で定義されているように、厳密に必要な機能的な Cookie のみを使用します。これらの Cookie はお客様が要求したサービスを提供するために不可欠であるため、同意は必要ありません。当社は追跡、広告、またはサードパーティ分析 Cookie を使用しません。

access_token (httpOnly、Secure、SameSite=Strict、1 時間): 認証セッション Cookie。ログインセッションを維持するために必ず必要です。
fresh_token (httpOnly、Secure、SameSite=Strict、30 日): セッション更新 Cookie。シームレスな再認証には必ず必要です。
rth-lang (機能的): 言語設定を保存します。機能的 Cookie は e プライバシーアートに基づいて免除されます。選択した言語でサービスを提供するために必要なため、5(3) に準拠してください。
__cf_bm (Cloudflare、サードパーティ、セッション期間): ボット管理クッキー。 DDoS 保護とセキュリティには必ず必要です。
分析: 製品およびパブリックサイトの分析には、メモリ専用モードで PostHog を使用します。この構成では、PostHog はブラウザーに分析 Cookie や localStorage 識別子を設定しません。
ローカルストレージ: 個人用ではない UI 設定 (Cookie 通知の非表示、チュートリアルの進行状況、UI ヒント) をブラウザーのローカルストレージに保存します。これらには個人データは含まれません。

11. 子供のプライバシーと年齢確認

Road to Headliner では、GDPR Art に従って、ユーザーは 16 歳以上である必要があります。 8（情報社会サービスに関する子供の同意に適用される条件）。登録時に、すべてのユーザーは、必須の年齢確認チェックボックスをオンにして、16 歳以上であることを確認する必要があります。この確認は監査可能な証拠として記録されます。当社は、16 歳未満の子供から故意に個人データを収集または処理することはありません。ユーザーが 16 歳未満であることが判明した場合、当社はそのユーザーのアカウントおよび関連するすべての個人データを直ちに削除します。 16 歳未満の人物がアカウントを作成したと思われる場合は、[email protected] までご連絡ください。

12. チート対策と自動プロファイリング

公平なプレイを維持するために、自動化された IP ベースの相関関係を使用して、潜在的なマルチアカウントの使用を検出します。このシステムは、アカウント間で IP アドレスとログインパターンを比較します。検出アラートは、何らかのアクションが実行される前に人間の管理者によって確認されます。自動検出のみに基づいてアカウントが自動的に禁止されたり、罰せられることはありません。この処理は、ゲームの完全性を維持するという当社の正当な利益に基づいています (第 6 条(1)(f) GDPR)。この処理に異議を唱える場合は、[email protected] までご連絡ください。

13. データ侵害の通知

お客様の権利と自由にリスクをもたらす個人データ侵害が発生した場合、当社は侵害を認識してから 72 時間以内に所轄の監督当局に通知します (GDPR 第 33 条)。侵害がお客様に高いリスクをもたらす可能性がある場合、当社は不当な遅滞なく電子メールまたはゲーム内通知を通じてお客様に通知します (GDPR 第 34 条)。

14. データ保護責任者および監督当局

特別なカテゴリのデータの大規模な処理や大規模な体系的な監視を実行しない小規模なデータ管理者として、当社は第 2 条に基づくデータ保護責任者を任命する義務を免除されています。 37(1) GDPR。すべてのプライバシーに関するお問い合わせ、データ主体のリクエスト、苦情については、[email protected] まで直接ご連絡ください。このサービスの管轄監督当局は、Urad na ochranu osobnych udajov Slovenskej republiky (スロバキア共和国個人データ保護局)、Hranicna 12, 820 07 Bratislava, Slovakia、ウェブサイト: https://dataprotection.gov.sk. です。また、お客様には、常居所または場所の EU 加盟国の監督当局に苦情を申し立てる権利もあります。作業の（第 77 条 GDPR）。

15. 本ポリシーの変更

当社は、このプライバシーポリシーを随時更新することがあります。重大な変更はゲーム内通知または電子メールで通知されます。変更後もサービスを継続して使用すると、更新されたポリシーに同意したことになります。

16. 連絡先

プライバシーに関するお問い合わせ、データ主体へのアクセス要求 (SAR)、データ削除要求、修正要求、または苦情については、[email protected] までご連絡ください。より迅速に処理できるよう、件名に「データ主体のリクエスト」と入力してください。当社は、5 営業日以内に受領を確認し、受領後 30 日以内にすべてのデータ主体の要求に実質的に対応することを目指しています (第 12 条(3) GDPR)。リクエストが複雑な場合、または大量のリクエストを受け取った場合、当社は回答期間を最大 60 日延長することができます。その場合は、最初の 30 日以内にお知らせします。

プライバシーポリシー