プライバシーポリシー

当方は、本サービスの提供にあたり、以下の情報を取得します。

(1) ユーザーから直接提供される情報

• 氏名、メールアドレス、パスワード（ハッシュ化保存）
• テナント名、組織情報
• 業種、所在地、電話番号等の補足情報（任意）
• 請求書払いの場合: 会社名・ご担当者名・請求書送付先メール・備考
• カード払いの場合: 決済代行 Stripe 経由でカード情報（当方サーバーには保存されません）
• 本サービスにアップロードする FAQ・PDF・URL・テキスト等のコンテンツ
• LINE 公式アカウントの Channel ID / Channel Secret / Channel Access Token（暗号化保存）

(2) 本サービスの利用に伴い自動的に取得する情報

• IP アドレス、ブラウザ・OS 情報、リファラ等のアクセスログ
• 本サービス内での操作履歴・利用状況
• Cookie および類似技術（セッション管理・サインイン状態維持のため）
• 会話履歴（テナントが運用する LINE 公式アカウント・ウェブチャットを通じてエンドユーザーから受信したメッセージおよび AI が生成した回答）

当方は、取得した情報を以下の目的のために利用します。

• 本サービスの提供・運用・保守
• ユーザー認証およびアカウント管理
• 料金の請求・決済処理・領収書の発行
• カスタマーサポートおよびお問い合わせへの対応
• 本サービスの利用状況の分析、品質改善、新機能開発
• 本サービスに関する情報・お知らせの送信
• 不正利用の防止・調査
• 法令に基づく対応

本サービスは、生成 AI（Anthropic Claude、Google Gemini ほか）を利用して、テナントが登録したコンテンツに基づきお客様の質問に自動応答します。これらの API 提供者との契約上、ユーザー入力をモデル学習目的で使用しないことが明示されています。

ただし、AI 提供事業者の技術的な処理（推論・キャッシュ等）の中で、メッセージ内容が AI 提供事業者のシステムを一時的に経由することはあります。

当方は、以下の場合を除き、ユーザーの同意なく個人情報を第三者に提供しません。

• 法令に基づく場合
• 人の生命、身体または財産の保護のために必要がある場合
• 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合
• 国の機関、地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合

本サービスの提供にあたり、以下の事業者にデータ処理を委託または連携しています。各事業者は、業務委託先として個人情報保護法上の安全管理措置を講じています。

本サービスは、5項に記載のとおり、一部の業務を外国（米国およびインド）に所在する事業者・データセンターへ委託しています。とりわけ、本サービスのデータベース（Supabase）はインド（アジア南部リージョン）に保存されます。当該委託・保存に際しては、個人情報保護法第28条に基づき、以下のとおり対応します。

1. 提供先の所在国: 上記表に記載のとおり、米国（一部の委託先）およびインド（本サービスのデータベースの保存地）。
2. 当該国の個人情報保護制度: 米国は連邦レベルでの包括的な個人情報保護法制は存在せず、州法（カリフォルニア州 CCPA / CPRA 等）および分野別法（HIPAA、GLBA 等）の組み合わせにより規律されています。インドでは、2023年に成立したデジタル個人データ保護法（Digital Personal Data Protection Act, 2023）により個人データの取扱いが規律されます（規定は順次施行）。日本の個人情報保護制度との主な相違については 個人情報保護委員会のウェブサイト をご参照ください。
3. 提供先における個人情報保護措置: 各委託先は、SOC 2 Type II、ISO 27001 等の情報セキュリティ認証を取得しているか、これに準じた管理体制を構築しています。当方は、委託契約（DPA: Data Processing Agreement）等によって、委託先における個人情報の適正な取扱いを担保しています。

ユーザーは、本ポリシーへの同意により、上記外国にある第三者への提供についてあらかじめ同意したものとみなします。同意の撤回をご希望の場合は、本サービスの利用停止（解約）が必要となります。

当方は、個人情報の漏えい、滅失またはき損の防止その他の個人情報の安全管理のために、以下の措置を講じます。

• 通信の TLS 暗号化（HTTPS / WSS）
• パスワードのハッシュ化保存（Supabase Auth）
• API キー・アクセストークン・LINE Channel Secret 等の暗号化保存
• テナント間のデータ分離（アプリケーション層でのアクセス制御および PostgreSQL の Row-Level Security）
• アクセス権限の最小化およびログ監視
• 従業員に対する教育および守秘義務

本サービスは、サインイン状態の維持・利便性向上のために Cookie および類似技術を使用します。ユーザーはブラウザの設定により Cookie の受け入れを拒否することが可能ですが、その場合、本サービスの一部機能をご利用いただけない場合があります。

当方は、ユーザーから取得した個人情報を、利用目的に必要な期間保有します。具体的な保有期間は以下のとおりです。

• アカウント・テナント情報: 退会またはテナント削除のリクエストがあった日から 30 日以内に削除
• 会話履歴・コンテンツ: 退会と同時に削除（バックアップからは合理的な期間内に削除）
• 請求書・取引情報: 法人税法・電子帳簿保存法等により取引終了から 7 年間保存
• アクセスログ・操作ログ: 不正利用防止・セキュリティの観点から最大 1 年間保存

ユーザーは、当方が保有する自己の個人情報について、開示・訂正・追加・削除・利用停止・第三者提供の停止を請求することができます。本サービス内のアカウント設定からご自身で行えるもののほか、対応が困難な場合は下記窓口までお問い合わせください。

本人確認のうえ、合理的な期間内に対応します。

本サービスは法人および個人事業主を主な利用対象としており、未成年者の個人利用を想定していません。未成年者が本サービスを利用する場合は、必ず法定代理人の同意を得てください。

当方は、必要に応じて本ポリシーを変更することがあります。変更後のポリシーは、本サービス上に掲載した時点から効力を生じるものとします。重要な変更がある場合は、本サービス内またはメールで通知します。

本ポリシーに関するご質問・ご請求は、以下までご連絡ください。

メール: support@sugubot.jp