プライバシーポリシー
重要なご注意(Sprint 20 暫定版、★法務監修待ち) 本ポリシーは Sprint 20 で実装された MVP リリース前の暫定版 です。 最終版は法務サポーターの監修を経て差し替えられます(Q-S20-LEGAL-3)。
バージョン: v1.0-2026-05-11
発効日: 2026-05-11(暫定)
1. 取得する個人情報の種類
当社は、本サービスの提供にあたり、以下の情報を取得します。
- メールアドレス(認証用)
- 屋号、事業所所在地、業種(プロフィール)
- 取引データ(日付、金額、取引先、摘要、勘定科目等)
- 原本画像(領収書(レシート含む)、請求書、源泉徴収票、控除証明書等)
- AI チャットでの質問内容と会話履歴(過去 90 日分、
chat_messages) - 規約同意履歴(
user_consents) - アクセスログ(IP / UA はハッシュ化して保存、生値は保持しません)
マイナンバーは MVP では取得・保存しません。
2. 利用目的(個人情報保護法 18 条準拠)
- 帳簿の自動生成および青色申告決算書 PDF の生成
- 控除集計および税額試算の参考情報の提示
- AI チャットによる参考情報の提供
- セキュリティ確保および不正利用の検知
- カスタマーサポート
利用目的の範囲を超えた利用(例:広告ターゲティング、第三者への提供、AI モデルの学習データ等)は行いません。
3. 第三者提供制限(個人情報保護法 23 条準拠)
法令に基づく場合(裁判所からの令状、税務当局からの正当な照会等)を除き、ユーザーの個人情報を第三者に提供することはありません。
データ処理委託(Supabase / Vercel / Anthropic / Azure / Cloudflare / Resend)は委託先との秘密保持契約に基づくものであり、第三者提供には該当しません。
4. データ処理委託先
| 委託先 | 用途 | 取扱データ |
|---|---|---|
| Supabase Inc. | DB / 認証 / Storage | 全データ |
| Vercel Inc. | ホスティング | リクエストログ |
| Anthropic, PBC | AI チャット / 構造化抽出(Claude API) | OCR 結果のテキスト、AI チャット入力(コンテキストサマリ、PII 除外済) |
| Microsoft Corporation(Azure) | OCR(Document Intelligence) | アップロード画像 |
| Cloudflare, Inc. | Bot 対策(Turnstile) | IP アドレス(脆弱性報告フォーム送信時) |
| Resend, Inc. | メール送信(脆弱性報告通知等) | 通知メール本文 |
5. 安全管理措置
- 暗号化:通信経路は HTTPS / TLS 1.2 以上、保存時は Supabase の AES-256 暗号化を有効化。
- アクセス制御:全テーブルに Row Level Security (RLS) を適用、デフォルト拒否。
- 監査ログ:全 CRUD 操作を
audit_logsに追記専用で記録、7 年保管(電子帳簿保存法準拠)。 - 物理削除拒否:DB トリガにより主要テーブルの物理削除を拒否、論理削除のみ許可。
- 改ざん検知:アップロード画像は SHA-256 ハッシュを別カラムに保持。
6. 開示・訂正・削除請求への対応
- 開示請求:アプリ内の「データの一括ダウンロード」機能で、本人データを CSV + 画像 ZIP でエクスポートできます(F-41)。
- 訂正請求:アプリ内の各画面から直接修正できます。
- 削除請求:退会フローまたは別途お問い合わせ窓口より受付けます。電子帳簿保存法に基づく 7 年保管期間中は論理削除のみ、期間経過後に物理削除します。
7. Cookie の利用
本アプリは、認証セッション維持のために必須 Cookie のみを使用します。 トラッキング Cookie・広告 Cookie は MVP では使用しません。
将来的に Google Analytics 等のトラッキングツールを導入する場合は、改めて Cookie 同意のオプトインを取得します。
8. AI / LLM へのデータ送信について
- AI チャット(F-37 / F-38)では、Anthropic の Claude API を利用します。
- AI への送信内容は、ユーザーが入力した質問文と、帳簿の集計サマリ(月別合計・科目別合計・控除種別合計)のみです。
- 個別取引の取引先名、摘要、金額生値、屋号、事業所所在地、メールアドレスは AI に送信しません(PII 最小化)。
- Anthropic Zero Data Retention 契約を申請中であり、有効化後は API 通信のログ保持期間を無効化します(Phase 2 で完全対応)。
9. お問い合わせ窓口
セキュリティ脆弱性のご報告は /legal/security のフォームよりご連絡ください。
その他のお問い合わせは別途設置のサポート窓口までご連絡ください。
10. 改訂履歴
| バージョン | 発効日 | 主な変更点 |
|---|---|---|
| v1.0-2026-05-11 | 2026-05-11 | MVP リリース前の暫定版を策定(★法務監修待ち) |
| placeholder-2026-04 | 2026-04-25 | Sprint 02 雛形版(廃止) |