WAYBOT
プライバシーポリシー
本プライバシーポリシーは、General Incorporated Association AIWAYが提供するAIチャットボットサービス「WAYBOT」および関連サービスにおける、個人情報および関連データの取得、利用、保存、移転、開示、保護および管理に関する包括的な方針を定めるものです。当法人は、日本の個人情報保護法、EU一般データ保護規則(GDPR)、英国データ保護法(UK GDPR)、カリフォルニア州消費者プライバシー法(CCPA/CPRA)その他適用される関連法令を遵守し、利用者のプライバシー権を最大限尊重します。
1
第1条(総則)
本プライバシーポリシー(以下「本ポリシー」といいます。)は、General Incorporated Association AIWAYが企画・開発・運営するAIチャットボットサービス「WAYBOT」およびこれに付随する関連サービス、ウェブサイト、APIその他一切のサービス(以下総称して「本サービス」といいます。)において、当法人が取得・利用・保存・移転・開示する個人情報および関連データの取扱いに関する包括的な方針を定めるものです。
本ポリシーにおいて「個人情報」とは、日本の個人情報保護法においては生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものを指します。EU一般データ保護規則(GDPR)における「個人データ」とは、識別された自然人または識別可能な自然人(データ主体)に関するあらゆる情報を意味し、カリフォルニア州消費者プライバシー法(CCPA/CPRA)における「個人情報」とは、特定の消費者または世帯を識別し、関連し、記述し、関連付けられ、または直接的もしくは間接的に合理的に関連付けられる可能性のある情報を意味します。
当法人は、以下の法令・規制を遵守し、利用者のプライバシー権を最大限尊重します。本ポリシーは、利用者がオンラインで本サービスを利用する場合だけでなく、オフラインでの接点(例:電話での問い合わせ、イベント参加時の名刺交換)においても適用されます。
- 個人情報の保護に関する法律(APPI)および関連ガイドライン
- EU一般データ保護規則(GDPR:Regulation (EU) 2016/679)
- 英国データ保護法2018年(UK GDPR)
- カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー権法(CPRA)
- その他適用される国内外の個人情報保護関連法令
なお、本ポリシーは日本語を正文とし、他の言語に翻訳された場合は参考として提供されます。日本語版と他の言語版との間に矛盾がある場合は、日本語版が優先されます。
2
第2条(適用範囲)
本ポリシーは、以下のすべての個人に適用されます。
- 本サービスに登録・利用するすべての利用者(法人契約における担当者を含む)、および登録前に問い合わせを行った者、または当法人のウェブサイトを通じて情報を入力した者。
- 本サービスへの登録・利用の有無にかかわらず、当法人が運営するウェブサイト、ランディングページ、SNSアカウントを閲覧・利用した者、または当法人の広告を閲覧・クリックした者。
- 当法人が主催または共催するイベント、セミナー、ウェビナーに参加した者。
- 当法人と業務委託、提携、取引関係にある法人の担当者。
- 過去に本サービスを利用し、現在その利用を停止しているが、当法人がその個人情報を法令または当法人の方針に基づき保持している元利用者も本ポリシーの対象となります。
本ポリシーは、当法人が運営するすべてのデジタルおよびオフラインの接点に適用され、利用するデバイスやプラットフォーム(PC、スマートフォン、タブレット、専用アプリケーション、APIなど)を問いません。ただし、本サービスからリンクされている第三者のウェブサイトやサービスにおける個人情報の取り扱いについては、本ポリシーの適用範囲外となりますので、当該第三者のプライバシーポリシーをご参照ください。
3
第3条(取得する情報のカテゴリ)
当法人は、以下のカテゴリに属する情報を取得する場合があります。
(1) 基本識別情報
氏名(姓・名)、ふりがな、生年月日、性別、国籍、メールアドレス、電話番号(携帯・固定)、郵便番号、住所(都道府県・市区町村・番地・建物名)、パスポート番号、在留カード番号、顔写真、署名
(2) 事業者・アカウント情報
法人名、屋号、部署名、役職、事業者番号、ユーザーID、パスワード(ハッシュ化)、ログイン日時・履歴、二段階認証情報、APIキー、Webhook URL、連携設定、組織内のユーザーロール
(3) 取引・契約情報
契約プラン、契約開始・終了日、利用料金、請求書情報、領収書情報、返金・解約履歴、クーポン・割引適用履歴、自動更新設定、無料トライアル期間履歴、サービス利用開始日
(4) 決済情報
クレジットカード番号(下4桁のみ保持、全番号は決済代行会社が管理)、カード有効期限、請求先住所、決済代行会社が発行するトークン情報、銀行振込情報、コンビニ決済の払込番号、PayPalアカウント情報
(5) 技術・端末情報
IPアドレス、MACアドレス、端末識別子(UUID等)、OS種別・バージョン、ブラウザ種別・バージョン、画面解像度、タイムゾーン、言語設定、Cookieおよびローカルストレージデータ、ネットワークキャリア情報、バッテリー残量(モバイルアプリ利用時)、デバイスモデル
(6) 行動・利用情報
ページ閲覧履歴、クリック・タップ履歴、スクロール深度、滞在時間、検索キーワード、チャットボット利用履歴、送受信メッセージ内容(サービス改善目的)、エラーログ、音声/オーディオ入力データ(該当する場合)、ファイルアップロード履歴、機能利用頻度
(7) マーケティング・広告情報
広告識別子(IDFA/GAID)、参照元URL(リファラー)、UTMパラメータ、キャンペーン反応履歴、メール開封・クリック履歴、プッシュ通知の受信・反応履歴、アフィリエイトトラッキングコード、インフルエンサー紹介コード
(8) 推定・分析データ
利用傾向分析結果、関心カテゴリ推定、チャーンリスクスコア、エンゲージメントスコア、顧客生涯価値(LTV)予測、次回購入確率スコア、パーソナライズされたレコメンデーション
4
第4条(取得方法)
当法人は、以下の方法により情報を取得します。
- 利用者による直接入力:登録フォーム、問い合わせフォーム、チャット入力、アンケート回答、キャンペーン応募など、利用者が意図的に情報を入力する際に取得します。フォームの途中離脱や未完了の入力データも、サービスの改善や問い合わせ対応のために一時的に記録される場合があります。
- 自動取得:Cookieおよびトラッキングピクセル、SDKによるアプリ内行動ログ、サーバーアクセスログを通じて、利用者のサービス利用状況に関するデータを自動的に収集します。メールに埋め込まれたピクセルタグにより、メールの開封状況やリンクのクリック状況を把握することもあります。
- 外部サービス連携:LINEログイン、Googleログイン、その他OAuthによるSNSログイン機能を通じて、利用者の同意に基づき、氏名、メールアドレス、プロフィール写真、友人リスト(利用者が許可した場合)などの情報を外部サービスから取得します。
- 決済システム:Stripe、その他決済代行会社を通じて、利用料金の決済に必要な情報を取得します。決済情報は決済代行会社がPCI-DSSに準拠した安全な環境で処理し、当法人はトークン情報やクレジットカードの下4桁のみを保持します。
- 広告ネットワーク:Meta広告、Google広告、その他DSPからのコンバージョンデータを通じて、広告効果の測定やターゲティング広告の最適化に必要な情報を取得します。
- 業務上の接触:名刺交換、イベント参加登録、電話・メールによる問い合わせ、契約締結など、当法人と利用者の業務上のやり取りから情報を取得します。
また、当法人は、合法的に第三者のデータブローカーや公開情報源(企業情報サイトなど)から情報を取得する場合がありますが、その際は適用される法令を遵守し、利用者のプライバシー保護に最大限配慮します。
5
第5条(利用目的)
取得した情報は、以下の目的のために利用します。
- 本サービスの提供、維持、改善および新機能の開発:例えば、システムの負荷分散、バグ修正、ユーザーエクスペリエンス(UX)調査、新機能の企画・設計などが含まれます。
- 利用者のアカウント作成、本人確認および認証管理:安全なサービス利用を確保するための本人確認手続き、パスワード再設定、多要素認証の設定などが該当します。
- 利用料金の計算、請求書・領収書の発行、決済処理および債権管理:サービスの利用プランに応じた料金算出、決済代行会社への情報連携、未払い料金の督促などが含まれます。
- 不正アクセス、不正利用、なりすまし、スパム行為の検知・防止:デバイスフィンガープリンティング、異常なアクセスパターンの検知、不正利用の速度チェックなどを通じて、サービスと利用者の安全を守ります。
- 利用者からの問い合わせ、クレーム、サポートリクエストへの対応:チャット、メール、電話による問い合わせへの回答、FAQの改善、トラブルシューティングなどが含まれます。
- サービス品質の向上を目的とした利用状況の分析および統計処理:匿名化されたデータの統計分析により、サービスの利用状況を把握し、機能改善や新たな価値提供に繋げます。
- 利用者の属性・行動に基づくターゲティング広告の配信および効果測定:利用者の興味関心に合わせた広告の表示、類似オーディエンス(Lookalike Audience)の作成、広告キャンペーンの成果分析などが含まれます。
- メールマガジン、プッシュ通知、SMSによるサービス情報・キャンペーン情報の提供:新機能のお知らせ、メンテナンス情報、お得なキャンペーン情報などを利用者へ効率的に伝達します。
- 内部監査、コンプライアンス確認およびリスク管理:個人情報保護法やGDPRなどの法令遵守状況の確認、内部統制の有効性評価、情報セキュリティリスクの特定と対策などが含まれます。
- 法令上の義務の履行(税務申告、行政機関への報告等):確定申告に必要な売上情報の管理、監督官庁からの法的な情報開示要請への対応などが該当します。
- 紛争・訴訟における証拠保全および法的対応:利用者との間で紛争が発生した場合の証拠資料の保管、弁護士との連携、裁判所への提出などが含まれます。
- 匿名化・統計化したデータの研究・分析・外部公表:個人が特定できない形で加工されたデータを、業界レポート、ホワイトペーパー、投資家向け報告書などに利用・公表する場合があります。
6
第6条(法的根拠(GDPR適用対象者向け))
EEAおよび英国に所在する利用者の個人データを処理する場合、当法人は以下の法的根拠に基づき処理を行います。
- 契約の履行(GDPR第6条1項(b)):サービス提供、決済処理、アカウント管理、カスタマーサポートなど、利用者との契約を履行するために不可欠な処理です。
- 正当な利益(GDPR第6条1項(f)):不正防止、セキュリティ確保、サービス改善(例:利用状況分析に基づくUI/UX最適化)、限定的なマーケティング分析など、当法人または第三者の正当な利益のために必要とされる処理です。当法人は、正当な利益に基づき処理を行う前に、正当な利益評価(LIA: Legitimate Interests Assessment)を実施し、利用者の権利と自由に対する影響を慎重に考慮しています。このLIAのコピーは、ご要望に応じて提供可能です。
- 法的義務の遵守(GDPR第6条1項(c)):税務・会計・行政報告義務、情報セキュリティ関連の法令遵守など、当法人に課せられた法的義務を果たすために必要な処理です。
- 同意(GDPR第6条1項(a)):マーケティングメール配信、一部の広告Cookie利用、AI学習への任意参加など、利用者の明示的な同意を得て行われる処理です。
同意に基づく処理については、利用者はいつでも同意を撤回することができます。撤回は将来に向かってのみ効力を生じ、撤回前の処理の適法性には影響しません。各処理活動の具体的な法的根拠は、その処理活動の内容によって異なり、当法人は処理活動記録(RoPA: Record of Processing Activities)を維持しています。利用者は、個人情報の取り扱いに関して、居住地の監督機関(例:英国の情報コミッショナーオフィス (ICO)、EU各国のデータ保護機関 (DPA))に苦情を申し立てる権利を有します。
7
第7条(第三者提供)
当法人は、以下の場合を除き、利用者の個人情報を第三者に提供しません。
- 利用者本人の事前の同意がある場合:特定の目的のために個人情報を第三者に提供することについて、利用者から明確な同意を得た場合。
- 法令(個人情報保護法、刑事訴訟法、税法等)に基づく開示請求がある場合:裁判所の命令、捜査機関からの協力要請、税務調査など、法的根拠に基づき開示が義務付けられる場合。
- 人の生命、身体または財産の保護のために緊急かつ必要な場合であって、本人の同意を得ることが困難な場合:例えば、利用者が生命の危機に瀕していると判断される緊急事態など。
- 業務委託先(クラウドサービス事業者、決済代行会社、分析ツール提供会社等)に対し、利用目的の達成に必要な範囲内で提供する場合(委託先との間で秘密保持契約を締結します):日本の個人情報保護法における「第三者提供」と「委託」は区別され、委託は第三者提供には該当しません。当法人は、委託先の選定基準を明確にし、契約によって個人情報の適切な取り扱いを義務付けています。
- 合併、会社分割、事業譲渡その他の事由による事業の承継に伴い、事業承継先に提供する場合:事業の継続性を確保するために個人情報が承継される場合があります。
なお、統計化・匿名化された情報は個人情報に該当しないため、第三者提供の制限は適用されません。また、当法人が利用者の個人情報を国外の第三者に提供する場合、利用者の求めに応じて、当該外国の名称、個人情報保護に関する制度、当該第三者が講ずる個人情報の保護のための措置に関する情報を提供します。当法人では、特定の目的のために複数の企業間で個人情報を共同利用(共同利用)する場合がありますが、その詳細については別途公表します。個人情報の提供を受ける第三者には、当法人が求める同等の保護水準を維持するよう義務付けています。
8
第8条(SNSおよび広告関連事業者)
当法人は、広告配信、効果測定、リターゲティング、SNS連携機能の提供のため、以下の第三者サービスを利用する場合があります。これらの事業者は、それぞれのプライバシーポリシーに基づき情報を独自に管理します。当法人はこれらの事業者による情報取扱いについて責任を負いません。
- Meta Platforms, Inc.(Facebook広告、Instagramログイン、Threadsシェア機能)
共有データ例:ハッシュ化されたメールアドレス、Cookie ID、ピクセルイベントデータ(ページビュー、購入など)。
オプトアウト:Facebookの広告設定(https://www.facebook.com/ads/preferences)または端末の設定から。プライバシーポリシー:https://www.facebook.com/privacy/policy
- Google LLC(Google広告、Googleアナリティクス、YouTubeプレーヤー埋め込み)
共有データ例:IPアドレス、Cookie ID、ウェブサイトの閲覧履歴、検索クエリ、コンバージョンイベント。
オプトアウト:Googleの広告設定(https://adssettings.google.com/authenticated)またはGoogleアナリティクス オプトアウト アドオン。
プライバシーポリシー:https://policies.google.com/privacy
- LY Corporation(LINEヤフー株式会社)(LINEログイン、LINE公式アカウント連携)
共有データ例:LINEプロフィール情報(表示名、プロフィール画像)、メールアドレス(利用者が許可した場合)、LINE ID。
オプトアウト:LINEアプリ内の設定または連携解除。
プライバシーポリシー:https://www.lycorp.co.jp/ja/company/privacypolicy/
- X Corp.(旧Twitter)(Xシェアボタン、X広告)
共有データ例:Cookie ID、ハッシュ化されたメールアドレス、ウェブサイト訪問データ。
オプトアウト:Xのプライバシー設定(https://twitter.com/settings/privacy_and_safety)またはパーソナライズ広告の無効化。
プライバシーポリシー:https://twitter.com/en/privacy
- TikTok Pte. Ltd.(TikTok広告、TikTokピクセル)
共有データ例:端末ID、IPアドレス、アプリ利用状況、TikTokピクセルイベント(ウェブサイト閲覧、動画視聴など)。
オプトアウト:TikTokアプリ内の広告設定または端末の広告識別子のリセット。
プライバシーポリシー:https://www.tiktok.com/legal/privacy-policy
- LinkedIn Corporation(LinkedIn広告、LinkedInインサイトタグ)
共有データ例:Cookie ID、ハッシュ化されたメールアドレス、企業情報。
オプトアウト:LinkedInの広告設定(https://www.linkedin.com/psettings/privacy/data-management/advertising-data)。
プライバシーポリシー:https://www.linkedin.com/legal/privacy-policy
- Pinterest, Inc.(Pinterestタグ)
共有データ例:Cookie ID、ウェブサイトの閲覧行動、興味関心データ。
オプトアウト:Pinterestの設定(https://www.pinterest.jp/settings/privacy)またはブラウザ設定。
プライバシーポリシー:https://policy.pinterest.com/en/privacy-policy
- Snap Inc.(Snapchat広告)
共有データ例:端末ID、Snapchatアプリ内行動、広告インタラクション。
オプトアウト:Snapchatアプリ内の広告設定または端末の広告識別子のリセット。
プライバシーポリシー:https://values.snap.com/privacy/privacy-policy
このリストは、当法人が利用する可能性のある主要な第三者サービスであり、予告なく変更または追加される場合があります。利用者は、最新の情報を本ポリシーで常に確認することをお勧めします。
9
第9条(Cookieおよびトラッキング技術)
当法人は、以下の種類のCookieおよびその他のトラッキング技術を使用します。
- 必須Cookie:ログイン状態の維持、セッション管理、CSRF(クロスサイトリクエストフォージェリ)対策、カート機能の保持など、本サービスの基本的な機能提供に不可欠なCookieです。これらを無効にすると、サービスの正常な動作に支障をきたす場合があります。
- 機能Cookie:言語設定、表示設定、フォーム入力内容の一時保存、ユーザーごとのパーソナライズされた体験提供など、利用者の利便性向上を目的としたCookieです。
- 分析Cookie:Google Analytics、Amplitude、Mixpanelなどのツールを用いて、ページビュー計測、ユーザー行動分析、A/Bテストを実施し、サービス改善のためのインサイトを得るためのCookieです。
- 広告Cookie:Meta Pixel、Google広告タグ、LinkedIn Insight Tagなどを用いて、コンバージョン計測、リターゲティング広告配信、広告キャンペーンの効果測定を行うためのCookieです。
Cookieの種類とライフサイクル:
当法人が使用するCookieには、ファーストパーティCookie(当法人によって設定されるCookie)とサードパーティCookie(当法人以外のドメインによって設定されるCookie、主に広告事業者や分析事業者によるもの)があります。Cookieの有効期間は、セッションCookie(ブラウザを閉じると削除される)とパーシステントCookie(特定の期間、端末に保存される)に分けられます。一般的に、分析・広告Cookieの有効期間は数ヶ月から2年程度です。
当法人が使用するCookieには、ファーストパーティCookie(当法人によって設定されるCookie)とサードパーティCookie(当法人以外のドメインによって設定されるCookie、主に広告事業者や分析事業者によるもの)があります。Cookieの有効期間は、セッションCookie(ブラウザを閉じると削除される)とパーシステントCookie(特定の期間、端末に保存される)に分けられます。一般的に、分析・広告Cookieの有効期間は数ヶ月から2年程度です。
その他のトラッキング技術:
当法人は、Cookieの他に、Webビーコン(透明なグラフィック画像)、ピクセルタグ(Webページやメールに埋め込まれる小さなコード)、ローカルストレージ(ブラウザにデータを保存する技術)、フィンガープリンティング(ブラウザやデバイスの設定からユーザーを識別する技術)などの技術も利用して、ウェブサイトの利用状況や広告効果を測定する場合があります。
当法人は、Cookieの他に、Webビーコン(透明なグラフィック画像)、ピクセルタグ(Webページやメールに埋め込まれる小さなコード)、ローカルストレージ(ブラウザにデータを保存する技術)、フィンガープリンティング(ブラウザやデバイスの設定からユーザーを識別する技術)などの技術も利用して、ウェブサイトの利用状況や広告効果を測定する場合があります。
利用者は、ブラウザの設定からCookieを無効化または削除することができます。ただし、必須Cookieを無効化した場合、ログイン機能等の一部サービスが正常に動作しない場合があります。また、当法人のウェブサイトへの初回アクセス時に表示されるCookie同意バナーにより、分析Cookie・広告Cookieの利用に対する同意・拒否を選択することができます。この同意バナーでは、利用者の同意選択とタイムスタンプが記録され、同意管理の透明性を確保しています。当法人は、Google Consent Mode v2のガイドラインに準拠し、GoogleサービスにおけるCookieの利用を管理しています。
10
第10条(国外移転)
当法人は、本サービスの提供にあたり、利用者の個人情報を日本国外のサーバーまたは事業者に移転する場合があります。国外移転を行う場合、当法人は以下の措置を講じます。
- EU標準契約条項(SCC:Standard Contractual Clauses)の締結:欧州委員会が承認したSCCを締結し、十分なデータ保護水準が確保された事業者との間で個人データを移転します。SCCは、データ移転先がEU域内と同等の保護義務を負うことを保証する契約上のメカニズムです。
- 欧州委員会による十分性認定を受けた国への移転:日本は欧州委員会により十分性認定を受けており、日本へのデータ移転はGDPR上、十分な保護水準があると認められています。
- 移転先事業者との間での適切なデータ処理契約(DPA)の締結:データ処理者であるクラウドサービス事業者などと、GDPR第28条に準拠したDPAを締結し、個人データの処理方法に関する詳細な取り決めを行います。
- 転送データの暗号化(TLS 1.2以上):通信経路上のデータは、業界標準の暗号化技術を用いて保護されます。
- アクセス制御および最小権限の原則の適用:移転先におけるデータへのアクセスは、業務上必要最小限の担当者に限定され、厳格に管理されます。
主な移転先国:米国、シンガポール、アイルランドなど(Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Stripeなどの主要なクラウドサービスプロバイダーのデータセンター所在地を含む)。利用者は、自身のデータ移転に関して具体的な安全対策に関する情報の開示を請求することができます。なお、欧州委員会による十分性認定が将来的に撤回された場合、当法人は新たな適切な保護措置を迅速に講じます。
11
第11条(保存期間)
当法人は、以下の基準に従い個人情報を保存します。各保存期間は、関連する法令、契約上の義務、または当法人の正当な事業上の必要性に基づいています。
- 契約関連情報(契約書、請求書、領収書等):契約終了後5年間(日本の商法および税法上の保存義務に基づく)保存します。これにより、法的紛争解決や会計監査に対応可能です。
- 会計・税務関連情報:法定保存期間(最長10年)保存します。法人税法、消費税法など、複数の税法上の義務を遵守するためです。
- アクセスログ・操作ログ:最大24か月保存します。これにより、セキュリティインシデントの調査、不正利用の検知、サービス改善のための分析を行います。
- マーケティング情報・広告識別子:同意撤回時または最終接触から3年のいずれか早い時点まで保存します。利用者の同意に基づき、または当法人の正当な利益として、パーソナライズされたマーケティング活動のために利用します。
- 問い合わせ・サポート対応記録:対応完了後3年間保存します。これにより、過去の問い合わせ内容を把握し、より迅速かつ適切なサポートを提供するとともに、サービス改善の参考にします。
- 不正利用関連記録:事案解決後5年間保存します。将来の不正行為を防止し、法的措置が必要な場合に備えるためです。
保存期間経過後は、安全な方法により削除または復元不可能な形で匿名化します。万が一、進行中の訴訟や規制当局による調査の対象となった場合は、その期間が終了するまでデータを保持する場合があります。技術的に可能な場合、データ削除前に利用者へ通知を行うことがあります。システムバックアップデータについては、プライマリシステムから削除された後も最長90日間保持される場合があります。また、個人データから派生した匿名化済みデータは、サービスの分析や改善のために無期限に保持されることがあります。
12
第12条(データ主体の権利)
EEA・英国居住者(GDPR/UK GDPR適用)およびカリフォルニア州居住者(CCPA/CPRA適用)は、以下の権利を有します。日本の個人情報保護法が適用される利用者も、同法に基づき開示、訂正、利用停止等の権利を有します。
- アクセス権:保有する個人データの開示請求(GDPR第15条、CCPA/CPRA)。当法人が保持する自身の個人データについて、その内容、利用目的、提供先などに関する情報の提供を求めることができます。ただし、他の個人のプライバシーを侵害する情報や、事業上の秘密に属する情報など、特定の例外が適用される場合があります。
- 訂正権:不正確なデータの訂正請求(GDPR第16条、CCPA/CPRA)。自身の個人データが不正確または不完全であると認識した場合、その訂正または補完を求めることができます。
- 削除権(忘れられる権利):一定の条件下でのデータ削除請求(GDPR第17条、CCPA/CPRA)。例えば、個人データが当初の取得目的のために必要なくなった場合や、同意を撤回した場合など。ただし、法的義務の遵守や公共の利益のために保持が義務付けられている場合など、削除が認められない例外もあります。
- 処理制限権:特定の処理の停止請求(GDPR第18条)。個人データの正確性について異議を唱える場合や、処理が違法であると感じる場合など。
- データポータビリティ権:機械可読形式でのデータ提供請求(GDPR第20条)。利用者が提供した個人データについて、構造化され、一般的に利用され、機械で読み取り可能な形式で受け取る、または別の管理者に転送する権利です。
- 異議申立権:正当な利益または公共の利益に基づく処理への異議(GDPR第21条)。特に、ダイレクトマーケティングを目的とした処理に対しては、いつでも異議を申し立てることができます。
- 自動意思決定・プロファイリングに関する権利:人間の関与を求める権利(GDPR第22条)。法的効果を生じさせる、または同様に重大な影響を与える自動的な意思決定について、人間の介入を受け、意見を表明し、決定に異議を唱える権利です。
- 同意撤回権:同意に基づく処理の撤回(GDPR第7条(3))。同意をいつでも自由に撤回でき、撤回前の処理の適法性には影響しません。
権利行使のご請求は、第20条記載のお問い合わせ窓口までご連絡ください。ご請求の際は、氏名、アカウントに登録されたメールアドレス、請求内容の具体的な説明、および本人確認のための公的身分証明書(例:運転免許証、パスポート)のコピーをご提出いただく場合があります。当法人は、原則として請求受領後30日以内に対応し、本人確認が完了次第、手続きを進めます。請求が拒否された場合、書面にてその理由を通知し、利用者は関係する監督機関に不服を申し立てる権利を有します。
13
第13条(Do Not Sell / 個人情報の販売禁止)
当法人は、利用者の個人情報を金銭その他の対価と引き換えに第三者へ販売することは一切行いません。CCPA/CPRAの定義における「個人情報の販売(Sale)」とは、金銭またはその他の対価と引き換えに、企業が消費者の個人情報を第三者に売却、開示、またはその他の方法で利用可能にすることを指します。また、CPRAでは「個人情報の共有(Sharing)」という概念が導入され、これはクロスコンテキスト行動広告(異なる企業、ブランド、コンテキスト、サービスのウェブサイト、アプリケーション、サービスにおいて消費者の行動をターゲティングする広告)の目的で個人情報を開示または利用可能にすることを意味し、利用者はこれらに対してもオプトアウトする権利を有します。
オプトアウトをご希望の場合は、第20条記載の窓口までご連絡ください。当法人は、Global Privacy Control (GPC) などのオプトアウト設定信号を尊重し、利用者のプライバシー設定を自動的に適用します。CPRAの対象となる「センシティブ個人情報(SPI)」については、利用者の明示的な同意がない限り、ターゲティング広告のために利用することはありません。当法人は、利用者の選択を尊重し、プライバシー保護に努めます。
14
第14条(AI利用および倫理方針)
当法人は、本サービスにおいてAI技術(大規模言語モデル等)を活用しています。AI利用にあたり、以下の原則を遵守します。
- 人間の監督:AIによる重要な判断(例えば、ユーザーへの重要な情報提供やアクションの推奨)には必ず人間のレビューを介在させ、その精度と適切性を確保します。
- 差別の排除:性別、年齢、国籍、宗教等の属性に基づく不当な差別的処理を行いません。AIモデルのトレーニングデータにおいてもバイアスがないか定期的に評価します。
- 透明性の確保:利用者がAIと対話していることを明確に表示し、AIが生成したコンテンツであることを明示します。
- データ最小化:AI学習に使用するデータは、モデルの性能向上および目的達成に必要な最小限に限定します。不要な個人情報は学習プロセスから除外します。
- 安全性の確保:AIの出力が有害・不正確な情報とならないよう、継続的にモニタリングし、不適切なコンテンツの生成を防止するための対策を講じます。
- 説明可能性:AIによる判断の根拠について、可能な範囲で説明できる体制を整備します。例えば、特定の応答が生成された理由をユーザーに提示できるように努めます。
なお、当法人ではOpenAI API、Anthropic Claude、Google Vertex AIなどのAIモデルやプロバイダーを利用する場合があります。利用者のチャット内容は、当法人のサービス改善目的でAI学習に使用する場合がありますが、データ送信時には匿名化・仮名化処理を行うことがあります。これらのAIプロバイダーに送信されるデータは、各プロバイダーとのデータ処理契約(DPA)の条件に従って処理されます。当法人は、AIを自動的な採用活動、信用スコアリング、または人間によるレビューなしに重大な結果をもたらす他の高リスクな意思決定に使用することはありません。AI学習への利用を希望しない場合は、第20条記載の窓口までお申し出いただくことで、個別のデータがAI学習に使用されることを除外するよう対応いたします。当法人は、EU AI Actの今後の施行にもコミットし、その遵守に努めます。
15
第15条(セキュリティ体制および国際基準準拠)
当法人は、個人情報の漏えい、滅失、改ざん、不正アクセスを防止するため、以下の技術的・組織的安全管理措置を講じます。
【技術的措置】
- 通信の暗号化:TLS 1.2以上によるHTTPS通信を強制し、通信経路上での盗聴や改ざんを防止します。
- 保存データの暗号化:データベース、ファイルストレージ、バックアップを含むすべての保存データは、AES-256などの強力な暗号化アルゴリズムを用いて暗号化されます。暗号鍵は厳格なポリシーに基づき管理され、定期的にローテーションされます。
- アクセス制御:最小権限の原則に基づき、ロールベースアクセス制御(RBAC)を導入し、業務上必要最小限の担当者のみが個人情報にアクセスできる仕組みを構築しています。
- 多要素認証(MFA):管理者アカウントおよび機密情報にアクセスするすべての従業員に対してMFAを強制適用し、不正ログインのリスクを低減します。
- 脆弱性スキャン:定期的な自動脆弱性スキャンおよび専門業者によるペネトレーションテスト(侵入テスト)を実施し、システムの脆弱性を早期に発見・対処します。
- WAF(Webアプリケーションファイアウォール)の導入:外部からの不正なWeb攻撃(SQLインジェクション、XSSなど)を検知・防御します。
- 侵入検知・防御システム(IDS/IPS)およびDDoS防御:不正なアクセスやDDoS攻撃からサービスを保護します。
- SIEM (Security Information and Event Management) システム:ログデータをリアルタイムで収集・分析し、セキュリティ上の脅威を早期に検知します。
- ゼロトラストアーキテクチャの原則:ネットワーク内外を問わず、すべてのアクセスを信頼しないことを前提としたセキュリティモデルを導入しています。
【組織的措置】
- ISO/IEC 27001の管理原則を参考とした情報セキュリティ管理体制の整備:国際的な情報セキュリティマネジメントシステムのベストプラクティスに基づき、ポリシー、手順、組織体制を確立しています。
- SOC2の信頼サービス基準(セキュリティ・可用性・機密性)を参考とした内部統制の運用:定期的な内部統制評価を通じて、サービスの信頼性を確保します。
- 従業者に対する定期的なセキュリティ教育・訓練の実施:個人情報保護、情報セキュリティポリシー、フィッシング詐欺対策などに関する教育を全従業員に対し義務付けています。データアクセス権限を持つ従業員に対しては、採用時および定期的に身元調査を実施しています。
- 個人情報取扱いに関する社内規程の整備および定期的な見直し:データ取り扱い、アクセス管理、インシデント対応などに関する明確な社内規程を定め、常に最新の状態に保ちます。クリーンデスクポリシーも徹底しています。
- インシデント発生時の対応手順(IRP)の策定および訓練:情報セキュリティインシデント発生時(データ漏えいなど)の初動対応から復旧までの詳細な手順を定め、インシデント対応チーム(CSIRT)が定期的な訓練を実施しています。平均検出時間(MTTD)および平均応答時間(MTTR)の目標を設定し、継続的な改善を図ります。
万が一、データ侵害が発生した場合は、GDPRの要件に基づき、影響を受ける利用者に対して72時間以内に通知を行います。
16
第16条(バグバウンティおよび脆弱性報告)
当法人は、本サービスのセキュリティ向上のため、善意のセキュリティ研究者(ホワイトハットハッカー)からの脆弱性報告を歓迎します。利用者の皆様に安全なサービスを提供するため、積極的な協力をお願いいたします。
【報告方法】
脆弱性を発見した場合は、第20条記載のメールアドレスに「脆弱性報告」の件名で、詳細な再現手順、影響範囲、推奨される対策を含めてご連絡ください。可能であれば、スクリーンショットや動画を添付してください。
【対応方針】
- 報告受領後、5営業日以内に受領確認の返信を行います。
- 報告内容を精査し、脆弱性の深刻度(例:CVSSスコアリングに基づきCritical, High, Medium, Lowに分類)に応じて、合理的な期間(原則としてCritical: 24時間以内、High: 7日以内、Medium: 30日以内、Low: 90日以内)に是正措置を講じます。
- 報告者の同意なく、報告者の個人情報を第三者に開示しません。
- 悪意のない善意の報告者に対して法的措置を取ることはありません。これは、報告者が当法人の「安全港(Safe Harbor)」ポリシーに則って行動している限りにおいて適用されます。
- 当法人の裁量により、特に深刻な脆弱性の報告者に対して金銭的な報酬を提供する場合があります。
- ご希望に応じて、当法人のセキュリティ貢献者リスト(Hall of Fame)にて、報告者の氏名またはハンドル名を公開で謝意を表する場合があります。
【対象外】
- ソーシャルエンジニアリング攻撃、フィッシング攻撃:これらの活動は、脆弱性報告プログラムの対象外です。
- サービス妨害(DoS/DDoS)攻撃:サービスの可用性を低下させる行為は禁止されています。
- 当法人が管理しない第三者サービス(例:連携しているSNSプラットフォーム)の脆弱性:これらは当該サービスの運営元に直接ご報告ください。
- 情報公開されてから一定期間経過した脆弱性(N-day脆弱性)。
17
第17条(監査および透明性報告)
当法人は、個人情報の適正な取扱いを確保するため、以下の監査・透明性確保措置を実施します。
- 内部監査:年1回以上、個人情報取扱い状況に関する内部監査を実施します。監査範囲には、アクセスログの確認、データ保持ポリシーの遵守状況、ベンダー評価、社内ポリシーへの準拠などが含まれます。監査結果は経営陣および取締役会に報告されます。
- 外部評価:必要に応じ、独立した第三者機関による情報セキュリティ監査やプライバシー影響評価(PIA)などの外部評価を受け、客観的な視点からセキュリティ体制の強化を図ります。
- 透明性レポート:法執行機関からの情報開示要請件数、実際に開示した件数、データ侵害インシデントの概要、Cookie利用状況、そしてデータ主体の権利行使に関する統計(受け付けたリクエスト数と対応済み件数など)について、年1回を目安に透明性レポートを公表することを目指します。
- 個人情報保護委員会への報告:個人情報保護法に基づく重大な漏えい等が発生した場合、個人情報保護委員会および本人への通知・報告を法令に従い実施します。
当法人では、必要に応じてデータ保護責任者(DPO)を任命し、その連絡先を公表する場合があります。DPOは、個人情報保護に関する専門知識を有し、本ポリシーの遵守状況を監視し、利用者の権利保護を支援します。
18
第18条(セキュリティホワイトペーパー)
当法人は、利用者および取引先に対してセキュリティ体制の透明性を確保するため、以下の内容を含むセキュリティホワイトペーパーを作成・公開することを予定しています。
- インフラストラクチャの概要(クラウド基盤、データセンター所在地、ネットワーク構成図等):利用している主要なクラウドサービス(AWS, GCPなど)の構成と、データがどのように物理的に配置されているかを説明します。
- 暗号化方式および鍵管理方針:保存中および転送中のデータに使用される具体的な暗号化アルゴリズム(例:AES-256, TLS 1.2+)と、暗号鍵の生成、保管、アクセス、ローテーションに関するポリシーを詳述します。
- アクセス制御およびID管理の仕組み:従業員やシステムがデータにアクセスする際の認証・認可プロセス、IDプロビジョニング、多要素認証(MFA)の導入状況などを説明します。
- バックアップおよび災害復旧(DR)計画:データのバックアップ頻度、保存場所、保持期間、および大規模な障害発生時の復旧手順と目標復旧時間(RTO)、目標復旧地点(RPO)について説明します。
- インシデント対応プロセス:セキュリティインシデント発生時の検出、分析、封じ込め、根絶、復旧、事後評価に関する詳細な手順を記載します。
- 第三者セキュリティ評価の結果概要:外部の専門機関によるセキュリティ監査や脆弱性診断の結果概要、およびそれに基づく改善活動の状況を説明します。
このホワイトペーパーは、エンタープライズ顧客、セキュリティチーム、コンプライアンス担当者など、より詳細な技術情報に関心のある方を対象としています。ホワイトペーパーの公開時期および入手方法については、当法人ウェブサイトにてお知らせします。エンタープライズ顧客向けには、NDA(秘密保持契約)締結の上で提供することも可能です。ホワイトペーパーは少なくとも年に一度、または重要なインフラ変更があった場合に更新されます。また、利用者と当法人の間でセキュリティ責任がどのように分担されるかを明確にする「責任共有モデル」についても説明します。
19
第19条(未成年者)
本サービスは、原則として18歳以上の方を対象としています。18歳未満の方が本サービスを利用する場合は、保護者(親権者または後見人)の同意が必要です。当法人は、13歳未満の児童から意図せず個人情報を収集することはありません(米国COPPA規制に準拠)。年齢確認メカニズムを導入し、未成年者の利用を制限または保護者の同意を確実に取得する措置を講じる場合があります。
当法人は、18歳未満の方から意図せず個人情報を取得したことが判明した場合、速やかに当該情報を削除します。保護者の方が、お子様の個人情報が当法人に提供されていることを発見した場合は、第20条記載の窓口までご連絡ください。保護者または法定代理人は、ご自身の未成年のお子様の個人情報について、削除、訂正、開示などを請求する権利を有します。また、当法人は、いかなる状況においても未成年者のデータをターゲティング広告のために使用することはありません。日本の未成年者の個人情報保護に関するガイドラインも遵守しています。
20
第20条(お問い合わせおよび法人情報)
個人情報の取扱いに関するご質問、権利行使のご請求、苦情・ご意見は、以下の窓口までご連絡ください。ご請求の際は、以下の情報を含めてください。
- 氏名およびアカウントに登録されたメールアドレス
- ご希望の権利行使(例:開示請求、削除請求)または質問の具体的な内容
- 本人確認のため、政府発行の身分証明書(運転免許証、パスポートなど)のコピー
法人名:General Incorporated Association AIWAY
所在地:〒231-0062 神奈川県横浜市中区桜木町1丁目101番地1 クロスゲート
メールアドレス:info@aiway.or.jp
対応時間:平日 12:00〜19:00(日本時間)
対応言語:日本語・英語
当法人は、ご請求受領後、原則として3営業日以内に受領確認の連絡を行い、30日以内に回答します。本人確認に必要な書類が不足している場合、追加書類のご提出をお願いする場合があります。十分な本人確認が行えない場合、請求を拒否させていただくことがあります。また、ご提供いただいた個人情報の取扱いに関する当法人の対応にご満足いただけない場合、利用者は関連する監督機関(例:個人情報保護委員会)に苦情を申し立てる権利を有します。
21
第21条(改定)
当法人は、法令の改正、サービス内容の変更、その他必要に応じて本ポリシーを随時改定することがあります。本ポリシーの改定履歴は維持され、ご要望に応じて提供可能です。
- 軽微な変更:本ポリシーの末尾に記載する「最終更新日」を更新し、ウェブサイト上に掲載します。これらの変更は、利用者の権利に重大な影響を与えない範囲で行われます。
- 重要な変更:メールまたはサービス内通知により、変更内容および施行日を事前に利用者にお知らせします。当法人のマーケティングコミュニケーションにオプトインしている利用者には、メールでの通知が優先されます。
- 同意の取得:変更内容が利用者の権利に重大な影響を与える場合(例:データの利用目的の拡大、新たな個人情報カテゴリの収集)は、改めて同意を取得します。
改定後のポリシーは、ウェブサイトへの掲載をもって効力を生じます。利用者が変更後のポリシーの発効日以降も本サービスを継続して利用した場合、変更内容に同意したものとみなされます。もし、変更内容に同意できない場合は、本サービスの利用を中止し、第20条の窓口を通じて個人情報の削除を請求することができます。当法人は、アーカイブされた過去のポリシーバージョンを最低5年間保持します。
22
第22条(プライバシー・バイ・デザインおよびデフォルト設定によるプライバシー保護)
当法人は、個人情報保護をサービスの設計段階から組み込む「プライバシー・バイ・デザイン(Privacy by Design)」の原則を採用しています。これは、個人情報保護を後付けの対策としてではなく、システムやサービスのアーキテクチャ、ビジネスプロセス、製品設計の中核に位置付けるアプローチです。
具体的には以下の7原則を実践します。
- 事後対応ではなく事前対応:プライバシーリスクを事前に予測し、問題が発生する前に対処します。
- デフォルト設定によるプライバシー保護:利用者が何も設定しなくても、最もプライバシーに配慮した設定が自動的に適用されます。例えば、マーケティングメールの受信はデフォルトでオフに設定されています。
- 設計へのプライバシーの組み込み:プライバシー保護機能はシステムの付加機能ではなく、コアコンポーネントとして設計されます。
- 完全な機能性:プライバシーとセキュリティ、またはプライバシーと利便性はトレードオフではなく、両立を目指します。
- エンドツーエンドのセキュリティ:データのライフサイクル全体(収集から削除まで)にわたって保護を維持します。
- 可視性と透明性:利用者に対して、データの取り扱いに関する明確な情報を提供します。
- 利用者中心の設計:利用者のプライバシーを最優先に考え、利用者が自身のデータを管理できる仕組みを提供します。
新機能の開発やシステム変更の際には、プライバシー影響評価(PIA: Privacy Impact Assessment)を実施し、プライバシーリスクを事前に特定・軽減します。
23
第23条(データポータビリティおよびアカウント削除)
当法人は、利用者が自身のデータを完全にコントロールできる権利を尊重します。
【データのエクスポート(ポータビリティ)】
利用者は、当法人が保有する自身のデータを、機械可読形式(JSON、CSV等)でエクスポートすることを請求できます。エクスポート可能なデータには、アカウント情報、チャット履歴、設定情報、取引履歴などが含まれます。エクスポートリクエストは、第20条記載の窓口を通じて受け付け、原則として30日以内に対応します。
【アカウントの削除】
利用者は、いつでも本サービスのアカウントを削除することができます。アカウント削除の手順は以下の通りです。
- サービス内の設定画面からアカウント削除を申請する、または第20条記載の窓口に削除リクエストを送付する。
- 本人確認完了後、当法人はアカウントおよび関連する個人情報の削除処理を開始します。
- 削除処理は原則として30日以内に完了します。ただし、法令上の保存義務がある情報(例:会計・税務関連情報)については、法定保存期間が経過するまで保持されます。
- システムバックアップからの完全な削除には、最長90日かかる場合があります。
アカウント削除後は、本サービスへのアクセスが不可能となり、削除されたデータは原則として復元できません。削除前に必要なデータのエクスポートを行うことを強くお勧めします。
24
第24条(苦情処理および紛争解決)
当法人は、利用者からの個人情報に関する苦情を真摯に受け止め、迅速かつ公正に対応します。
【苦情の申し立て手順】
- まず、第20条記載のお問い合わせ窓口に苦情の内容を書面(メール可)でご連絡ください。
- 当法人は、受領後3営業日以内に受領確認を行い、30日以内に調査結果および対応方針をご回答します。
- 複雑な案件については、最大60日以内に対応します。その場合、延長の理由と予定対応日をお知らせします。
【外部機関への申し立て】
当法人の対応にご満足いただけない場合、以下の外部機関に苦情を申し立てることができます。
- 日本居住者:個人情報保護委員会(https://www.ppc.go.jp/)または認定個人情報保護団体
- EEA居住者:居住地のEUデータ保護機関(DPA)
- 英国居住者:情報コミッショナーオフィス(ICO)(https://ico.org.uk/)
- カリフォルニア州居住者:カリフォルニア州司法長官(https://oag.ca.gov/)
【ADR(裁判外紛争解決)】
当法人は、個人情報に関する紛争について、訴訟によらない裁判外紛争解決(ADR)手続きの利用を支持します。利用者は、当法人との合意の上で、中立的な第三者機関によるADR手続きを利用することができます。
なお、本ポリシーに関する紛争については、日本法を準拠法とし、横浜地方裁判所を第一審の専属的合意管轄裁判所とします。ただし、強行法規により別途定められた管轄が優先される場合はこの限りではありません。
25
第25条(特定の地域・法域に関する追加規定)
本条は、特定の地域または法域に居住する利用者に対して適用される追加的な規定を定めます。
【日本居住者向け追加規定】
日本の個人情報保護法(APPI)に基づき、利用者は以下の権利を有します。
- 保有個人データの開示請求権(第33条)
- 保有個人データの内容の訂正、追加または削除の請求権(第34条)
- 保有個人データの利用の停止または消去の請求権(第35条)
- 第三者への提供の停止の請求権(第35条)
これらの権利行使については、第20条記載の窓口にご連絡ください。当法人は、法令に基づき合理的な期間内に対応します。
【EEA・英国居住者向け追加規定】
GDPRおよびUK GDPRに基づき、当法人はデータ管理者(Data Controller)として行動します。EEA域内の代理人(EU Representative)については、必要に応じて任命し、その連絡先を公表します。利用者は、居住地のデータ保護機関(DPA)に苦情を申し立てる権利を有します。
【カリフォルニア州居住者向け追加規定】
CCPA/CPRAに基づき、カリフォルニア州居住者は以下の追加的権利を有します。
- 個人情報の収集・販売・開示に関する知る権利
- 個人情報の削除を求める権利
- 個人情報の訂正を求める権利
- 個人情報の販売またはクロスコンテキスト行動広告目的での共有のオプトアウト権
- センシティブ個人情報(SPI)の利用制限権
- 権利行使を理由とした差別的取扱いを受けない権利
当法人は、カリフォルニア州居住者からの権利行使リクエストに対し、45日以内(必要に応じて最大90日まで延長可能)に対応します。
Last Updated: March 1, 2026