プライバシーポリシー
freegian株式会社(以下「当社」)は、ProductMaps(以下「本サービス」)における個人情報およびお客様データの取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
第1条(定義)
- 個人情報:個人情報保護法に定める「個人情報」を指し、氏名、メールアドレス、所属組織名その他の記述等により特定の個人を識別できる情報を意味します。
- お客様データ:お客様が本サービスに保存・入力したコンテンツ(ドキュメント、添付ファイル、連携サービスから取得したデータ、Slack会話等)を意味します。
第2条(役割分担)
本サービスは法人向け(B2B)サービスです。個人情報の取扱いに関する役割分担は以下のとおりです。
| 役割 | 説明 |
|---|---|
| お客様(管理者) | お客様データに含まれる個人情報の管理主体。従業員等への説明・同意取得、利用目的の設定等について責任を負います。 |
| 当社(受託者) | お客様の指示および本ポリシーに基づき、本サービスの提供に必要な範囲で個人情報を取扱います。 |
第3条(収集する情報)
当社は、本サービスの提供にあたり、以下の情報を収集します。
| 情報の種類 | 具体例 |
|---|---|
| アカウント情報 | 氏名、メールアドレス、所属組織名、プロフィール画像等 |
| 利用ログ・監査ログ | 操作履歴、認証履歴、アクセスログ、権限変更履歴等 |
| お客様データ | ドキュメント、添付ファイル、外部連携データ、Slack会話等 |
| 連携情報 | OAuthトークン、取得スコープ、連携サービスのユーザー識別子等 |
| 決済情報 | 請求先情報(クレジットカード情報はStripeが処理・保管し、当社は保持しません) |
第4条(利用目的)
当社は、収集した情報を以下の目的で利用します。
- 本サービスの提供・運営
- お客様サポートへの対応
- セキュリティの維持・不正利用の防止
- 利用料金の請求
- サービス改善および新機能の開発
- 重要なお知らせ・メンテナンス情報の通知
- 利用規約違反の調査
第5条(データの保存場所)
お客様データおよび個人情報は、原則として**日本(AWS ap-northeast-1)**に保存されます。
ただし、以下の機能については例外的に他の国・地域で処理・保存される場合があります。
| 機能 | 処理/保管が行われ得る国・地域 |
|---|---|
| ベクトル検索 | 米国(AWS us-east-1) |
| グラフDB | シンガポール(AWS ap-southeast-1) |
| AI/LLM API | プロバイダのグローバルインフラに基づき、米国・欧州等の複数国で処理され得ます |
詳細は委託先の概要をご参照ください。
第6条(ログの保持期間)
| ログ種別 | 保持期間 | 目的 |
|---|---|---|
| 監査ログ | 365日 | セキュリティ監査・コンプライアンス対応 |
| アクセスログ | 180日 | 不正アクセス検知・障害調査 |
| AIリクエストログ | 365日 | AI機能の利用履歴・品質改善・トラブルシューティング |
AIリクエストログについて
AIリクエストログには、メタデータ(タイムスタンプ、ユーザーID等)およびユーザーに返した最終回答全文が含まれます。
- 生成結果には機微情報が含まれる可能性があるため、閲覧権限と同等の強いアクセス制御を適用しています。
- 管理者であっても、権限のないコンテンツに関連するログの閲覧はできません。
- すべてのアクセスは監査ログに記録されます。
- 将来的に、テナント単位で保持期間を設定できる機能を提供する予定です。
詳細はAIデータ取扱いをご参照ください。
第7条(解約後のデータ削除)
本サービスの解約後、お客様データは解約日から最大90日以内に削除されます。
削除対象:
- データベース(リレーショナルDB、ドキュメントDB、グラフDB)
- ベクトル検索インデックス
- ファイルストレージ(添付ファイル等)
バックアップ:
- バックアップは30日間のローテーション保持後、自動的に消去されます。
第8条(第三者提供・業務委託)
- 当社は、法令に基づく場合を除き、お客様の同意なく個人情報を第三者に提供しません。
- 当社は、本サービスの提供に必要な範囲で、業務の一部を外部事業者(サブプロセッサ)に委託する場合があります。委託先の概要は委託先の概要をご参照ください。
- サブプロセッサの変更は、委託先の概要ページの更新により通知します。個別契約を締結しているお客様には、重要な変更について効力発生日の14日前までにメールでも通知します。
第9条(国外への移転)
本サービスはB2B(法人向け)サービスであり、お客様データに含まれる個人情報の国外移転は、お客様(管理者)の指図に基づいて行われます。
移転の法的根拠
当社は、お客様との利用契約に基づき、本サービスの提供に必要な範囲でお客様データを処理します。国外への移転は、以下のいずれかに該当します。
- 委託に伴う提供(個人情報保護法第27条第5項第1号):お客様の指図に基づく業務委託として、当社がサブプロセッサに処理を委託する場合
- お客様による外国事業者の選択:お客様が本サービスの機能(AI機能、外部連携等)を有効化することにより、当該機能の提供に必要なデータ処理が行われる場合
処理が行われ得る国・地域
| 機能 | 国・地域 | 保護措置 |
|---|---|---|
| メインデータベース・ファイルストレージ | 日本 | 保存時暗号化(KMS)、アクセス制御、監査ログ |
| ベクトル検索基盤 | 米国 | 保存時暗号化、アクセス制御、SOC2準拠サービス利用 |
| グラフDB基盤 | シンガポール | 保存時暗号化、アクセス制御 |
| 外部AI/LLMプロバイダ | 米国・欧州等 | 下記参照 |
外部AI/LLMプロバイダ
外部AI/LLMプロバイダの処理場所は、プロバイダのグローバルインフラおよび提供条件に基づきます。当社はプロバイダのデータセンターのリージョンを個別に指定・固定できない場合があり、米国・欧州等の複数国で処理され得ます。
契約上の保護措置:
- 機密保持義務
- 目的外利用の制限(学習利用の制限を含む)
- 再委託先の管理
- 契約終了時のデータ削除
技術上の保護措置:
- 送信データの暗号化(転送時)
- アクセス制御
- 監査ログの取得
お客様の責任
お客様は、本サービスの利用にあたり、従業員等に対して国外移転に関する必要な説明・同意取得を行う責任を負います。当社は、お客様がこれらの義務を履行するために合理的に必要な情報を提供します。
相手国の制度に関する情報
外国にある第三者への提供に関する詳細な説明(各国の個人情報保護制度の概要等)は、お問い合わせにより合理的な範囲で提供いたします。
詳細情報の開示
お客様が従業員等への説明・同意取得に必要な情報(委託先の社名、国・地域、保護措置の詳細等)は、NDAまたは契約のもとで開示可能です。詳細は委託先の概要およびお問い合わせ窓口をご確認ください。
第10条(AIにおけるデータ取扱い)
本サービスのAI機能におけるデータ取扱いの詳細は、AIデータ取扱いをご参照ください。
主なポイント:
- 外部LLMへの送信は、ユースケースにより抜粋のみの場合とコンテンツ全文を含む場合があります
- 人事・給与・ハラスメント等のセンシティブ情報は出力を制限しています
- 権限チェックはデータ取得時と出力時の両方で実施します
- AIリクエストログは365日保持され、強いアクセス制御が適用されます
第11条(安全管理措置)
当社は、個人情報およびお客様データの安全管理のため、以下の措置を講じています。
組織的安全管理措置
- 個人情報保護に関する社内規程の整備
- 責任者の設置
- 定期的な教育・研修の実施
人的安全管理措置
- 従業員との秘密保持契約の締結
- アクセス権限の最小化(RBAC/ABAC)
- 入退社時の権限管理
物理的安全管理措置
- クラウドインフラの利用(物理サーバーは当社で保有しません)
- 利用するクラウドサービスはSOC2等の認証を取得
技術的安全管理措置
- 保存時暗号化(RDS/KMS、S3/SSE-KMS、DocumentDB、ElastiCache)
- 転送時暗号化(TLS)
- KMS鍵ローテーションの有効化
- シークレット管理(GitHub Secrets、AWS Parameter Store)
- 漏えいスキャン(GitHub Secret Protection)
- SSO対応(SAML/OIDC、顧客IdPでMFA強制可能)
- アクセスログ・監査ログの取得と監視
安全管理措置の詳細は、合理的な範囲で開示いたします(NDA下での開示を含む)。
第12条(外部送信・Cookie等の利用)
当社は、本サービスのウェブサイトおよびアプリケーションにおいて、以下のとおり外部事業者のサービスを利用し、利用者の情報を送信しています。
A. サイト訪問者向け(ランディングページ等)
| 送信先事業者 | 利用目的 | 送信される情報 |
|---|---|---|
| Google LLC | アクセス解析(Google Analytics/GTM)、サイト改善 | Cookie識別子、IPアドレス、ユーザーエージェント、閲覧ページURL、参照元URL、閲覧日時、端末情報 |
| Microsoft Corporation | ヒートマップ分析(Clarity)、UI/UX改善 | Cookie識別子、IPアドレス、クリック・スクロール等の操作情報、閲覧ページURL、端末情報 |
| Meta Platforms, Inc. | 広告効果測定(Meta Pixel) | Cookie識別子、広告ID、閲覧イベント、参照元URL、端末情報 |
B. サービス利用者向け(アプリケーション)
| 種類 | 目的 | 第三者送信 |
|---|---|---|
| セッションCookie | ログイン状態の維持、ユーザー認証 | なし |
| 機能Cookie | ユーザー設定の保存、UI状態の維持 | なし |
オプトアウト・設定方法
- ブラウザの設定でCookieを無効化できます。ただし、一部のCookieを無効化した場合、本サービスの一部機能が利用できなくなる場合があります。
- Google Analyticsのオプトアウト:Googleアナリティクス オプトアウト アドオン
- Microsoft Clarityのオプトアウト:ブラウザのDo Not Track設定、またはCookie設定で無効化
- Meta Pixelのオプトアウト:Facebookの広告設定
第13条(決済情報の取扱い)
クレジットカード情報の処理・保管は**Stripe, Inc.**が行います。当社はクレジットカード番号等のカード情報を保持しません。
第14条(開示・訂正・削除の請求)
- お客様データに含まれる個人情報に関する開示・訂正・削除等の請求は、原則としてお客様(管理者)を通じてお申し出ください。
- 当社が直接請求を受領した場合は、お客様(管理者)に連携し、お客様の指示に基づき対応いたします。
- アカウント情報等、当社が直接管理する個人情報については、下記のお問い合わせ窓口にご連絡ください。本人確認の上、遅滞なく対応いたします。
第15条(本ポリシーの変更)
- 当社は、法令の改正、サービス内容の変更等に応じて、本ポリシーを変更することがあります。
- 変更は本ウェブサイトへの掲載により通知します。個別契約を締結しているお客様には、重要な変更について効力発生日の14日前までにメールでも通知します。
- 変更後のポリシーは、本ウェブサイトに掲載した時点で効力を生じます。
第16条(お問い合わせ窓口)
本ポリシーに関するお問い合わせは、下記までお願いいたします。
freegian株式会社 Email: contact@productmaps.com
制定日:2020年12月1日 最終改定日:2025年12月21日