第1条　基本方針

当社は、「個人情報の保護に関する法律」（個人情報保護法）、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」、その他関連法令・ガイドラインを遵守し、個人情報を適正に取り扱います。

当社は、個人情報をお客様・取引先様・従業員等の大切な財産として認識し、その保護に最大限の努力を払います。また、個人情報の取り扱いに関する内部規程を整備し、役職員への教育・啓発を継続的に行います。

当社は、プライバシー・バイ・デザインの原則に基づき、システム・サービスの設計段階からプライバシー保護を組み込む取り組みを推進します。

第2条　収集する個人情報の種類

当社は、以下の種類の個人情報を収集することがあります。

2.1 お客様・取引先様から収集する情報

• 氏名、生年月日、性別
• 住所、電話番号、メールアドレス
• 会社名、部署名、役職
• クレジットカード情報、銀行口座情報（決済時のみ）
• お問い合わせ内容、サービス利用に関する情報
• 契約内容、取引履歴

2.2 サービス利用時に自動収集する情報

• IPアドレス、ブラウザの種類・バージョン
• オペレーティングシステム、デバイス情報
• アクセス日時、閲覧ページ、参照元URL
• Cookieおよび類似技術による識別情報
• APIのアクセスログ、利用量データ

2.3 採用応募者から収集する情報

• 氏名、連絡先情報、履歴書・職務経歴書記載情報
• 学歴、職歴、資格・スキル情報
• 面接内容、適性検査結果

2.4 要配慮個人情報

当社は、原則として要配慮個人情報（健康・医療情報、人種・民族、信条、社会的身分等）を収集しません。ただし、従業員の健康管理に必要な範囲で、法令に基づき適切に取り扱う場合があります。

第3条　個人情報の利用目的

当社は、収集した個人情報を以下の目的に利用します。

1. お客様へのサービス提供および契約の履行
2. お問い合わせへの対応・回答
3. 製品・サービスの改善、新機能の開発
4. マーケティング活動（ニュースレター、セミナー案内等）—同意を得た場合
5. 請求・決済処理および与信管理
6. 不正利用・セキュリティ侵害の防止・検知
7. 法令上の義務の履行
8. 採用選考、雇用管理
9. 統計データの作成・分析（個人を識別できない形式に加工した上で）
10. 機械学習モデルの訓練（匿名化・仮名化した上で。お客様の明示的同意がある場合のみ）

上記以外の目的で個人情報を利用する場合は、事前にご本人様の同意を取得します。

第4条　第三者提供

当社は、以下の場合を除き、事前のご同意なく個人情報を第三者に提供しません。

• 法令に基づく場合（捜査機関等からの適法な照会等）
• 人の生命・身体・財産の保護のために必要であり、本人の同意を得ることが困難な場合
• 公衆衛生の向上または児童の健全な育成のために特に必要な場合
• 国の機関・地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合
• 合併・事業譲渡等の事業承継の場合（承継先において本ポリシーの定めを継承することを条件とする）

4.1 共同利用

当社は、グループ会社間でサービス提供および業務管理の目的で個人情報を共同利用することがあります。共同利用する場合は、あらかじめ対象となる個人情報の項目、利用目的、管理責任者をお知らせします。

第5条　業務委託

当社は、利用目的の達成に必要な範囲で、個人情報の取り扱いの全部または一部を外部に委託することがあります。委託先に対しては、当社と同等以上の個人情報保護水準を確保するよう契約上の義務を課し、適切な監督を行います。

主な委託先の種類：クラウドサービス提供事業者、データ解析事業者、決済代行事業者、顧客管理システム（CRM）提供事業者、メール配信サービス事業者

第6条　安全管理措置

当社は、個人情報の漏洩・紛失・改ざん・不正アクセス等のリスクに対し、以下の安全管理措置を講じています。

技術的安全管理措置

• TLS 1.3によるすべての通信の暗号化
• データベースにおけるAES-256暗号化
• 多要素認証（MFA）の全システムへの適用
• ゼロトラストアーキテクチャの採用
• WAF・IDS/IPSによる不正アクセス防止
• 定期的な脆弱性診断・ペネトレーションテスト

組織的安全管理措置

• 個人情報保護責任者（CPO）の設置
• 個人情報へのアクセス権限の最小化・ログ管理
• 役職員への年2回以上の個人情報保護教育
• インシデント対応手順書の策定・訓練
• 定期的な内部監査の実施

物理的安全管理措置

• データセンターへの入退室管理（生体認証）
• 個人情報を含む書類の施錠管理・廃棄時のシュレッダー処理
• 持出し媒体の暗号化・管理台帳整備

第7条　Cookieおよびトラッキング技術

当社のウェブサイト・サービスでは、以下の目的でCookieおよび類似技術を使用します。

• 必須Cookie：ログイン状態の維持、セキュリティ機能、フォームの動作に必要なCookie
• 機能Cookie：言語設定・テーマ設定等のユーザー設定の保存
• 分析Cookie：Google Analytics等によるサービス利用状況の把握（同意取得後）
• 広告Cookie：リターゲティング広告の配信（同意取得後）

ブラウザの設定からCookieを無効化することができますが、その場合一部の機能が利用できなくなることがあります。

当社はDoNotTrack（DNT）シグナルを尊重します。DNTが有効な場合、分析・広告目的のトラッキングを行いません。

第8条　個人情報の保存期間

当社は、個人情報を利用目的の達成に必要な期間のみ保存します。主な保存期間は以下のとおりです。

• 契約・取引に関する情報：契約終了後7年間（商法・税法上の要請による）
• お問い合わせ情報：受信後3年間
• マーケティング目的の情報：同意撤回まで、または最終接触から3年間
• 採用応募者情報：不採用決定後2年間（採用の場合は在職期間中＋退職後10年）
• アクセスログ：最大1年間

上記期間経過後、個人情報は安全に削除または匿名化します。

第9条　個人情報の開示・訂正・削除等の請求

ご本人様は、当社が保有する個人情報について、以下の権利を有します。

• 利用目的の通知請求
• 開示請求（保有個人データの確認）
• 訂正・追加・削除請求
• 利用停止・消去請求
• 第三者提供停止請求
• データポータビリティ（機械可読形式での提供）

上記のご請求は、本ポリシー末尾の「お問い合わせ窓口」にご連絡ください。ご本人確認後、原則として30日以内に対応いたします。一部のご請求については法令に基づき対応できない場合があります。その際はその理由をご説明します。

第10条　個人情報の国際移転

当社は、クラウドサービスの利用等に伴い、個人情報を日本国外に移転する場合があります。

個人情報を外国の第三者に提供する場合は、以下のいずれかの措置を講じます。

• 当該外国が個人情報保護委員会規則で定める基準を満たすと認定されている場合
• 当該外国の第三者が個人情報保護法の求める水準の保護措置を講じている場合（標準契約条項の締結等）
• ご本人様の同意を得た場合

主な移転先：米国（AWS、Google Cloud）、欧州連合（GDPR適用地域）。GDPR対応として、当社はEUの標準データ保護条項（SCC）を使用しています。

第11条　未成年者の個人情報

当社のサービスは、原則として16歳以上の方を対象としています。16歳未満の方が個人情報を提供される場合は、保護者の方の同意が必要です。16歳未満の方の個人情報が保護者の同意なく収集されたことが判明した場合、速やかに当該情報を削除します。

第12条　プライバシーポリシーの改定

当社は、法令の改正・業務の変更・技術の進歩等に応じ、本ポリシーを改定することがあります。重要な変更を行う場合は、当社ウェブサイトへの掲載、またはメールでの通知により、30日前を目処に事前にお知らせします。

改定後にサービスをご利用になった場合、改定後のポリシーに同意いただいたものとみなします。

第13条　個人情報保護に関するお問い合わせ窓口

個人情報の取り扱いに関するお問い合わせ・苦情・開示等の請求は、以下までご連絡ください。