newji プラットフォーム
プライバシーポリシー

第1条（定義）

本ポリシーにおける用語の意味は次のとおりです。

1. 個人情報 — 「個人情報の保護に関する法律」（個人情報保護法）に定める個人情報を指し、本ポリシーでは本サービスの利用者（お客様企業の従業員等）に関する氏名・メールアドレス・電話番号その他の識別情報を含みます。
2. 利用者 — 本サービスのアカウントを保有し本サービスを利用する個人を指します。
3. お客様企業 — 本サービスを導入している法人を指します。お客様企業は利用者の雇用者または所属組織となります。
4. 事業者データ — 本サービス上で利用者またはお客様企業が登録・生成する業務データ（品目情報、取引先情報、見積、発注、契約、在庫、添付ファイル等）を指します。事業者データはお客様企業の営業秘密または取引上の機密情報を含み得ます。

第2条（個人情報の取得）

当社は、以下の方法により利用者の個人情報を取得します。

1. 本サービスへのアカウント登録・ログイン
2. 本ウェブサイト上のお問い合わせ・資料請求フォーム
3. 本サービスのサポート窓口への連絡
4. 本サービスの利用に伴う操作履歴・アクセスログの自動記録

第3条（個人情報の利用目的）

当社は、取得した個人情報を以下の目的のために、必要最小限の範囲で利用します。

1. 本サービスの提供・運営・機能改善
2. アカウント管理・本人確認・二要素認証
3. 不正アクセス・不正利用の検知および防止
4. 利用者・お客様企業への連絡、お問い合わせ対応
5. 利用料金の請求・入金確認
6. 本サービスの利用状況分析および品質向上（個人を特定しない形の統計情報として）
7. 新機能・関連サービスに関するご案内（配信停止の申し出があった場合を除く）
8. 法令または所轄官公庁の要請への対応

第4条（事業者データの取扱い）

お客様企業の事業者データの取扱いについては、以下の原則に従います。

1. 所有権の尊重 — 事業者データの所有権はお客様企業に帰属します。当社は、本サービスの提供に必要な範囲内でのみ事業者データを処理します。
2. 目的外利用の禁止 — 当社は、事業者データを本サービスの提供目的以外に利用しません。統計・分析・研究開発目的で利用する場合であっても、個別のお客様企業を特定できる形での利用は行いません。
3. 第三者提供の制限 — お客様企業の明示的な同意または法令上の義務がある場合を除き、事業者データを第三者に提供しません。
4. テナント分離 — 事業者データは企業ID（companyId）スコープによって他社のデータと構造的に分離され、他のお客様企業からアクセスできない設計となっています。

第5条（データの保管場所）

本サービスにおけるお客様の個人情報および事業者データは、以下の場所に保管されます。

1. 保管場所 — 日本国内（AWS 東京リージョン ap-northeast-1）
2. 海外転送の原則禁止 — お客様の業務データを日本国外に転送することは原則として行いません。ただし、以下の例外があります。
   • エラー監視サービス（Sentry）へのエラーログ送信（個人情報・業務データは含まれません）
   • メール送信サービス（Resend）経由のメール送信（送信先アドレス・件名・本文）
   • 外部AIプロバイダー（第6条参照）
3. バックアップ — バックアップデータも日本国内に保管します。

第6条（外部AIサービスへのデータ送信）

本サービスは、業務効率化を目的として外部AIサービス（Anthropic Claude / OpenAI GPT / Google Gemini 等）を利用します。

1. 送信されるデータ — AI機能を利用する際、必要最小限の業務データ（例: 品目情報、発注データ、見積データ、会社・ユーザーのメタ情報）を各AIプロバイダーに送信します。送信範囲は操作内容に応じて最小化されます。
2. 送信されないデータ — パスワード、APIキー、二要素認証シークレット、ログイン履歴、添付ファイルのバイナリ本体は送信されません。
3. 学習データ利用の禁止 — 各AIプロバイダーとは、当社から送信したデータがプロバイダー側のAIモデルの学習に使用されない商用API契約条件のもとで運用しています。
4. AIプロバイダーへの接続経路 — AI機能の接続経路は、次の二つの方式が併存します。
   1. 当社提供分 — 本サービスの基本的な動作に必要な一部のAI機能は、当社が契約する外部AIプロバイダーの API を通じて動作します。この場合、当社が提供するAPIキーを経由して外部AIプロバイダーにデータが送信されます。
   2. お客様持ち込み分 — 大部分のAI機能は、お客様が自ら契約する外部AIプロバイダーの APIキーを本サービスに登録することで動作します。この場合、お客様のAPIキーを経由して外部AIプロバイダーにデータが送信されます。お客様のAPIキーは、当社が暗号化のうえ保管し、他のお客様や第三者から参照されることはありません。
5. AI機能の無効化 — お客様企業は、管理画面の設定によりAI機能全体を無効化できます。AI機能を無効化した場合、外部AIへのデータ送信は一切発生しません。
6. 第三者提供の扱い — 本条に基づくAIプロバイダーへのデータ送信は、個人情報保護法第27条第5項第1号に定める「委託」に該当し、第三者提供には該当しません。

第7条（クッキーおよびアクセス解析ツール）

当社は、本ウェブサイトにおけるユーザー体験の改善および利用状況の把握のため、クッキーおよびアクセス解析ツールを使用します。

1. 利用するツール — Google Analytics / Google Tag Manager / Meta（Facebook / Instagram）/ X / YouTube / LinkedIn
2. 収集される情報 — IPアドレス、ブラウザ種別、閲覧ページ、滞在時間、参照元URL等（個人を特定しない形で収集します）
3. オプトアウト — ブラウザ設定によりクッキーの受け取りを拒否することができます。ただし、一部の機能が利用できなくなる場合があります。
4. 本サービス（ログイン後） — ログイン後の本サービス画面では、上記の外部アクセス解析ツールによる行動追跡は行いません。

第8条（個人情報の安全管理）

当社は、個人情報および事業者データの漏洩・滅失・毀損を防止するため、以下の安全管理措置を講じます。

1. 技術的安全管理措置
   • すべての通信をTLS（HTTPS）で暗号化
   • データベースおよびバックアップの暗号化保存
   • 二要素認証（TOTP方式）の提供
   • ログイン試行・API利用のレート制限
   • 異常アクセスの常時監視とログ記録
   • 役割別のアクセス権限管理（RBAC）
   • エンドポイントごとの企業IDスコープ検証
2. 組織的安全管理措置
   • 従業員への定期的なセキュリティ研修の実施
   • 入退社時の秘密保持契約（NDA）の締結
   • 特権アカウントの最小化
   • 機密文書の施錠保管および溶解廃棄
3. 運用品質の担保
   • 自動テスト・型チェック・リリース前の全項目チェック
   • 継続的な脆弱性パッチ適用
   • エラー監視による異常の早期検知

第9条（お客様によるデータのエクスポートおよび削除請求）

1. 全データエクスポート — お客様企業の管理者は、管理画面から自社の事業者データをいつでもCSV形式で一括ダウンロードできます。ダウンロード可能な範囲には、品目・取引先・在庫・見積・発注・契約・自社ユーザー情報が含まれます（パスワード・APIキー・二要素認証シークレット等の機密情報は除きます）。
2. 個人情報の開示請求 — 利用者は、本ポリシー末尾の連絡先に対し、ご自身の個人情報の開示・訂正・利用停止・削除を請求することができます。請求時には本人確認を行います。
3. 事業者データの削除請求 — お客様企業は、ご契約終了時または契約期間中であっても、当社所定の手続きにより事業者データの削除を請求できます。

第10条（契約終了時のデータ取扱い）

本サービスのご契約が終了した場合、以下の手順で事業者データおよび個人情報を取り扱います。

1. 保持期間 — 契約終了日から30日間、事業者データおよびアカウント情報を保持します。これは、誤操作・復元要求への対応および円滑なデータ引き渡しのための期間です。
2. 物理削除 — 30日間の保持期間経過後、本番データベースから事業者データおよびアカウント情報を物理削除します。
3. バックアップからの消去 — バックアップに含まれるデータは、次回のバックアップローテーション（最大90日以内）で完全に消去されます。
4. 法令に基づく保管 — 法令により保管が義務付けられている情報（取引記録、請求書等）は、法定保存期間に従い匿名化のうえ保管します。
5. 早期削除の要請 — お客様企業から契約終了前または30日以内の早期削除を要請された場合、当社は速やかに対応します（バックアップからの消去はローテーション次第となります）。

第11条（委託）

当社は、利用目的の達成に必要な範囲で、個人情報の取扱いを外部事業者に委託する場合があります。委託先に対しては、本ポリシーと同等以上の安全管理措置を要求し、必要かつ適切な監督を行います。

主な委託先（変更がある場合は本ポリシーを更新します）:

• クラウドインフラ: アマゾンウェブサービスジャパン合同会社（AWS）
• メール配信: Resend, Inc.
• エラー監視: Functional Software, Inc.（Sentry）
• AI機能: Anthropic, PBC / OpenAI, LLC / Google LLC（利用の有無・プロバイダーはお客様企業の設定に依存）

第12条（第三者への提供）

当社は、以下の場合を除き、個人情報および事業者データを第三者に提供しません。

1. 利用者ご本人またはお客様企業の事前の同意がある場合
2. 法令に基づく場合
3. 人の生命・身体・財産の保護のために必要な場合で、本人の同意を得ることが困難なとき
4. 公衆衛生の向上または児童の健全育成のために特に必要な場合で、本人の同意を得ることが困難なとき
5. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに協力する必要がある場合

第13条（未成年者の個人情報）

本サービスは事業者向けサービスであり、未成年者による個人での利用は想定していません。未成年者が本サービスに個人情報を提供する場合は、事前に保護者の同意を得る必要があります。

第14条（本ポリシーの改定）

当社は、必要に応じて本ポリシーを改定することがあります。重要な変更がある場合は、本サービス上または本ウェブサイト上で事前に告知します。改定後も本サービスを継続して利用された場合、改定内容に同意したものとみなします。

第15条（お問い合わせ窓口）

個人情報およびプライバシーに関するお問い合わせは、以下までお寄せください。