newji プラットフォーム
プライバシーポリシー

第1条（定義）

本ポリシーにおける用語の意味は次のとおりです。

1. 個人情報 — 「個人情報の保護に関する法律」（個人情報保護法）に定める個人情報を指し、本ポリシーでは本サービスの利用者（お客様企業の従業員等）に関する氏名・メールアドレス・電話番号その他の識別情報を含みます。
2. 利用者 — 本サービスのアカウントを保有し本サービスを利用する個人を指します。
3. お客様企業 — 本サービスを導入している法人を指します。お客様企業は利用者の雇用者または所属組織となります。
4. 事業者データ — 本サービス上で利用者またはお客様企業が登録・生成する業務データ（品目情報、取引先情報、見積、発注、契約、在庫、添付ファイル等）を指します。事業者データはお客様企業の営業秘密または取引上の機密情報を含み得ます。

第2条（個人情報の取得）

当社は、以下の方法により利用者の個人情報を取得します。

1. 本サービスへのアカウント登録・ログイン
2. 本ウェブサイト上のお問い合わせ・資料請求フォーム
3. 本サービスのサポート窓口への連絡
4. 本サービスの利用に伴う操作履歴・アクセスログの自動記録

第3条（個人情報の利用目的）

当社は、取得した個人情報を以下の目的のために、必要最小限の範囲で利用します。

1. 本サービスの提供・運営・機能改善
2. アカウント管理・本人確認・二要素認証
3. 不正アクセス・不正利用の検知および防止
4. 利用者・お客様企業への連絡、お問い合わせ対応
5. 利用料金の請求・入金確認
6. 本サービスの利用状況分析および品質向上（個人を特定しない形の統計情報として）
7. 新機能・関連サービスに関するご案内（配信停止の申し出があった場合を除く）
8. 法令または所轄官公庁の要請への対応

第4条（事業者データの取扱い）

お客様企業の事業者データの取扱いについては、以下の原則に従います。

1. 所有権の尊重 — 事業者データの所有権はお客様企業に帰属します。当社は、本サービスの提供に必要な範囲内でのみ事業者データを処理します。
2. 目的外利用の禁止 — 当社は、事業者データを本サービスの提供目的以外に利用しません。統計・分析・研究開発目的で利用する場合であっても、個別のお客様企業を特定できる形での利用は行いません。
3. 第三者提供の制限 — お客様企業の明示的な同意または法令上の義務がある場合を除き、事業者データを第三者に提供しません。
4. テナント分離 — 事業者データは企業ID（companyId）スコープによって他社のデータと構造的に分離され、他のお客様企業からアクセスできない設計となっています。

第5条（データの保管場所）

本サービスにおけるお客様の個人情報および事業者データは、以下の場所に保管されます。

1. 保管場所 — 日本国内（AWS 東京リージョン ap-northeast-1）
2. 海外転送の原則禁止 — お客様の業務データを日本国外に転送することは原則として行いません。ただし、本サービスの運営に必要な範囲で、以下の海外事業者を委託先として利用しています。これらの委託先への送信は、お客様が本ポリシーおよび利用規約に同意のうえで本サービスをご利用される時点で、個人情報保護法第28条に基づく外国にある第三者への提供にかかる本人同意を得たものとして取り扱います。

   委託先	国	送信される情報	利用目的	個人情報の保護に関する制度・体制
   Functional Software, Inc.（Sentry）	米国	エラースタックトレース・リクエストURL・利用者ID（メールアドレス・パスワード・業務データ本体は送信しない）	本サービスのエラー監視・障害対応	米国は包括的な個人情報保護法を有しないが、Sentry は SOC 2 Type II 認証を取得し、契約上、個人情報保護法第28条第1項に定める基準に相当する措置の継続的実施を担保
   Resend, Inc.（Resend）	米国	メール送信先アドレス・件名・本文・添付ファイル	通知メール・取引メール等の配信	米国は包括的な個人情報保護法を有しないが、Resend は SOC 2 Type II 認証を取得し、契約上、個人情報保護法第28条第1項に定める基準に相当する措置の継続的実施を担保
   外部AIプロバイダー（Anthropic, PBC / OpenAI, LLC / Google LLC）	米国	第6条第1項に定める範囲のデータ	AI機能の提供	各プロバイダーは商用APIの契約条件において SOC 2 Type II 認証等の安全管理措置を継続的に実施。詳細は第6条参照

3. 委託先の変更時の対応 — 上記委託先の名称・所在国・サービス内容に重大な変更がある場合、本ポリシーを更新のうえ、お客様に告知します。
4. バックアップ — バックアップデータも日本国内に保管します。
5. 本人の求めに応じた情報提供 — 上記委託先における個人情報の取扱いに関し、本人から個人情報保護法施行規則第18条第3項に基づく情報提供のご要望があった場合、第15条のお問い合わせ窓口にて対応します。

第6条（外部AIサービスへのデータ送信）

本サービスは、業務効率化を目的として外部AIサービス（Anthropic Claude / OpenAI GPT / Google Gemini 等）を利用します。

1. 送信されるデータ — AI機能を利用する際、必要最小限の業務データ（例: 品目情報、発注データ、見積データ、会社・ユーザーのメタ情報）を各AIプロバイダーに送信します。送信範囲は操作内容に応じて最小化されます。
2. 送信されないデータ — パスワード、APIキー、二要素認証シークレット、ログイン履歴、添付ファイルのバイナリ本体は送信されません。
3. 学習データ利用の禁止 — 各AIプロバイダーとは、当社から送信したデータがプロバイダー側のAIモデルの学習に使用されない商用API契約条件のもとで運用しています。
4. AIプロバイダーへの接続経路 — AI機能の接続経路は、次の二つの方式が併存します。
   1. 当社提供分 — 本サービスの基本的な動作に必要な一部のAI機能は、当社が契約する外部AIプロバイダーの API を通じて動作します。この場合、当社が提供するAPIキーを経由して外部AIプロバイダーにデータが送信されます。
   2. お客様持ち込み分 — 大部分のAI機能は、お客様が自ら契約する外部AIプロバイダーの APIキーを本サービスに登録することで動作します。この場合、お客様のAPIキーを経由して外部AIプロバイダーにデータが送信されます。お客様のAPIキーは、当社が暗号化のうえ保管し、他のお客様や第三者から参照されることはありません。
5. AI機能の無効化 — お客様企業は、管理画面の設定によりAI機能全体を無効化できます。AI機能を無効化した場合、外部AIへのデータ送信は一切発生しません。
6. 第三者提供の扱い — 本条に基づくAIプロバイダーへのデータ送信は、個人情報保護法第27条第5項第1号に定める「委託」に該当し、第三者提供には該当しません。

第7条（クッキーおよびアクセス解析ツール）

当社は、本ウェブサイトにおけるユーザー体験の改善および利用状況の把握のため、クッキーおよびアクセス解析ツールを使用します。

1. 利用するツール — Google Analytics / Google Tag Manager / Meta（Facebook / Instagram）/ X / YouTube / LinkedIn
2. 収集される情報 — IPアドレス、ブラウザ種別、閲覧ページ、滞在時間、参照元URL等（個人を特定しない形で収集します）
3. オプトアウト — ブラウザ設定によりクッキーの受け取りを拒否することができます。ただし、一部の機能が利用できなくなる場合があります。
4. 本サービス（ログイン後） — ログイン後の本サービス画面では、上記の外部アクセス解析ツールによる行動追跡は行いません。

第8条（個人情報の安全管理）

当社は、個人情報および事業者データの漏洩・滅失・毀損を防止するため、以下の安全管理措置を講じます。

1. 技術的安全管理措置
   • すべての通信をTLS（HTTPS）で暗号化
   • データベースおよびバックアップの暗号化保存
   • 二要素認証（TOTP方式）の提供
   • ログイン試行・API利用のレート制限
   • 異常アクセスの常時監視とログ記録
   • 役割別のアクセス権限管理（RBAC）
   • エンドポイントごとの企業IDスコープ検証
2. 組織的安全管理措置
   • 従業員への定期的なセキュリティ研修の実施
   • 入退社時の秘密保持契約（NDA）の締結
   • 特権アカウントの最小化
   • 機密文書の施錠保管および溶解廃棄
3. 運用品質の担保
   • 自動テスト・型チェック・リリース前の全項目チェック
   • 継続的な脆弱性パッチ適用
   • エラー監視による異常の早期検知
4. ログの取得および保持期間 — 当社は、不正アクセスの検知・障害調査・監査対応のため、以下のログを取得・保管します。

   ログ種別	内容	保持期間
   認証ログ	ログイン・ログアウト・API認証成功/失敗、IPアドレス、User-Agent	1年間
   AI実行ログ	AI機能の実行履歴、利用者ID、プロバイダー、トークン量、実行時間	1年間（個別記録）/7年間（匿名化された集計情報）
   メール送信ログ	送信先・件名・送信時刻・送信ステータス	1年間
   操作ログ	重要な業務操作（発注確定、承認、契約締結等）の利用者・対象・時刻	1年間（業務記録としては会社法・税法に基づく法定保存期間に従う）
   エラーログ	スタックトレース・リクエストURL（個人情報をマスキング）	90日間

   契約終了後の取扱いは第10条に従います。法令により保管が義務付けられている情報は、法定保存期間に従い、可能な限り匿名化のうえ保管します。

第8条の2（漏えい等発生時の対応）

当社は、個人情報の漏えい、滅失、毀損その他の安全管理にかかる重大な事故（以下「漏えい等」といいます）が発生した場合、または発生したおそれがある場合、以下のとおり対応します。

1. 社内エスカレーション — 漏えい等を検知した時点から24時間以内に、当社の経営層および法務担当へエスカレーションします。
2. 個人情報保護委員会への報告 — 個人情報保護法第26条第1項に該当する漏えい等が発生した場合、同法施行規則の定めるところに従い、速報を発生または発覚から概ね3〜5日以内、確報を概ね30日以内（要配慮個人情報の漏えい等または不正目的によるおそれが高い事案については60日以内）に、個人情報保護委員会へ報告します。
3. 本人への通知 — 同条第2項に該当する場合、可能な限り速やかに、対象となる本人に対し漏えい等の事実、原因、再発防止策その他の事項を通知します。本人連絡先が不明等の理由で通知が困難な場合は、本ウェブサイトへの掲載等の代替措置を講じます。
4. 重大事案の判定 — 本条第2項に該当する重大事案には、要配慮個人情報の漏えい等、財産的被害が生じるおそれのある漏えい等、不正の目的によるおそれが高い漏えい等、および1,000人を超える本人にかかる漏えい等（個人情報保護法施行規則第7条各号）を含みます。
5. 通知方法 — 本人への通知は、原則として登録メールアドレス宛のメール送信により行い、必要に応じて本サービス内のお知らせ表示・本ウェブサイト上の掲載を併用します。
6. 再発防止 — 漏えい等が発生した場合、当社は速やかに原因究明・影響範囲の特定・再発防止措置の検討と実施を行い、その結果をお客様に告知します。
7. 損害賠償 — 当社の故意または重大な過失により漏えい等が発生し、お客様または本人に直接の損害が生じた場合の損害賠償責任については、利用規約第13条第5項に従います。

第9条（お客様によるデータのエクスポートおよび削除請求）

1. 全データエクスポート — お客様企業の管理者は、管理画面から自社の事業者データをいつでもCSV形式で一括ダウンロードできます。ダウンロード可能な範囲には、品目・取引先・在庫・見積・発注・契約・自社ユーザー情報が含まれます（パスワード・APIキー・二要素認証シークレット等の機密情報は除きます）。
2. 個人情報の開示請求 — 利用者は、本ポリシー末尾の連絡先に対し、ご自身の個人情報の開示・訂正・利用停止・削除を請求することができます。請求時には本人確認を行います。
3. 事業者データの削除請求 — お客様企業は、ご契約終了時または契約期間中であっても、当社所定の手続きにより事業者データの削除を請求できます。

第10条（契約終了時のデータ取扱い）

本サービスのご契約が終了した場合、以下の手順で事業者データおよび個人情報を取り扱います。

1. 保持期間 — 契約終了日から30日間、事業者データおよびアカウント情報を保持します。これは、誤操作・復元要求への対応および円滑なデータ引き渡しのための期間です。
2. 物理削除 — 30日間の保持期間経過後、本番データベースから事業者データおよびアカウント情報を物理削除します。
3. バックアップからの消去 — バックアップに含まれるデータは、次回のバックアップローテーション（最大90日以内）で完全に消去されます。
4. 法令に基づく保管 — 法令により保管が義務付けられている情報（取引記録、請求書等）は、法定保存期間に従い匿名化のうえ保管します。
5. 早期削除の要請 — お客様企業から契約終了前または30日以内の早期削除を要請された場合、当社は速やかに対応します（バックアップからの消去はローテーション次第となります）。

第11条（委託）

当社は、利用目的の達成に必要な範囲で、個人情報の取扱いを外部事業者に委託する場合があります。委託先に対しては、本ポリシーと同等以上の安全管理措置を要求し、必要かつ適切な監督を行います。

1. 主な委託先と認証取得状況（公開時点。変更がある場合は本ポリシーを更新します）

   区分	委託先	所在国	主な第三者認証
   クラウドインフラ	アマゾンウェブサービスジャパン合同会社（AWS）	日本（リージョン: ap-northeast-1）	ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、SOC 1/2/3、PCI DSS
   メール配信	Resend, Inc.	米国	SOC 2 Type II
   エラー監視	Functional Software, Inc.（Sentry）	米国	SOC 2 Type II、ISO/IEC 27001
   AI機能（当社提供分）	Anthropic, PBC / OpenAI, LLC / Google LLC（利用の有無・プロバイダーはお客様企業の設定に依存）	米国	各社の商用 API における SOC 2 Type II 等。詳細は各プロバイダーの公開情報を参照

2. 委託先の監督 — 当社は、個人情報保護法第25条に基づき、委託先に対して以下の監督を行います。
   1. 委託契約またはこれに準じる文書により、個人情報の取扱いに関する安全管理措置・目的外利用禁止・再委託の制限・漏えい時の報告義務等を取り決めること。
   2. 委託先における個人情報の取扱状況を、契約・約款・公開資料・第三者認証の取得状況等に基づき、定期的に確認すること。
   3. 委託先の認証ステータスや所在地に重大な変動が生じた場合は、本ポリシーを更新するとともに、必要に応じてお客様にお知らせします。
3. お客様による委託状況の確認 — お客様（特にエンタープライズ契約のお客様）からの委託状況・安全管理措置に関するご照会・監査要請については、第15条のお問い合わせ窓口にて対応します。詳細な監査・データ処理補完契約（DPA）の締結が必要な場合は、別途協議のうえ対応いたします。
4. お客様自身による監査ログの確認 — お客様の管理者は、本サービス管理画面より、自社利用者のログイン履歴・主要な操作履歴を確認することができます。本サービス基盤側のログについては、第15条のお問い合わせ窓口にて個別にご請求いただけます。

第12条（第三者への提供）

当社は、以下の場合を除き、個人情報および事業者データを第三者に提供しません。

1. 利用者ご本人またはお客様企業の事前の同意がある場合
2. 法令に基づく場合
3. 人の生命・身体・財産の保護のために必要な場合で、本人の同意を得ることが困難なとき
4. 公衆衛生の向上または児童の健全育成のために特に必要な場合で、本人の同意を得ることが困難なとき
5. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに協力する必要がある場合

第13条（未成年者の個人情報）

本サービスは事業者向けサービスであり、未成年者による個人での利用は想定していません。未成年者が本サービスに個人情報を提供する場合は、事前に保護者の同意を得る必要があります。

第14条（本ポリシーの改定）

当社は、必要に応じて本ポリシーを改定することがあります。重要な変更がある場合は、本サービス上または本ウェブサイト上で事前に告知します。改定後も本サービスを継続して利用された場合、改定内容に同意したものとみなします。

第15条（お問い合わせ窓口）

個人情報およびプライバシーに関するお問い合わせは、以下までお寄せください。