プライバシーポリシー（DPA条項を含む）｜siftbeam

本プライバシーポリシー（以下「本ポリシー」）は、株式会社コネクトテック（以下「当社」）が提供する「siftbeam」（以下「本サービス」）において、個人情報・個人データ等の取扱い方針を定めるものです。日本法（個人情報の保護に関する法律、以下「個人情報保護法」）に準拠します。DPA（データ処理契約）に関する条項は下記付属書に定めます。

定義

個人情報・個人データ: 個人情報保護法に定めるもの。
ユーザーデータ: ユーザーが当社に提供するデータ（生データ、ログ、指示内容、メタデータ等）。個人情報を含む場合があります。
出力データ: 本サービスにより生成・処理された結果（CSV等のエクスポートを含む）。
処理: 収集、記録、編集、保管、利用、提供、削除等の一切の行為。
委託先/再委託先: 当社が業務を委託する事業者（例: AWS、Stripe）。

事業者情報

事業者名: 株式会社コネクトテック
所在地: 静岡県浜松市中央区和合町315-1485 ディアス和合202号
代表者: 松井一晃
問い合わせ窓口: connectechceomatsui@gmail.com

取得する情報の種類

アカウント情報（氏名、メール、組織名、役職等）
認証・ログ情報（認証ID、アクセスログ、IPアドレス、端末情報、Cookie/類似技術）
決済関連情報（Stripe経由で処理。カード情報はStripeが管理）
ユーザーデータ（アップロードデータ、処理・学習用データ、指示内容）
サポートコミュニケーション（チャット内容）

利用目的

本サービスの提供・運用・機能改善・品質向上（モデルの学習・評価・チューニング等を含む）
認証、セキュリティ、障害対応、ログ解析
課金・請求・不正利用対策
問い合わせ対応（チャット）、お知らせ・規約変更の通知
統計情報の作成・公表（個人および特定ユーザーを識別できない形に限る）
法令遵守・権利保護

データの保存場所・期間・削除

保存リージョン: 原則、日本（東京リージョン）。将来変更する場合は事前に通知します。

保存リージョンの変更時は、原則として変更の30日前までに、メール送付または管理画面掲示（又は双方）により通知します（緊急・法令対応時はこの限りでない場合があります）。

保存期間: 処理後のデータは1年間保管され、その後自動的に削除されます。ユーザーはデータを個別に削除可能。

請求・支払: 毎月月末締め（当月1日〜末日の利用分）。請求書発行日: 翌月1日。支払期日: 翌月15日。

アカウント削除: 申請後は論理削除、90日後に完全削除（バックアップは追加期間を要する場合あり）。

技術トラブル時: 最小限の範囲でアクセス・利用し、解決後は速やかに削除または匿名化。

第三者提供・共同利用・委託

第三者提供: 法令に基づく場合を除き、本人の同意なく第三者提供しません。
委託: 主な委託先はAWS（インフラ）、Stripe（決済）。適切な監督を行います。
再委託: ユーザーの事前許可がない限り、上記以外への再委託は行いません（やむを得ない保守・代替時は同等以上の措置を講じ、速やかに通知）。
国際移転: Stripe等の事情により国外（例: 米国等）で保管・処理される場合があり、法令に基づく必要な措置を講じます。

国際移転が生じる場合、当社は適用法に従い、EU標準契約条項（SCC）や英国IDTA/UK SCCアドデンダム、スイスFDPICアドデンダム等の適切な移転保護措置を採用します（詳細は付属書B）。

学習利用とオプトアウト

モデル改善のためにユーザーデータを利用することがあります。
オプトアウト: アカウント単位または特定の『データ処理済みファイル』単位で学習利用を除外できます。品質に影響する場合があります。

セキュリティ

アクセス制御、通信/保存時の暗号化、権限分離、監査ログ、脆弱性管理等の安全管理措置を実施。
従業者・委託先に対する機密保持義務・教育を実施。
重大な漏えい等が判明した場合、法令に従い監督機関・本人への通知等の措置を講じます。

利用者の権利

開示、訂正、追加、削除、利用停止、第三者提供停止等の請求が可能です（本人確認が必要）。連絡先: connectechceomatsui@gmail.com

取扱いの法的根拠と当社の立場（コントローラ/プロセッサ）

当社は、アカウント管理・課金・サービス運営に関する個人情報については『事業者（コントローラ相当）』として取り扱います。
クライアントが当社に委託するユーザーデータ（クライアントの利用目的の範囲で処理される個人データ）について、当社は『受託者（プロセッサ）』として取り扱います。
米国州法（CCPA/CPRA等）が適用される範囲では、当社は『サービスプロバイダ/プロセッサ』としての義務を遵守します（付属書C参照）。
本ポリシーは日本法に基づきますが、EU/EEA等の規制対象となる場合は、適用ある法域の要件を充足する追加措置（例: 標準契約条項等）を講じます。

Cookie等の利用とアクセス解析

本サービスの利便性向上・セキュリティ・分析のためCookie/類似技術を使用することがあります。ブラウザ設定で無効化可能ですが、一部機能に支障が出る場合があります。

【Google Analytics】当サイトでは、サービス向上のためにGoogle Analyticsを使用しています。Google AnalyticsはCookieを使用してユーザーの行動データを収集します。収集されたデータはGoogleのプライバシーポリシーに基づいて管理され、IPアドレスは匿名化されて処理されます。収集される情報には、ページビュー、セッション時間、使用デバイス、ブラウザ、OS、地域情報（国、都市レベル）、リファラー等が含まれます。Google Analyticsによるデータ収集を無効化したい場合は、Googleが提供するブラウザアドオン（https://tools.google.com/dlpage/gaoptout）をインストールしてください。詳細はGoogleのプライバシーポリシー（https://policies.google.com/privacy）をご確認ください。

【Vercel Analytics / Speed Insights】当サイトでは、プライバシーに配慮したアクセス解析およびパフォーマンス測定のために、Vercel AnalyticsおよびVercel Speed Insightsを使用しています。これらのツールはCookieを使用せず、個人を特定できる情報（IPアドレスなど）を収集しません。収集される情報には、ページビュー数、使用デバイスの種類、おおまかな地域情報（国レベル）、リファラー情報、ページ読み込み時間、インタラクション応答時間等が含まれます。これらの情報は統計的な分析のみに使用され、個人を特定することはできません。GDPR、CCPAに準拠しています。

未成年者の個人情報

原則として保護者の同意なく未成年者による本サービスの利用は想定していません。

本ポリシーの変更

重要な変更は事前に通知します。通知後の利用をもって変更に同意したものとみなします。

お問い合わせ

個人情報の取扱いに関するお問い合わせは、connectechceomatsui@gmail.com までご連絡ください。サポートはチャットのみ、目安として営業日3日以内に返信します。

付属書A｜データ処理契約（DPA）条項（委託時の取り決め）

A-1. 役割

クライアントはコントローラ、当社はプロセッサとして、クライアントの指示に従いユーザーデータを処理します。

A-2. 目的・範囲

目的: siftbeamの提供、モデル作成・改善、出力の生成、保守サポート、セキュリティ、請求。
対象データ: クライアントが当社に提出する個人データ（氏名、識別子、連絡先、属性、ログ等を含み得る）。
データ主体: クライアントの顧客・ユーザー・従業員等。

A-3. 当社の義務（プロセッサ）

クライアントの書面（電子を含む）指示に従ってのみ処理すること。
秘密保持を確保すること。
適切な技術的・組織的安全管理措置を維持すること。
データ主体からの請求が当社に直接届いた場合、クライアントへ遅滞なく転送・協力すること。
漏えい等のインシデントが発生した場合、遅滞なくクライアントへ通知し、是正に協力すること。
クライアントの合理的範囲の監査・説明責任に協力すること（機密・セキュリティ保護のための適切な制限下）。
処理終了時、クライアントの選択により個人データを削除又は返却すること（法令上の保存義務がある場合を除く）。

A-4. サブプロセッサ（再委託）

既存の委託先: AWS（インフラ）、Stripe（決済）。
上記以外への再委託は、クライアントの事前許可がない限り行いません。やむを得ず代替が必要な場合は事前通知と同等以上の保護措置を確保します。
サブプロセッサに対し、本契約と同等以上のデータ保護義務を課します。

A-5. 国際移転

国外のサブプロセッサやサービスで処理する場合、適用法に基づく必要な保護措置（例: 契約条項、法令に基づく通知）を講じます。

A-6. 保存期間・削除

クライアント指示または契約終了後、合理的期間内に個人データを削除または返却します。バックアップについてはセキュアに上書き・消去します。

A-7. 監査・報告

クライアントは、合理的な通知と範囲で監査（文書審査等）を行えます。当社は必要な情報提供に協力します。

A-8. 責任

双方の責任分界は利用規約および本DPAに従います。セキュリティ義務違反等、当社の故意・重過失による損害については、利用規約の責任限定の範囲内で負担します。

A-9. 学習利用の指示

クライアントは、アカウント単位または特定ファイル単位で学習利用の可否を指定できます。当社は当該指定に従います。

付属書B｜国際移転条項（SCC/UK/Swiss）

B-1. 適用

EU/EEAからの移転にはSCC（2021/914）を採用します。

モジュール: Controller→Processor（Module 2）、Processor→Processor（Module 3）を必要に応じて適用。

UKへの適用にはUK IDTAまたはUK SCCアドデンダムを、スイスにはFDPICアドデンダムを付します。

B-2. 主な選択肢（SCC本文の条項に対する指定）

Clause 7（Docking Clause）: 適用。
Clause 9（Sub-processor）: 一般許可。事前公表済みサブプロセッサ（AWS、Stripe）。新規/変更は原則15日前に通知。
Clause 11（Redress）: 適用なし（法令に従う）。
Clause 17（Governing law）: アイルランド法。
Clause 18（Forum）: アイルランドの裁判所。

B-3. 監督当局

主たる監督当局はアイルランドDPC（データ保護委員会）を予定（別途合意があればそれに従う）。

B-4. Annex I（移転の詳細）

当事者: データ輸出者（クライアント）、データ輸入者（当社）。
データ主体: クライアントの顧客、利用者、従業員等。
データカテゴリ: 識別子、連絡先、行動ログ、トランザクション、指示/メタデータ等（クライアントの指示に依拠）。
特別カテゴリー: 原則非想定。含む場合は事前合意。
目的: siftbeamの提供、モデル作成/改善（オプトアウト可）、保守・セキュリティ、課金、サポート。
保持期間: 目的達成まで。契約終了後は削除/返却（法令保存を除く）。
送信頻度: 継続的/随時。

B-5. Annex II（技術的・組織的安全管理措置の概要）

アクセス制御（最小権限、MFA、職務分離）
データ暗号化（転送時TLS、保存時AES-256相当）
鍵管理（ローテーション、KMS）
ログ/監査（改ざん耐性、アラート）
開発・運用（セキュアSDLC、脆弱性対応、依存関係監視）
可用性（バックアップ、地域内冗長、DR手順）
ベンダ管理（サブプロセッサ評価/契約）
データ主体権利対応プロセス
インシデント対応（検知・封じ込め・根本原因分析・通知）

B-6. Annex III（サブプロセッサ）

AWS（インフラ/ホスティング、東京リージョン中心）
Stripe（決済）
上記以外を追加する場合、事前通知し、同等以上の保護措置を課します。

B-7. 政府当局からの要求

法で禁じられていない限り、輸出者へ遅滞なく通知。要求の合法性を精査し、範囲最小化に努めます。統計的開示報告を提供し得ます。

B-8. TIA（移転影響評価）

必要に応じ、当社は輸出者のTIAに合理的範囲で協力し、関連情報を提供します。

付属書C｜米国州法アドデンダム（CCPA/CPRA 等）

C-1. 役割と目的制限

当社は『サービスプロバイダ/プロセッサ』として、クライアントの業務目的のためにのみ個人情報を処理します。

C-2. 販売/共有の禁止

当社は個人情報の『販売』または『共有』（行動ターゲティング広告目的のクロスコンテキスト行動広告を含む）を行いません。

C-3. 二次利用の禁止

個人情報を当社の独自目的で利用しません（統計化/匿名化等、適用法で許容される範囲を除く）。

C-4. セキュリティ

合理的なセキュリティ手段を維持し、侵害時はクライアントに通知し是正に協力します。

C-5. 消費者権利への協力

アクセス、削除、訂正、オプトアウト等の権利行使に合理的範囲で協力します。GPC（Global Privacy Control）シグナル等が適用される場合は尊重します（該当するサービスに限る）。

C-6. サブプロセッサ

再委託先には同等以上の義務を課します。変更時は合理的に通知します。

C-7. 記録・監査

当社はCCPA/CPRA遵守に必要な記録を保持し、クライアントの監査に合理的範囲で協力します。