プライバシーポリシー（概要）

定義

以下は本ポリシーで使用する主な用語の定義です。実務での処理例を交えて、各用語の範囲を明確にします。

個人データとは、識別された、または識別可能な自然人に関するあらゆる情報を指します（例えば氏名、メールアドレス、電話番号、IPアドレスなど）。プロジェクトで扱うログやメタデータも該当する場合があります。

処理とは、個人データに対する取得、記録、組織化、保存、改変、閲覧、検索、利用、提供、削除などの一連の操作を指します。実務ではデータ収集、機械学習の学習・評価、レポート作成が含まれます。

ユーザーとは、当社のサービスを利用する法人およびその代表者や担当者等の自然人を指します。契約に基づくアクセスや評価利用を行う者が含まれます。

サービスとは、AiDoLabが提供するコンサルティング、PoC支援、システム統合、運用支援、クラウドベースの分析ツール等を指します。各サービスの利用形態に応じた処理範囲を定めます。

クッキーとは、ウェブサイト利用時に端末に保存される小さなデータファイルで、セッション管理や利用状況の分析に使用します。各クッキーの目的と保持期間を説明します。

データ利用目的

収集したデータは、以下の目的に沿って最小限の範囲で利用します。各目的について、実務での利用例と留意点を示します。

• 契約に基づくサービス提供およびアカウント管理
• カスタマーサポートおよび問い合わせ対応
• サービス品質の向上、利用状況の分析、機能改善
• PoCやモデル検証のためのデータ処理・分析
• 法令の遵守、会計・税務処理、内部監査
• 不正行為の検出やセキュリティ対策
• ユーザーへの重要な通知やセキュリティ関連の連絡
• 匿名化・集計データの研究開発・ベンチマーク作成

法的根拠

個人データの処理は、契約の履行、法的義務の遵守、正当なメリット、利用者の同意などの根拠に基づいて行います。具体的な処理ごとに適切な根拠を文書化します。

• 契約の履行に必要な処理（サービス提供、請求等）
• 法令に基づく処理（税務、報告義務等）
• 当社の正当なメリットに基づく処理（セキュリティ維持、改善のための分析）
• 利用者の同意に基づく処理（マーケティング、特定の分析業務等）

EU一般データ保護規則（GDPR）への対応

EU域内のデータ主体に関しては、GDPRに基づく情報提供と権利行使の手続きを整備しています。具体的な対応フローと連絡先を提示します。

• アクセス権（本人が自身のデータの確認を請求できる権利）
• 訂正権（不正確なデータの修正）
• 削除権（一定条件下でのデータ消去請求）
• 処理制限の請求（処理を一時停止させる権利）
• データポータビリティ（機械可読な形式での受領）
• 異議申立て（直接マーケティング等に対する異議）

クッキーと類似技術

当社のウェブサイトおよびサービスでは、ユーザー体験向上や分析のためにクッキーを使用します。各クッキーの目的と管理方法を説明します。

セッション管理用、機能性向上用、分析・パフォーマンス用、ターゲティング用のクッキーを利用することがあります。各種類の保持期間と用途を明示します。

必須クッキー（サービス提供に必要）、機能性クッキー（設定保持）、分析クッキー（利用解析）、広告・ターゲティングクッキー（外部広告連携）に分類します。

ブラウザの設定や当社が用意する同意管理ツールでクッキーの受け入れを制御できます。ただし必須クッキーを無効にすると一部機能が利用できなくなる場合があります。

クッキーポリシーを確認する

データの第三者提供

当社は、業務委託先や法令に基づく場合を除き、利用者の個人データを第三者に無制限に提供することはありません。提供する場合は目的と範囲を限定します。

• 業務委託先（ホスティング、分析、サポート等）へ必要最小限の情報を提供
• 法的要求や裁判所命令に基づく提供
• 公開データや匿名化・集計データの第三者提供
• M&Aや事業譲渡等の際、必要な範囲での情報移転
• 外部サービスとの連携に伴うデータ転送（事前説明を行います）
• ユーザーの同意に基づく提供

国際的なデータ転送

国を跨ぐデータ転送が発生する場合、適用法令に沿った保護措置（適切な契約条項、標準契約条項等）を講じます。転送先での取り扱いについては事前に説明します。

転送先が適切な保護水準を有しない場合は、標準契約条項や追加的技術的・組織的対策を導入し、リスクの評価を行います。

保管期間と削除

収集したデータは利用目的に応じた期間保管し、目的達成後は安全に削除または匿名化します。保管期間は法令や業務要件を踏まえて定めます。

アカウント関連情報は契約期間中および法令に定められた期間保管します。

サポート履歴や問い合わせ内容は解決後一定期間保管し、その後削除または匿名化します。

アクセスログやセキュリティログは監査・セキュリティ目的で一定期間保管し、不要になったら削除します。

削除リクエストには身元確認を行った上で対応します。技術的制約や法的義務により即時削除できない場合は、その理由とスケジュールを通知します。

安全管理措置

当社は、データの機密性、完全性、可用性を維持するために技術的・組織的対策を実施します。アクセス制御、暗号化、バックアップ、監査ログ、委託先管理を組み合わせ、定期的な評価と改善を行います。事例を基に運用手順を整備し、インシデント対応体制も構築しています。

• アクセス権限管理と多要素認証の導入
• データ転送時および保管時の暗号化（TLS、保存データの暗号化）
• アクセスログの定期分析と侵入検知システム（IDS）を組み合わせ、異常な振る舞いを早期に検出します。実際の導入ケースでは、特定の不正アクセスパターンを自動でブロックし、被害を最小化した事例があります。

ユーザーの権利とアクセス方法

AiDoLabは、個人情報に関するユーザーの権利を尊重します。以下は代表的な権利と、具体的な申請手順や想定される対応シナリオを含む説明です。企業向け導入事例を交え、現場での手続きと時間感覚を明示します。

• 情報開示: 保有する個人データの種類と利用目的を明示します。ケース：プロジェクト終了後に顧客から照会があり、データ項目と保持期間を報告した事例。
• 訂正要求: 不正確な情報の修正を申請できます。シナリオ：名義変更や社内組織改編時の社員データの訂正対応を行ったケーススタディ。
• 削除要求（消去）: 法的根拠がある場合、保有データの削除を検討します。実務例：プロジェクト中止後の不要データ整理を実施した手順を提示。
• 利用制限の要求: 特定用途での利用を一時停止する申請が可能です。ケース：データ再評価中に分析利用を停止した場面の運用フロー。
• データポータビリティ: 構造化された一般的機械可読形式での提供を検討します。シナリオ：顧客が他ベンダーへ移行する際のデータ引き渡し事例。
• 異議申立て: 自動化処理や特定目的での利用に対する異議を申し立てる手続き。ケース：自動分類結果に対する見直しを依頼し、人手による再評価を行った例。
• 代理人による請求: 法的に認められた代理人からの請求を受け付けます。実務上は委任状と身元確認を基に手続きを進めます。
• 苦情申出: 個人情報の取扱いに関する苦情は書面またはメールで受付け、事例に基づき是正措置を検討します。過去のケースでは、運用改善計画を提示して対応した事例があります。

権利行使の申請方法

権利行使の申請は、メールまたは郵送で受け付けます。申請には本人確認情報（氏名、所属、連絡先）と要求内容の明確化をお願いいたします。企業導入時は担当窓口を通じて組織単位での一括申請も可能です。

[email protected]

受領後、通常30営業日以内に一次回答を行います。必要に応じて追加確認を依頼する場合があり、その場合は処理期間を延長する可能性があります。過去の事例では、複数システム横断の照会で追加確認が発生しました。