PRIVACY
プライバシーポリシー
株式会社SORAQ(以下、当社)は、当社が提供する「AIOしらべるくん」(以下、本サービス)における個人情報の取り扱いについて、以下の通り定めます。
制定日:2026年4月19日
最終更新日:2026年4月23日(GDPR対応・保管期間・国外移転・DPAの項を拡充)
目次
第1条(定義)
本ポリシーにおいて、次の用語は以下の意味を有します。
- 個人情報/個人データ:個人情報保護法(日本)に定める「個人情報」および「個人データ」、ならびにEU一般データ保護規則(以下「GDPR」)第4条(1)に定める「personal data」を含みます。
- 処理(Processing):個人データに対する取得、記録、保存、閲覧、使用、第三者提供、消去、その他一切の操作をいいます(GDPR第4条(2))。
- 管理者(Controller):処理の目的・方法を決定する者。本サービスにおいては、利用者の属する組織が自組織内のクライアントデータについての管理者となります(GDPR第4条(7))。
- 処理者(Processor):管理者の代わりに個人データを処理する者。当社は利用者(管理者)から委託を受けて利用者データを処理する「処理者」の立場を兼ねます(GDPR第4条(8))。
第2条(取得する情報)
当社は、以下の情報を取得する場合があります。取得は本人の任意の提供、もしくはサービス提供に必要な範囲での技術的取得に限定されます。
(1)アカウント情報
- 氏名、メールアドレス、電話番号、組織名(会社名・屋号)
- ログインに関する認証情報(パスワードはbcryptハッシュ化後に保存し、平文は保持しません)
- 管理画面内の表示名・ユーザーハンドル(任意)
(2)課金情報
- クレジットカード番号・有効期限・セキュリティコード:当社は取得・保持しません。Stripe社に直接送信され、当社は顧客ID(cus_xxx)およびサブスクリプションID(sub_xxx)のみを保持します。
- 請求先情報(Stripe側に保管)
(3)サービス利用に伴う情報
- 本サービスへのアクセスログ、IPアドレス、User-Agent、リファラー
- ログイン・ログアウト・主要操作の監査ログ(保持期間:6ヶ月)
- 本サービス上で登録されたクライアント情報(ドメイン、キーワード、競合サイトURL、施策メモ、AIレポート)
- UTMパラメータ等の流入経路情報(登録時のみ)
(4)問い合わせ・連絡
- お問い合わせフォームに記入された情報、メールの内容
第3条(利用目的)
当社は、取得した個人情報・個人データを以下の目的で利用します。これら目的を超える利用を行う場合は、事前にご本人の同意を取得します。
- 本サービスの提供・運用・保守・改善
- 利用登録の受付、本人確認、認証
- 料金の請求・決済処理・未払対応
- お問い合わせ対応・サポート
- 本サービスおよび関連情報のご案内(オプトアウト受付)
- 不正利用・不正アクセスの検知と対応
- 法令に基づく対応、当社または第三者の権利保護
- 統計的分析(個人を識別しない形で)および機能改善
第4条(処理の法的根拠 / GDPR Art. 6)
EEA/英国居住者のデータを処理する場合、当社はGDPR第6条(1)に定める以下の法的根拠に基づいて処理を行います。処理目的ごとに適用される根拠は以下のとおりです。
第5条(保管期間と削除)
当社は、利用目的の達成に必要な範囲で個人データを保持し、不要となった時点で削除または匿名化します。主要なデータ種別の保管期間は以下のとおりです。
- アカウント情報:利用継続中は保持。アカウント削除申請から90日を経過した時点で物理削除。
- 利用者データ(クライアント・キーワード・レポート):利用継続中は保持。2社目以降の有料利用を全解除した後90日を経過した時点で物理削除(1社目/無料枠のデータは継続利用中は保持され続けます)。
- アクセスログ・監査ログ:取得から6ヶ月。
- 課金関連ログ・請求書:税法・会社法上の保存義務に従い最長7年。
- バックアップに含まれる個人データ:日次ローテーションにより最長5世代(原則7日以内)で順次削除。
- マーケティング同意の記録:同意撤回から2年。
第6条(第三者提供・業務委託)
当社は、以下の場合を除き、あらかじめ本人の同意を得ることなく個人データを第三者に提供しません。
- 法令に基づく場合(税務調査・警察等からの適法な要請を含む)
- 人の生命・身体・財産の保護のために必要で、本人同意の取得が困難な場合
- 公衆衛生の向上または児童の健全な育成のために特に必要がある場合
- 国・地方公共団体等の事務遂行に協力する必要がある場合
- 利用目的達成に必要な範囲内で業務委託する場合(本条の処理者一覧参照)
- 事業承継に伴う場合(利用規約第16条の条件下)
当社が個人データの処理を委託する主要な処理者(Processor)は以下のとおりです。各処理者とは、書面によるデータ処理契約(DPA)または同等の契約を締結し、適切な技術的・組織的措置を講じさせています。
第7条(国外移転)
本サービスのデータは原則として日本国内(XServer)で保管されます。ただし、第6条の処理者のうち海外拠点を持つ者へデータを送信する場合があります。この場合、以下の適切な移転保護措置のいずれかを採用します。
- 移転先国が日本の個人情報保護委員会またはEU欧州委員会により「十分性認定」を受けている場合
- EU標準契約条項(Standard Contractual Clauses, SCCs)または同等の契約
- APEC Cross-Border Privacy Rules (CBPR) 準拠のフレームワーク
- 個人情報保護委員会が認める基準に従った社内ルール(BCR相当)
米国を中心とする主要な処理者については、SCCsの採用または同等の契約関係の下でデータ移転を行っています。詳細についてはお問い合わせください。
第8条(Cookie等の利用)
本サービスは以下の目的でCookieおよび類似技術(localStorage、sessionStorage)を使用します。
- 必須Cookie:セッション管理、認証、CSRF対策。これらは同意なしに設定され、無効化するとサービスが正常に動作しません。
- 分析Cookie:Google Analyticsによるアクセス状況の把握。EEA/英国居住者には事前同意を求めます(それ以外の地域は合法的利益に基づくオプトアウト方式)。
Cookieはブラウザの設定から削除・無効化が可能です。Google Analyticsのオプトアウトアドオンも利用できます。
第9条(安全管理措置)
当社は、個人データの漏えい、滅失、毀損、不正アクセスを防止するため、個人情報保護法ガイドライン、GDPR第32条および業界標準に沿った以下の措置を講じます。
- 技術的措置:TLS 1.2以上による通信暗号化、bcryptによるパスワードハッシュ化、JWT + HttpOnly Cookie、CSRF対策、レート制限、SQLインジェクション対策、入力バリデーション
- アクセス管理:Organization単位のテナント分離、最小権限原則、superadmin操作ログの保存
- 運用:日次バックアップ(5世代保持)、脆弱性監視、依存ライブラリ定期アップデート
- 組織的措置:秘密保持義務、アクセス権限の定期見直し、インシデント対応プロセス
- 物理的措置:データセンターの物理セキュリティはホスティング事業者のポリシーに準拠
第10条(外部サービス一覧)
本サービスは以下の外部サービスを利用しています。それぞれの事業者のプライバシーポリシーも併せてご確認ください。
- Google Analytics(アクセス解析)— Googleのプライバシーポリシー
- Stripe(決済処理)— Stripeのプライバシーポリシー
- OpenAI(AIレポート生成)— OpenAIのプライバシーポリシー
- DataForSEO(順位データ取得)— DataForSEOのプライバシーポリシー
- Open PageRank(ドメインランク取得)— Open PageRankのプライバシーポリシー
- Sentry(エラー監視)— Sentryのプライバシーポリシー
第11条(利用者の権利)
利用者(データ主体)は、自己に関する個人データについて以下の権利を有します。日本居住者は個人情報保護法に定める権利、EEA/英国居住者はこれに加えGDPR第15条〜第22条に定める権利を有します。
- アクセス権(開示請求):保有している個人データの開示を請求する権利
- 訂正権:不正確なデータの訂正・追加を請求する権利
- 削除権(忘れられる権利):特定の条件下で削除を請求する権利(法的保存義務がある場合を除く)
- 処理制限権:一時的に処理を制限するよう請求する権利
- データポータビリティ権:機械可読な形式(CSV等)で提供を受ける権利。本サービスでは管理画面の「データの一括ダウンロード」から利用者自身でいつでも実行可能です。
- 異議申立権:正当な利益に基づく処理に対し異議を述べる権利
- 同意撤回権:同意を法的根拠とする処理について、同意を撤回する権利
- 自動意思決定・プロファイリングからの除外権(第14条参照)
権利の行使は第18条の窓口までご連絡ください。本人確認の上、原則30日以内に対応します。手続上の理由で延長が必要な場合は、その旨を事前にご連絡します。
第12条(GDPRその他域外法令への対応)
当社は、日本国内での事業を中心としつつ、EEA/英国居住者からのアクセス・登録があることを踏まえ、GDPRの要件に実質的に適合した運用を行います。EU居住者の個人データを処理する範囲においては、当社は「管理者/処理者」のいずれかの立場を、処理活動ごとに明確にします。
- 当社がアカウント情報の処理を行う場合:当社が管理者(Controller)
- 利用者がアップロードしたクライアントデータ(ドメイン・キーワード等)を処理する場合:利用者が管理者、当社は処理者(Processor)
カリフォルニア州居住者(CCPA/CPRA対象者)については、同法に基づく開示・削除・販売拒否等の権利を同等に尊重します。
第13条(データ処理契約 / DPA)
利用者が自組織のクライアントデータについてGDPR等の管理者(Controller)の立場にある場合、当社との間でデータ処理契約(Data Processing Agreement, DPA)を締結いただけます。標準DPAのテンプレートを info@soraq.net までご請求ください。標準テンプレートには以下を含みます。
- 処理活動の内容・期間・目的
- 当社が講ずる技術的・組織的安全管理措置
- 再委託先(サブプロセッサ)の承認手続
- データ主体からの権利行使要請への協力
- インシデント発生時の通知手順
- 契約終了時のデータ返還/削除の手順
第14条(自動意思決定・プロファイリング)
当社は、利用者に法的効果または重大な影響を及ぼす自動意思決定(GDPR第22条)を行いません。AIレポート機能等で生成AIを利用しますが、これはあくまで参考情報の生成であり、契約可否・料金差別等の自動判定には用いません。利用者はAI出力の内容を常に人間(利用者自身)の判断で確認・採用する責任を負います。
AIレポート生成・要約・改善提案のため、クライアント名、URL、キーワード、順位変動、監査結果等の業務データを外部AI処理基盤に送信する場合があります。送信する情報は機能提供に必要な範囲に限定し、当社は外部AI事業者に対して、当社または利用者のデータをモデル学習目的で利用することを許可しません。
第15条(未成年者の個人情報)
本サービスは業務利用を前提としており、16歳未満の個人の利用を想定していません。16歳未満の個人情報を誤って取得したことが判明した場合、合理的な期間内に削除します。
第16条(苦情の申立て先)
当社の個人情報の取り扱いに関して苦情がある場合、まず第18条の窓口までご連絡ください。当社の対応にご納得いただけない場合、下記の監督当局に申立てを行うことができます。
- 日本:個人情報保護委員会(www.ppc.go.jp)
- EEA/英国:居住国のデータ保護機関(EDPB加盟DPA一覧)
第17条(プライバシーポリシーの変更)
当社は、法令の改正・サービス内容の変更・運用改善等に応じて、本ポリシーを変更することがあります。重要な変更(利用目的の追加、第三者提供の拡大、権利行使手続の変更など)を行う場合は、施行日の30日以上前に登録メールアドレスおよび管理画面で告知します。軽微な変更はウェブサイト上の掲示をもって効力を生じます。
第18条(お問い合わせ窓口)
個人情報の取り扱いに関するお問い合わせ・権利行使請求・DPAのご請求は、下記窓口までご連絡ください。
個人情報保護管理者:代表取締役 高橋 丈太郎
〒160-0023 東京都新宿区西新宿三丁目3番13号 西新宿水間ビル6階
メール:info@soraq.net
電話:070-5357-7976(平日10:00〜18:00)
以上