株式会社siracusa プライバシーポリシー
株式会社siracusa(以下「当社」)は、当社が提供する各サービス(Polastack、シーラ アカウンタント その他当社が別途定めるサービスを個別にまたは総称して「当社サービス」といいます)に関連して取得する個人情報を、個人情報の保護に関する法律(以下「個人情報保護法」)、改正電気通信事業法(外部送信規律。27条の12)、その他の関連法令および本プライバシーポリシー(以下「本ポリシー」)に従って取り扱います。本ポリシーは、当社サービスに共通して適用されます。
第1条 事業者情報
| 事業者名 | 株式会社siracusa |
|---|---|
| 代表者 | 代表取締役 金子 傑 |
| 所在地 | 〒170-0002 東京都豊島区巣鴨1丁目9番1号グランド東邦ビル |
| 個人情報保護管理者 | 代表取締役 金子 傑 |
| お問い合わせ窓口 | privacy@siracusa.jp |
第2条 取得する個人情報の種類
当社は、当社サービスの提供および付随業務に関連して以下の個人情報を取得します。
2.1 お客様(事業者)の情報
- 担当者氏名・所属・役職・メールアドレス・電話番号
- 会社名・所在地・業種
- 課金関連情報(請求先住所・支払方法。クレジットカード番号・口座情報は決済代行事業者が直接取扱い、当社は保持しない)
2.2 ユーザー・エンドユーザーの情報
- アカウント情報(氏名・メールアドレス・所属 請求アカウント・ロール・パスワードハッシュ・多要素認証情報)
- 認証ログ(ログイン日時、IPアドレス、ユーザーエージェント)— 監査ログとして保持
- 当社サービスの利用ログ(API呼び出し、操作履歴、エラーログ)
2.3 利用解析・改善情報
- Cookieおよび類似技術
- プロダクト分析ツールによる行動解析データ(管理画面内の操作パターン)
- エラートラッキングツールによるエラー情報(PIIはスクラブ)
2.4 取得しない情報
当社は、原則として要配慮個人情報(個人情報保護法2条3項)を取得しません。お客様が誤って要配慮個人情報を当社サービスに入力した場合、お客様の責任において削除するものとします。
第3条 利用目的
当社は、取得した個人情報を以下の目的のために利用します(個人情報保護法17条準拠)。
- 当社サービスの提供、運用、保守、改善
- お客様の本人確認、不正利用の防止
- 課金、請求、未払金の回収
- お客様への通知、お問い合わせへの対応、サポート提供
- 当社サービスに関するアンケート、利用状況の調査、統計データの作成(個人を識別できない形式での集計・分析を含む)
- 当社サービスに関する案内・営業活動(オプトイン取得時のみ。配信停止可能)
- 法令、規制当局、裁判所の命令への対応
- 法的紛争の解決
- 当社の事業承継、組織再編、合併、買収(M&A)に際する情報の引継ぎ(買主・承継先における利用目的が本ポリシーと実質的に同等であることを条件とする)
- 当社サービスに組み込まれたAI機能の安全性評価および性能評価(基盤モデル(LLM等)の学習、ファインチューニングまたは評価用データセットへの利用を除く。詳細は当該サービスの利用規約による)
第4条 第三者提供
- 当社は、個人情報保護法27条1項各号に該当する場合、または以下の場合を除き、お客様の個人情報を第三者に提供しません。
- お客様の同意がある場合
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、お客様の同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
- 利用目的の達成に必要な範囲で個人情報の取扱いを委託すること(第5条)、および外国にある第三者へ提供すること(第6条)は、個人情報保護法上、本条の第三者提供とは区別して取り扱います。決済処理に伴う決済代行事業者への個人情報の提供は、第5条(委託)および第6条(外国にある第三者への提供)に従って取り扱います。
第5条 個人情報の取扱いの委託
当社は、利用目的の達成に必要な範囲で、個人情報の取扱いを第三者(以下「サブプロセッサー」)に委託することがあります。委託先一覧は当社所定のサブプロセッサー一覧に示します(お問い合わせ窓口までご請求ください)。当社は、サブプロセッサーの選定にあたり適切な安全管理措置を講じる者を選定し、個人情報保護法その他適用法令に基づき必要かつ適切な監督を行います。また、各サブプロセッサーとの間で個人データの保護に関する契約(データ処理契約等)を締結し、当社が講ずべき安全管理措置(第7条)と同等以上の保護が確保されるよう努めます。
第6条 外国にある第三者への個人情報の提供
- 当社は、当社サービスの提供のため、外国にある第三者(以下「越境サブプロセッサー」)に対して個人情報を提供することがあります。
- 主要な越境サブプロセッサーのカテゴリおよび所在国は以下のとおりです。具体的なサブプロセッサー名および各社の基準適合体制の根拠(GDPR DPA・標準契約条項(SCC)締結状況等)は、当社所定のサブプロセッサー一覧および契約締結時の開示によります。
カテゴリ 主要所在国 ホスティング(LP)・フォーム受付 米国 認証・ID管理 米国 決済・課金 米国 / アイルランド プロダクト分析 米国 / EU エラートラッキング 米国 トランザクションメール 米国 - 越境サブプロセッサーへの提供は、個人情報保護法28条に基づき、当該越境サブプロセッサーが個人情報保護法上の安全管理措置に相当する措置を継続的に講ずるための体制(基準適合体制。個人情報保護法施行規則16条)を備えていることを当社が確認したうえで行います。当社は、お客様の求めに応じ、当該体制に関する情報を提供します(個人情報保護法28条3項)。
第7条 安全管理措置
当社は、取り扱う個人情報の量および性質、当社の事業規模に応じて、個人情報の漏えい、滅失、毀損の防止その他の安全管理のために必要かつ適切な措置を講じます。主な措置は以下のとおりです。
7.1 組織的安全管理措置
- 個人情報保護管理者の設置および責任体制の整備
- 個人情報の取扱いに関する社内規程の整備および運用
- 個人情報の取扱状況の把握
7.2 人的安全管理措置
- 役員・従業員に対する秘密保持義務の付与
- 個人情報の適正な取扱いに関する役員・従業員への周知・教育
7.3 物理的安全管理措置
- 個人データを保管する日本国内のデータセンター(クラウドインフラ事業者が提供する物理的セキュリティ環境)の利用
- 業務機器の盗難・紛失の防止
7.4 技術的安全管理措置
- 通信経路の暗号化(TLS 1.2以上)
- 保管時データの暗号化
- 個人データへのアクセス権限を業務上必要な範囲の従業者に限定し(最小権限の原則)、権限を適切に管理
- 個人データを取り扱う従業者の認証の強化(多要素認証等)
- 個人データへのアクセス・操作の記録(ログ)の取得・保管
- 脆弱性の継続的な把握およびリスクの重大性に応じた適時の対応
7.5 認証・コンプライアンス
当社は、個人情報保護法その他適用法令を遵守します。SOC 2 Type II および ISO 27001 / ISMS については、将来的な取得を計画しています。
第8条 開示等の請求
- お客様は、当社に対し、保有個人データの開示、訂正、追加、削除、利用停止、第三者提供の停止を請求することができます(個人情報保護法33条〜35条)。
- 請求は privacy@siracusa.jp 宛にメールでお送りください。当社は、本人確認を行ったうえで、合理的な期間内に対応します。
- 保有個人データの開示の請求に対しては、書面の交付による方法、電磁的記録の提供による方法その他当社が定める方法のうち、お客様が指定された方法により開示します(個人情報保護法33条2項)。
- 開示または利用目的の通知の請求については、当社所定の手数料(実費を勘案した合理的な範囲によるものとし、詳細はご請求時にご案内します)を申し受ける場合があります(個人情報保護法38条)。
第9条 Cookieおよび類似技術
当社は、当社サービスの提供および改善のため、Cookie、ローカルストレージ、その他類似技術を使用します。詳細は当社所定のCookieポリシーに定めます。
第10条 外部送信される情報の通知(改正電気通信事業法27条の12対応)
当社の公式サイト(LP)および当社サービスの管理画面では、お客様の利用者情報を外部のサービスへ送信する場合があります。送信先の名称、送信される情報の内容、送信目的および送信の停止(オプトアウト)方法の詳細は、当社所定の外部送信に関する公表に定めます。
お客様は、Cookie同意バナーまたは管理画面の設定画面より、分析・マーケティング目的の外部送信を停止することができます。ただし、エラー診断その他の当社サービスの提供に不可欠な機能に係る送信は、当社サービスを利用する限り停止できません。
第11条 退会・個人情報の削除
- お客様が当社サービスを解約した場合、当社は、当該サービスの利用規約に定めるエクスポート猶予期間の経過後、顧客データを削除します。
- 個人情報については、合理的な期間内に、復元できない方法で消去します。
- ただし、以下の情報は法令・業務上の必要性により削除しない場合があります。
- 監査ログ(最大7年)
- 課金記録(適格請求書発行事業者として、最低7年)
- 訴訟予防・係争中の証拠保全のため必要な情報
- これらの保持の詳細は、当該サービスのデータ処理契約(締結している場合)に定めます。
第12条 子どもの個人情報
当社サービスは、事業者向けのサービスであり、13歳未満(および各国法令に定める年齢)の子どもの個人情報を意図的に取得しません。当社が子どもの個人情報を誤って取得したことを知った場合、速やかに削除します。
第13条 本ポリシーの改定
- 当社は、お客様の事前の同意を得ることなく、本ポリシーを改定することができます。
- 重要な改定(新たな利用目的の追加、新たな第三者提供、新たな越境サブプロセッサーの追加等)を行う場合、当社は、改定内容および効力発生日を、効力発生日の30日前までに、お客様が請求アカウントに登録したメールアドレス宛の電子メールおよび当社サイト上での掲示により通知します。当該改定に同意しないお客様は、効力発生日の前日までに当社サービスを解約することができます。
- 軽微な改定(誤字訂正、参照リンク変更、体裁修正等)の場合、当社は改定内容を当社サイト上に掲示することで足ります。
第14条 苦情・お問い合わせ窓口
14.1 当社窓口
| 個人情報お問い合わせ窓口 | privacy@siracusa.jp |
|---|---|
| 受付時間 | 平日 10:00〜17:00(土日祝・年末年始を除く) |
14.2 個人情報保護委員会
当社の個人情報の取扱いについて、個人情報保護委員会への申出も可能です。
| 名称 | 個人情報保護委員会 |
|---|---|
| URL | https://www.ppc.go.jp/ |