プライバシーポリシー
最終更新日:2026年4月20日(バージョン 5.0)
前川クリストファー海(屋号:SCX Audit Vault、以下「当事業者」)は、ESGコンプライアンスSaaS「Marupass」(以下「本サービス」)におけるお客様の個人情報の取扱いについて、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」)に基づき、以下のとおりプライバシーポリシーを定めます。本サービスは事業者(法人・個人事業主)を対象としており、消費者による利用は想定していません。
2026年度 Design Partner プログラムについて
2026年度は Design Partner プログラム期間として、限定数のお客様とともに本サービスの最適化を進めます。AIコパイロット機能の一部(Anthropic Claude)は米国の Anthropic PBC 直接APIを利用して処理されます(第8条)。ご利用にあたっては、個人情報保護法第28条に基づく同意取得フローを経ていただきます。
1. 事業者情報
事業者名:前川クリストファー海(屋号:SCX Audit Vault) 事業形態:個人事業主(適格請求書発行事業者) 所在地:開示のご請求により遅滞なく書面にてお知らせいたします(請求先:privacy@scxaudit.com) 個人情報取扱責任者:前川クリストファー海 お問い合わせ:privacy@scxaudit.com
2. 取得する個人情報(個人情報保護法第20条・第21条)
当事業者は、本サービスの提供にあたり、以下の個人情報を取得します。 【アカウント情報】 ・氏名、メールアドレス、会社名、部署名、役職 ・OAuth認証情報(Google) 【認証トークン情報】 ・OAuth認証に伴う認証トークン(暗号化のうえ保存) 【利用情報】 ・本サービスの利用履歴、アクセスログ ・IPアドレス、ブラウザ情報、デバイス情報 【AIコパイロット会話】 ・AIコパイロット機能における会話内容(お客様が入力したテキスト) ※マイナンバー、口座番号、パスワード等の機微な情報をAIコパイロットに入力しないようお願いいたします。 【お支払い情報】 ・クレジットカード情報は決済代行会社Stripeが直接処理します。当事業者のサーバーにはカード番号を保存しません。 【アップロードデータ】 ・ユーザーが本サービスにアップロードした文書データ(請求書、電力明細、納品書等) ・AI処理により抽出されたESGデータ 【マーケティングリード情報】 ・メールアドレス、取得元ページ情報(資料請求・診断ツール利用時) 当事業者は、個人情報保護法第2条第3項に定める要配慮個人情報を原則として取得しません。
3. 個人情報の利用目的(第17条・第18条)
当事業者は、取得した個人情報を以下の目的で利用します。 ・本サービスの提供、運営、改善 ・アカウントの認証および管理 ・料金の請求処理および適格請求書の発行 ・サービスに関する通知・連絡 ・カスタマーサポートの提供 ・AI支援による監査分析、レポート作成支援及びコンプライアンスQ&A対応 ・利用状況の分析によるサービス改善 ・法令に基づく対応、監査対応及び規制当局への報告 ・サービスに関するご案内(お客様の事前同意がある場合に限ります) 取得した個人情報を上記の目的以外で利用する場合は、事前にお客様の同意を得ます。
4. 個人情報の第三者提供の制限(第27条)
当事業者は、以下の場合を除き、お客様の同意なく個人情報を第三者に提供しません。 ・法令に基づく場合 ・人の生命、身体または財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき ・公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、お客様の同意を得ることが困難であるとき ・国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合 ・お客様から個人情報保護法第28条に基づく同意を取得した上で、当事業者が業務委託先として利用する外国にある第三者(Anthropic PBC)に提供する場合(詳細は第8条)
5. 業務委託先(サブプロセッサー)(第27条第5項第1号)
当事業者は、サービス提供に必要な範囲で、以下の業務委託先にデータ処理を委託しています。各委託先とは、それぞれの利用規約およびデータ処理条項に基づき、個人情報の適切な取扱いを求め、委託先の監督を行っています。 ・Google Cloud Japan合同会社(Google Cloud Platform:インフラ、Document AI、Vertex AI Gemini、Cloud KMS、Cloud Storage、Cloud Tasks、Google Drive/Sheets連携。日本リージョン) ・Anthropic PBC(Claude:Anthropic API直接利用。所在地:アメリカ合衆国。個人情報保護法第28条に基づく手当ての詳細は第8条参照) ・Stripe Japan合同会社(決済処理、PCI DSS Level 1準拠) ・Twilio SendGrid, Inc.(メール送信およびInbound Parse) ・LINE株式会社(LINE Messaging API / LIFF連携) ・Vercel Inc.(フロントエンドホスティング、東京リージョン hnd1 固定) ・Redis Ltd.(Redis Cloud:シングルサインオンのstate管理) Anthropic PBCを除く委託先については、当事業者が日本リージョンに処理を限定する技術的措置を講じており、委託先による個人データの外国移転は発生しません。
6. データ保管地
1. 当事業者は、お客様の個人情報および業務データを、原則としてGoogle Cloud Platformの日本リージョン(asia-northeast1:東京)に保存します。災害対策および冗長化を目的として asia-northeast2(大阪)を予備リージョンとして使用する場合があります。 2. 当事業者は、以下の例外を除き、個人データを日本国外に提供しません。 ・AIコパイロット機能の一部において、Anthropic Claudeによる推論処理のため、米国に所在するAnthropic PBCに個人データを提供する場合(詳細は第8条) 3. Google GeminiおよびGoogle Document AIによる推論処理は、日本リージョン(asia-northeast1)にデプロイされたエンドポイントで完結し、データは日本国外に転送されません。 4. フロントエンドホスティング(Vercel)は東京リージョン(hnd1)に固定しています。 5. 通信はTLS 1.3で暗号化されます。 6. 保存データはAES-256で暗号化されます。機密フィールドはFernet対称暗号化またはGoogle Cloud KMSにより追加暗号化されます。 7. 法令変更、クラウド事業者の仕様変更その他やむを得ない事由により本条の保管地を変更する必要が生じた場合、当事業者は30日前までにお客様に通知します。
7. AIサービスの利用と学習オプトアウト
1. 当事業者は、本サービスの提供にあたり、以下の生成AIサービスを利用します。 ・Anthropic Claude(Anthropic API直接利用、米国) ・Google Gemini(Google Cloud Vertex AI、日本リージョン) ・Google Document AI(日本リージョン) 2. 当事業者は、各AIサービス提供者が公表する商用利用規約(Anthropic Commercial Terms of Service、Google Cloud Platform Terms of Service)に基づき本サービスを提供しており、お客様のコンテンツは各AIサービス提供者の生成AIモデルの学習には利用されません。Anthropic PBCとの個別のデータ処理契約(DPA)およびZero Data Retention契約は、現時点では締結していません。 3. AIによる出力結果は参考情報であり、内容の正確性・完全性を保証するものではありません。最終的な判断はお客様の責任において行っていただきます。 4. AIコパイロット機能に入力された会話は、サービスの提供・改善・不正防止の目的で当事業者のシステム内に保存されますが、AIモデルの学習には使用されません。
8. 外国にある第三者への個人データの提供(第28条)
当事業者は、個人情報保護法第28条に基づき、以下の外国にある第三者に個人データを提供する場合があります。お客様からは、本プライバシーポリシーへの同意およびアカウント登録時の独立した同意取得画面において、当該提供について個別の同意をいただきます。 【提供先】 Anthropic PBC 【提供先の所在国】 アメリカ合衆国(カリフォルニア州サンフランシスコ) 【当該国における個人情報保護制度】 アメリカ合衆国には、EU GDPR のような連邦レベルの包括的な個人情報保護法令は存在しません。州レベルでは、カリフォルニア州消費者プライバシー法(CCPA/CPRA)等が存在し、本人の開示・削除・オプトアウトの権利が認められています。米国は、個人情報保護委員会が「相当措置を継続的に講ずるに足りる体制を整備している国」として規則で指定した国ではありません。 【提供先が講ずる個人情報の保護のための措置】 ・当事業者は、Anthropic PBCが公表するCommercial Terms of Service、Usage Policies、およびPrivacy Policyを適用対象として本サービスを提供しています。現時点において、当事業者とAnthropic PBCとの個別のデータ処理契約(DPA)およびZero Data Retention契約は締結していません。 ・上記Commercial Termsに基づき、APIを通じて送信された入出力データはAnthropicの生成AIモデルの学習には利用されません。 ・Anthropic PBCは SOC 2 Type II 認証を取得しており、通信時はTLS 1.2以上、保存時はAES-256で暗号化されます。 ・Anthropic PBCは、APIを通じて送信された入出力データを、不正利用検知の目的で最大30日間保持します(Commercial Termsのデフォルト)。 ・Anthropic PBCの個人情報保護措置の詳細は、同社のTrust Center(https://trust.anthropic.com)をご参照ください。 【提供する個人データの項目】 AIコパイロット機能における会話内容、および本サービスにアップロードされた業務文書(請求書、納品書、電力明細等)のうちClaudeによる解析対象となる部分。アカウント情報(氏名、メールアドレス、会社名等)は原則としてAnthropic PBCに提供しません。 【同意の撤回】 お客様は、いつでもAnthropic PBCへの個人データ提供に対する同意を撤回することができます。同意撤回後はClaudeによる推論機能をご利用いただけなくなりますが、Gemini・Document AIを用いた他の機能は引き続きご利用いただけます。同意撤回のご要望は privacy@scxaudit.com までご連絡ください。
9. データの保有期間と削除
1. アカウント情報:アカウント削除後90日以内に削除します。 2. 利用ログ・アクセスログ:取得から13ヶ月間保存後、削除します。 3. 業務データ(アップロード文書、抽出ESGデータ):ご契約期間中は保存し、解約後90日以内に削除します。ただし、お客様が法令上の保管義務(税法7年、電子帳簿保存法等)の対象として保存を希望される場合は、別途合意のうえ保存期間を延長します。 4. WORM監査証跡:改竄防止のため、法令上の保管期間中は技術的に削除できません(第12条のお客様の権利に関する制限事項をご参照ください)。保管期間経過後は、お客様の書面による請求により削除します。 5. Anthropic PBCに提供された個人データ:Anthropic Commercial Terms of Serviceのデフォルトに基づき、Anthropic PBCはAPIを通じて送信された入出力データを、不正利用検知の目的で最大30日間保持後、自社ポリシーに従い削除します。 6. 日次でWORM監査台帳の全体をSHA-256チェーンハッシュで連結し、改竄検知を可能としています。外部ブロックチェーンへのMerkleルートアンカリング機能については実装を完了しており、将来的に本番稼働を予定しています。
10. 個人情報の安全管理措置(第23条)
当事業者は、個人情報の漏洩、滅失、毀損を防止するため、以下の安全管理措置を講じています。 【組織的安全管理措置】 ・個人情報取扱責任者の設置(当事業者代表が兼任) ・個人情報取扱規程の整備と運用 ・個人情報保護に関する自己点検の実施 【技術的安全管理措置】 ・ロールベースアクセス制御(RBAC)によるアクセス権限の管理 ・PostgreSQL Row Level Securityによるテナント分離 ・通信暗号化(TLS 1.3)およびデータ暗号化(AES-256、Fernet、Google Cloud KMS) ・SHA-256チェーンハッシュによるWORM監査台帳(UPDATE/DELETE不可のappend-only構造) ・AIコパイロットに対する多層的PII除去処理(入力サニタイザーおよび出力ゲート) ・アクセスログの取得と定期レビュー 【今後実装予定の措置(Phase 1A)】 ・外国への送信経路に対するアクセス制御(Anthropic PBC向け送信のみ許可リストで制限し、他の米国宛通信を遮断) ・越境移転の監査ログ取得(いつ・どのデータが米国に送信されたかを WORM 台帳に記録) これらの措置は、本サービスの正式ローンチ前(Phase 1A)までに実装完了を予定しています。 【物理的安全管理措置】 ・Google Cloud Platformのデータセンターセキュリティに準拠 ・業務用端末の暗号化(ディスク暗号化、画面ロック) 【外的環境の把握】 ・業務委託先が所在する国(第5条・第8条参照)における個人情報保護制度について定期的に把握し、必要な安全管理措置を講じています。
11. 要配慮個人情報・仮名加工情報・匿名加工情報の取扱い
1. 当事業者は、要配慮個人情報(人種、信条、社会的身分、病歴、犯罪の経歴等)を原則として取得しません。お客様が業務データの中に要配慮個人情報を含めないよう留意してください。 2. 当事業者は、本サービスにおいて仮名加工情報または匿名加工情報を作成した場合、個人情報保護法第41条・第43条に基づき適切に取り扱います。作成した場合には別途開示します。 3. WORM監査台帳上の記録は、個人を識別する情報を仮名化しています。アカウント削除時には仮名と実ユーザーを結びつけるマッピングテーブルがCASCADE削除され、以後の仮名からの個人特定を暗号学的に不可能にします(暗号学的シュレッディング)。
12. お客様の権利(第33条〜第37条)
お客様は、個人情報保護法に基づき、以下の権利を行使することができます。 ・保有個人データの開示請求(第33条) ・保有個人データの訂正・追加・削除の請求(第34条) ・保有個人データの利用停止・消去の請求(第35条第1項) ・保有個人データの第三者提供の停止の請求(第35条第3項) ・外国にある第三者への提供に関する同意の撤回(第8条参照) 上記の請求は、privacy@scxaudit.com までご連絡ください。ご本人確認の上、法令に基づき原則として2週間以内(最大30日以内)に対応いたします。 【削除の制限事項】 システム監査ログに記録されたIPアドレスおよびUser-Agent情報、ならびにWORM監査台帳上の記録は、法令遵守および不正防止を目的として第35条第2項ただし書に基づき、保管期間中は削除請求の対象外となります。ただし、第11条第3項の仕組みにより、アカウント削除時点で以後の個人特定は不可能となります。
13. Cookieおよびブラウザ内データストレージ
当事業者は、以下の目的でCookieおよびブラウザ内ストレージを使用します。 【必須Cookie】 ・セッション管理(ログイン状態の維持) — HttpOnly, Secure, SameSite=Lax ・言語設定(NEXT_LOCALE) — 有効期間1年、個人情報を含まない 【セッショントークン(JWT)】 ・認証トークンにはメールアドレス、氏名、テナントID、ロール等が含まれます。HS256で署名されていますが暗号化はされておらず、クライアント側で内容確認が可能です。 【ブラウザ内ストレージ】 ・localStorage:UIテーマ設定のみ(個人情報を含まない) ・IndexedDB:オフライン機能利用時、送信待ちデータをAES-256-GCM + RSA-OAEP-2048で暗号化のうえ一時保存。オンライン復帰後の同期完了により自動削除 【トラッキング】 ・サードパーティの広告トラッキングCookieおよび第三者解析サービスは使用しません。 ブラウザの設定によりCookieを無効にすることができますが、一部の機能がご利用いただけなくなる場合があります。
14. 本プライバシーポリシーの変更
当事業者は、法令の変更やサービスの変更に伴い、本プライバシーポリシーを変更する場合があります。重要な変更(業務委託先の追加、データ保管地の変更、外国にある第三者への提供、保有期間の延長等)については、効力発生日の30日前までにサービス内通知またはメールにてお知らせします。
15. お問い合わせ窓口
個人情報の取扱いに関するお問い合わせ、開示等請求、苦情につきましては、以下の窓口までご連絡ください。 個人情報取扱責任者:前川クリストファー海 メール:privacy@scxaudit.com 当事業者の個人情報の取扱いに関して、個人情報保護委員会(https://www.ppc.go.jp)に苦情を申し立てることもできます。
事業者:前川クリストファー海(屋号:SCX Audit Vault)
所在地および電話番号については、ご請求により遅滞なく開示いたします。
本ポリシーに関するお問い合わせは privacy@scxaudit.com までご連絡ください。