株式会社Atasino(以下「当社」)は、docspi.com(以下「本サービス」)の提供にあたり、 ユーザーの個人情報を以下のとおり取り扱います。本ポリシーは、日本の 個人情報保護法(APPI)および EU 一般データ保護規則(GDPR)に準拠して 策定されています。
1. 収集する個人情報
当社は、本サービスの提供のため、以下の個人情報を収集します:
- 登録情報: 氏名、メールアドレス、所属組織、 プロフィール画像(OAuth 経由で提供される場合を含む)
- 認証情報: Google / GitHub OAuth 連携時の識別子、 パスワード(ハッシュ化、当社平文保有なし)、二要素認証情報
- ユーザーコンテンツ: ユーザーが作成・アップロードした ドキュメント、ツリー構造、コメント、メタデータ
- 利用ログ: IP アドレス、ユーザーエージェント、 アクセス日時、操作履歴、リファラ
- 決済情報: 請求先情報、取引履歴 (カード番号は AtsPayment が PCI-DSS 準拠で保有し当社は保有しません)
- Cookie・トラッキング情報: セッション ID、 プリファレンス、分析データ(同意あり時のみ)
- サポート対応情報: お問い合わせ内容、 サポートチケット履歴
当社は、人種、信条、社会的身分、病歴、犯罪歴等の要配慮個人情報 (個情法第 2 条第 3 項)を意図的に収集することはありません。万一 ユーザーコンテンツに要配慮個人情報が含まれる場合、ユーザーは 当該情報の取扱について自己責任を負うものとします。
2. 利用目的(個情法第 17 条)
当社は、以下の利用目的の達成に必要な範囲で個人情報を取り扱います。 利用目的を変更する場合は、変更後の目的が当初の目的と関連性を 有する範囲を超えないものとし、ユーザーに通知または公表します。
| データ種別 | 利用目的 |
|---|
| 登録情報 | アカウント認証、サービス提供、本人確認、不正利用防止 |
| ユーザーコンテンツ | ドキュメント保存・表示・検索、AI 要約・推薦、 バックアップ、エクスポート機能の提供 |
| 利用ログ | 不正アクセス検知、サービス改善、統計分析(個人を特定しない形式)、 法令遵守の証跡管理 |
| 決済情報 | 課金処理、請求書発行、税務申告、不正取引検知 |
| 連絡先 | 重要なお知らせ、サポート対応、マーケティング(同意がある場合のみ) |
| サポート対応情報 | お問い合わせ対応、サービス品質改善 |
3. 第三者提供(含む海外移転、個情法第 27 条・第 28 条)
第三者提供の原則禁止: 当社はユーザーの個人情報を販売せず、ユーザーの事前同意なく 第三者に提供しません。以下の場合に限り第三者に提供することがあります:
- ユーザーの同意がある場合
- 法令に基づく場合(裁判所命令、捜査機関からの令状に基づく要請等)
- 人の生命・身体・財産の保護のために必要であって、本人の同意取得が困難である場合
- サービス提供のために必要な範囲で第 4 章に記載する第三者プロセッサ(受託先)に 委託する場合(個情法第 27 条第 5 項第 1 号、適切な契約・監督に基づく)
- 合併、買収、事業譲渡等の事業承継が行われる場合(個情法第 27 条第 5 項第 2 号、 事前にユーザーへ通知)
外国にある第三者への提供(個情法第 28 条): 一部の第三者プロセッサは日本国外(米国、EU 等)にデータを保管します。 当社は以下のいずれかの措置を講じた上で海外移転を行います:
- 個人情報保護委員会が指定する個情法相当国(EU 加盟国等)への移転
- 個情法施行規則第 16 条所定の基準に適合する体制を整備した第三者 (委託先と適切な契約を締結し、定期的に履行状況を確認)への移転
- GDPR 標準契約条項(SCC)または同等の保護措置を講じた移転
- 本人の同意に基づく移転(移転先国の制度・第三者の保護措置を本人に提供した上で)
4. 第三者プロセッサ一覧
当社は本サービス提供のため、以下の第三者プロセッサ(委託先)を利用します。 各プロセッサとはデータ処理委託契約(DPA)を締結し、適切な監督を行います。
| プロセッサ | 用途 | 所在地 |
|---|
| Cloudflare Access | CDN・WAF・ゼロトラストアクセス | 米国(グローバル) |
| AtsPayment | 決済処理・請求書発行(PCI-DSS 準拠) | 日本 |
| Resend | トランザクションメール送信 | 米国 |
| Sentry | エラー監視・例外トラッキング | 米国 |
| Datadog | ログ・メトリクス監視 | 米国 |
| GitHub OAuth | SSO 認証 | 米国 |
| Google OAuth | SSO 認証 | 米国(グローバル) |
プロセッサの追加・変更が生じた場合は、本ポリシーを改訂し 第 11 章の改訂履歴に記載します。
5. Cookie・トラッキング
当社は以下の種類の Cookie および類似技術(ローカルストレージ、 ピクセルタグ等)を使用します:
- 必須 Cookie(オプトアウト不可): セッション管理、CSRF 対策、認証、ロードバランシング等 サービス提供に不可欠なもの。GDPR 上は契約履行のための処理(Art. 6(1)(b))に 該当し、同意は不要です。
- 分析 Cookie(オプトアウト可): サービス利用状況の統計分析。ユーザーは Cookie バナーまたは 設定画面から同意の有無を選択でき、いつでも撤回できます。
- マーケティング Cookie(オプトイン): ターゲティング広告・リマーケティングのためのもの。明示的な 同意がある場合のみ使用します。同意はいつでも撤回できます。
ブラウザ設定により Cookie を拒否できますが、必須 Cookie を 無効化した場合は本サービスを正常に利用できない場合があります。
6. データ保管期間
当社は、利用目的の達成に必要な期間、または法令で定められた期間、 個人情報を保管します:
- アカウント情報・ユーザーコンテンツ: アカウント有効期間中。アカウント削除リクエスト受領後、30 日以内に消去します (バックアップからの完全消去は最大 90 日)。
- 決済・取引記録: 法令(特定商取引法、税法、 電子帳簿保存法等)に基づき取引完了から 7 年間保管。
- 利用ログ・監査ログ: 取得から最大 13 ヶ月間保管後、 自動削除または匿名化。
- サポート対応記録: 対応完了から最大 3 年間保管後、削除または匿名化。
- マーケティング同意記録: 同意撤回後も法令上の証跡として最大 3 年間保管。
7. ユーザーの権利(DSR: Data Subject Rights)
ユーザーは個人情報保護法(第 33 条 - 第 39 条)および GDPR (Article 15-22)に基づき、以下の権利を有します:
- 開示請求権(個情法第 33 条 / GDPR Art. 15): 当社が保有する個人情報の開示を請求する権利
- 訂正・追加・削除請求権(個情法第 34 条 / GDPR Art. 16): 不正確な個人情報の訂正・追加を請求する権利
- 削除請求権・忘れられる権利(個情法第 35 条 / GDPR Art. 17): 個人情報の削除を請求する権利
- 利用停止・第三者提供停止請求権(個情法第 35 条 / GDPR Art. 18): 個人情報の利用停止または消去を請求する権利
- データポータビリティ権(個情法第 33 条 / GDPR Art. 20): 個人情報を構造化された機械可読形式(JSON / CSV)で受領する権利
- 異議申立権(GDPR Art. 21): 正当な利益に基づく処理に対し異議を申し立てる権利
- 同意撤回権(GDPR Art. 7(3)): マーケティング Cookie 等の同意をいつでも撤回できる権利
- 自動意思決定への異議権(GDPR Art. 22): プロファイリング等を含む自動意思決定のみに基づく決定の対象とならない権利
- 監督機関への申立権: 個人情報保護委員会または所管 EU 監督機関への申立権
これらの権利を行使する場合は、第 8 章のお問い合わせ窓口までご連絡ください。 当社は、本人確認の上、原則として 30 日以内に回答します。複雑な請求の場合は さらに 30 日延長することがあり、その旨ユーザーに通知します。
8. お問い合わせ窓口
個人情報の取扱に関するお問い合わせは下記までお願いいたします:
事業者: 株式会社Atasino
所在地: 〒100-0005 東京都千代田区丸の内1-8-3 丸の内トラストタワー本館 20階
個人情報保護管理責任者: 藤村 友祥
連絡先: [email protected]
9. GDPR 対応(EU ユーザー向け)
EU/EEA 在住のユーザーに対し、当社は GDPR に基づくデータ管理者 (Data Controller)として行動します。各処理の法的根拠 (Art. 6(1))は以下のとおりです:
- 契約履行(Art. 6(1)(b)): サービス提供に必要な処理(アカウント管理、コンテンツ保存、決済)
- 同意(Art. 6(1)(a)): マーケティング Cookie、ニュースレター、AI 要約等の任意機能
- 正当な利益(Art. 6(1)(f)): セキュリティ確保、不正利用防止、サービス改善(影響評価実施済み)
- 法的義務(Art. 6(1)(c)): 税務記録、法令遵守、監督機関への対応
データ移転については、欧州委員会の標準契約条項(SCC、2021 年版)または 同等の保護措置を講じます。EU 監督機関への苦情申立も可能です。 当社は EU 域内に代理人(Art. 27 representative)を置く必要が生じた場合、 本ポリシーを改訂し連絡先を記載します。
10. 個人情報保護法対応(日本ユーザー向け)
日本在住のユーザーに対し、当社は個人情報保護法(APPI)に基づく 個人情報取扱事業者として、以下を遵守します:
- 利用目的の特定・通知・公表(法第 17 条 - 第 21 条)
- 適正な取得(法第 20 条)
- データ内容の正確性確保・安全管理措置(法第 22 条 - 第 24 条)
- 従業者の監督・委託先の監督(法第 25 条 - 第 26 条)
- 第三者提供の制限・記録(法第 27 条 - 第 30 条)
- 外国にある第三者への提供制限(法第 28 条)
- 本人の権利保障(法第 32 条 - 第 39 条)
- 苦情処理: 個人情報保護委員会 (https://www.ppc.go.jp/)への申立も可能
当社は個人情報の漏えい・滅失・毀損が発生した場合、個情法第 26 条に 基づき個人情報保護委員会への報告および本人通知を遅滞なく行います。
11. 改訂履歴
当社は、必要に応じて本ポリシーを改訂することができます。 重要な変更を行う場合は、本サービス上での通知またはメールにより 事前に告知します。改訂後のポリシーは、当社が指定する効力発生日より 適用されます。
改訂履歴:
- 2026-05-09: 初版(大企業ベース確定版・暫定運用、弁護士監修待ち)