プライバシーポリシー

1. はじめに

合同会社毘沙門坂（以下「当社」）は、クラウド経営管理サービス「GSTA」（以下「本サービス」）の提供にあたり、ユーザーの個人情報の保護を重要な責務と認識し、以下のとおりプライバシーポリシーを定めます。

2. 収集する情報

2.1 アカウント情報

• 氏名（管理者・従業員）
• メールアドレス
• 電話番号
• 法人名・屋号
• 事業所所在地

2.2 業務データ

• 作業記録・工数データ
• 売上・原価・利益に関するデータ
• 人件費・給与に関するデータ
• 顧客情報（車両情報、連絡先等）
• 現場写真

2.3 利用ログ

• ログイン日時・IPアドレス
• 使用デバイス・ブラウザの種類
• サービス内の操作ログ

2.4 決済情報

クレジットカード情報は当社では直接取り扱いません。決済処理はStripe, Inc.（PCI DSS Level 1認定）が行い、当社のサーバーにカード情報が保存されることはありません。

3. 情報の利用目的

収集した情報は、以下の目的で利用します。

1. 本サービスの提供・運営・改善
2. ユーザーからの問い合わせへの対応
3. 利用料金の請求
4. AI機能（経営分析・異常検知・コーチング等）の実行
5. サービスの利用状況の統計的分析（個人を特定しない形で）
6. サービスに関する重要なお知らせ（メンテナンス、規約変更等）の通知
7. 不正アクセスの検知・対策

4. AI機能における データの取り扱い

1. 本サービスのAI機能（Google Gemini API）は、ユーザーの業務データを分析して経営助言を生成します。
2. AIへの送信データは一時的な処理にのみ使用され、AIモデルの学習には使用されません。
3. 匿名ヒアリング機能では、従業員の発言内容は匿名化処理を経た要約のみが管理者に共有され、原文は管理者を含む誰も閲覧できません。

5. データの保存と保護

1. 保存場所: Google Cloud Platform（Firebase）上に暗号化して保存します。データセンターはアジアリージョンを使用します。
2. 暗号化: 通信はTLS 1.2以上で暗号化し、保存データはAES-256で暗号化します。
3. アクセス制御: テナントごとにデータが完全に分離されており、他のテナントからのアクセスは技術的に不可能です。
4. バックアップ: データは自動的にバックアップされ、災害時の復旧に備えています。

6. 第三者への提供

当社は、以下の場合を除き、ユーザーの個人情報を第三者に提供しません。

• ユーザーの同意がある場合
• 法令に基づき開示が必要な場合
• 人の生命・身体または財産の保護のために必要がある場合
• サービス提供に必要な外部サービスとの連携（以下参照）

利用する外部サービス

7. Cookieの使用

1. 当社のウェブサイトでは、利便性の向上およびアクセス解析のためにCookieを使用します。
2. ユーザーはブラウザの設定によりCookieの受け入れを拒否できますが、その場合、本サービスの一部機能が利用できなくなる場合があります。

8. ユーザーの権利

ユーザーは以下の権利を有します。

• 開示請求: 当社が保有する個人情報の開示を求めることができます。
• 訂正請求: 個人情報の内容に誤りがある場合、訂正を求めることができます。
• 削除請求: 個人情報の削除を求めることができます。
• データエクスポート: 本サービスに保存されたデータのエクスポートを求めることができます。

上記の請求は、下記お問い合わせ窓口までご連絡ください。

9. データの保持期間

• アカウント有効期間中: すべてのデータを保持します。
• 解約後: 30日間データを保持した後、完全に削除します。
• 法令により保持が義務付けられるデータは、法定期間保持します。

10. 未成年者の個人情報

本サービスは法人・個人事業主向けであり、18歳未満の方の利用を想定していません。18歳未満の方が個人情報を提供した場合、保護者の方は当社にご連絡いただければ速やかに削除いたします。

11. プライバシーポリシーの変更

当社は、法令の改正やサービス内容の変更に応じて、本プライバシーポリシーを改定することがあります。重要な変更がある場合は、サービス内またはメールで通知します。

12. お問い合わせ窓口