プライバシーポリシー

1. 取得する情報

本サービスは、以下の情報を取得します。

• アカウント情報：氏名、メールアドレス、所属組織名、ロール
• 利用者データ：物件・テナント・契約・請求・費用・修繕等、 本サービスにアップロードされた業務データ
• 操作ログ：監査ログ、ログイン履歴、IP アドレス、UserAgent
• 利用状況：ページ閲覧、機能利用、エラー発生

2. 利用目的

取得した情報は、以下の目的のためにのみ利用します。

• 本サービスの提供・運営・障害対応・セキュリティ
• 機能改善・新機能開発（個人を特定しない統計的な利用分析）
• 監査・法令遵守
• 利用者へのサポート対応・重要なお知らせの送付

3. データの分離（マルチテナント）

本サービスはデータベースの Row-Level Security により、組織（テナント）間の データを物理的・論理的に分離しています。組織を跨いだデータの参照・処理は、 利用者・当社のいずれによっても行えません。

4. AI 処理

本サービスは、PDF・Excel 等の文書を解析するため、利用者がアップロードした ドキュメントを OpenAI 等の LLM プロバイダに送信する場合があります。 送信内容は当該事業者の定める利用規約・プライバシーポリシーに従って処理され、 学習目的での利用は無効化（オプトアウト）されています。

AI 抽出結果には HITL（人間による承認）を必ず挟むため、AI 単独で利用者データを 書き換えることはありません。

5. 第三者提供

以下の場合を除き、利用者データを第三者に提供しません。

• 利用者の事前同意がある場合
• 法令に基づく開示要請に応じる場合
• 業務委託先（クラウドインフラ・LLM プロバイダ等）に必要最小限の範囲で 提供する場合（当該委託先には適切な秘密保持義務を課しています）

6. 保管期間

利用者データは、利用者がアカウントを削除するまで、または法令で定められた 保管期間（電子帳簿保存法等）が満了するまで保存します。論理削除（soft-delete） されたデータは 30 日経過後に物理削除されます。

監査ログは 不変ログとして、利用者・当社のいずれもが 編集・削除できません。これは説明責任を担保するためであり、法令・規制対応上 必要な期間（最大 7 年）保管します。

7. セキュリティ

• 通信経路は TLS 1.2 以上で暗号化
• 保存時の暗号化は Supabase インフラのデフォルト暗号化を利用
• パスワードは bcrypt 系アルゴリズムでハッシュ化、平文保管なし
• セッショントークンは HttpOnly Cookie + 署名付き
• 原本ドキュメントへのアクセスは閲覧ログ（document_access_log）を残します

8. 利用者の権利

利用者は、自己の個人情報について、以下の権利を有します。当社窓口（お問い合わせ）よりお申し出ください。

• 開示請求
• 訂正請求
• 削除請求（法令上の保管義務がある場合を除く）
• 利用停止請求

9. Cookie の利用

本サービスはセッション維持・利用者設定の保存・セキュリティ目的で Cookie を 利用します。広告目的の Cookie は使用しません。

10. 改定

本ポリシーは予告なく改定する場合があります。重要な変更については利用者へ 事前に通知し、本ページにて施行日を明示します。