プライバシーポリシー

株式会社マーズスピリット（以下「当社」といいます）は、当社が提供する、製品マニュアル等に基づくカスタマーサポートAIチャットサービス「ズバッとSupport」（以下「本サービス」といいます）の提供にあたり、利用者の個人情報の保護に関して、以下のとおりプライバシーポリシー（以下「本ポリシー」といいます）を定めます。

1. 基本方針

当社は、個人情報の重要性を認識し、個人情報保護法、GDPR（EU一般データ保護規則）その他の関連法令を遵守し、個人情報の適切な取扱いに努めます。また、AIサービスの特性を踏まえ、透明性、公平性、説明可能性を重視したデータ処理を実施します。

2. 個人情報の定義

本ポリシーにおいて「個人情報」とは、個人情報保護法に定める個人情報及びGDPRに定める個人データを指します。

3. 収集する個人情報

3.1 収集する個人情報の種類

当社は、本サービスの提供にあたり、以下の個人情報を収集いたします。

情報の種類	具体的な内容	収集方法
利用者情報	ビジネスメールアドレス	利用者からの提供
利用ログ	アクセス日時、IPアドレス、利用機能	自動収集
問い合わせ情報	お問い合わせ内容、対応履歴	エンドユーザーからの直接提供
エンドユーザー情報	IPアドレス、チャット履歴、LINE識別情報（LINE連携時）	自動収集 / LINE連携時に取得

3.2 収集しない情報

当社は、以下の情報は原則として収集いたしません。

• 氏名、住所、電話番号等の個人を特定する情報
• 個人のプライベートメールアドレス
• 機微情報（思想、信条、病歴等）

4. 個人情報の利用目的

4.1 主な利用目的

当社は、収集した個人情報を以下の目的で利用いたします。

1. 本サービスの提供

• ユーザー認証・アカウント管理
• AIチャット機能の提供
• サービス利用状況の管理

2. サポート・カスタマーサービス

• お問い合わせ対応
• 技術的サポートの提供
• 障害・メンテナンス情報の通知

3. サービス改善・開発

• サービス品質の向上
• 新機能の開発・検討
• 利用統計の作成（個人を特定しない形式）

4. 契約管理・請求

• 契約内容の管理
• 利用料金の請求・決済

4.2 利用目的の変更

利用目的を変更する場合は、関連性を有すると合理的に認められる範囲内で行い、変更内容を利用者に通知又は公表いたします。

5. 個人情報の第三者提供

5.1 第三者提供の制限

当社は、以下の場合を除き、個人情報を第三者に提供いたしません。

1. 利用者の同意がある場合
2. 法令に基づく場合
3. 人の生命、身体又は財産の保護のために必要がある場合
4. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合
5. 国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合

5.2 業務委託先への提供

当社は、業務の一部を外部に委託する場合があります。この場合、委託先との間で適切な個人情報保護に関する契約を締結し、必要かつ適切な監督を行います。

主な委託先：

• システム開発・保守業者
• クラウドサービス提供者（詳細は「6. 第三者サービスの利用」参照）

6. 第三者サービスの利用

6.1 利用する第三者サービス

本サービスの提供にあたり、以下の第三者サービスを利用しており、これらのサービスに個人情報が送信される場合があります。

サービス	提供者	利用目的	送信される情報
Google Cloud Platform	Google LLC	システム基盤・認証	メールアドレス、利用ログ
Firebase Authentication	Google LLC	ユーザー認証	メールアドレス
MongoDB Atlas	MongoDB, Inc.	データベース	メールアドレス、利用ログ
Cohere API	Cohere Inc.	検索結果スコアリング	質問内容、製品マニュアルファイル内容
OpenAI API	OpenAI L.L.C.	ベクトル化・AI応答生成	質問内容、製品マニュアルファイル内容
Gemini API	Google LLC	ベクトル化・AI応答生成・マルチモーダル解析	質問内容、製品マニュアルファイル内容（図表・画像含む）
LINE Messaging API	LINEヤフー株式会社	LINE連携機能	LINE識別情報、チャット内容

6.2 第三者サービスのプライバシーポリシー

各第三者サービスの個人情報取扱いについては、以下のプライバシーポリシーをご参照ください。

• Google Cloud Platform・Firebase・Gemini API: https://policies.google.com/privacy
• MongoDB Atlas: https://www.mongodb.com/legal/privacy-policy
• Cohere API: https://cohere.com/privacy
• OpenAI API: https://openai.com/privacy/
• LINE Messaging API: https://line.me/ja/terms/policy/

6.3 国際的なデータ移転について

データ移転先国

本サービスの提供にあたり、エンドユーザーの個人情報は以下の国・地域に移転される場合があります。

移転先国	サービス提供者	移転データ	適法化措置
アメリカ合衆国	Google LLC, OpenAI L.L.C., Cohere Inc.	利用ログ、チャット内容	SCCs + 追加保護措置
アメリカ合衆国	MongoDB, Inc.	利用者情報、利用ログ	SCCs + 追加保護措置

適法化措置

データの国際移転にあたっては、以下の保護措置を講じています。

• 標準契約条項（SCCs）の締結
• 追加的な技術的・組織的保護措置の実施
• 移転先の法的環境の定期的な評価
• データ最小化による移転データの限定

GDPR準拠措置

EU居住者のデータについてはGDPR第44条以降の規定に従い以下の措置を講じています。

• 十分性認定の状況継続監視
• 移転影響評価（TIA）の実施
• 緊急時のデータ保護計画

6.4 LLMサービスへの情報送信について

送信される情報

• エンドユーザーからのチャット質問内容
• アップロードされた製品マニュアルファイルの内容（テキスト・図表・画像を含む）
• 登録されたQ&Aデータ

送信されない情報

• メールアドレス等の個人識別情報
• ユーザーのアカウント情報
• 利用ログ・アクセス履歴

7. データ保護の技術的仕組み

7.1 自動データ整合性保証

当社では、以下の技術的措置によりデータの整合性と復旧可能性を保証しています。

自動整合性チェック

• ファイルとベクターデータ間の1時間毎同期確認
• 差分検出時の自動アラート・修復
• 利用者への通知（重要な差分検出時）

データ保護アーキテクチャ

• 主要データソース：MongoDB Atlas（ファイル・メタデータ）
• 派生データ：ChromaDB（ベクトルデータ）
• 復旧方法：ファイルソースからの自動再ベクトル化
• データ損失リスク：実質ゼロ（ファイル保護により保証）

7.2 暗号化・セキュリティ

通信暗号化

• 全通信でTLS 1.2以上を使用（Google Cloud Platform統一環境）
• API通信の暗号化（すべての第三者サービス）

データ暗号化

• MongoDB Atlas：AES-256保存時暗号化（強制有効）
• ファイルストレージ：Google Cloud Platform標準AES-256暗号化
• ベクターデータベース：Google Compute Engine AES-256ディスク暗号化

8. 利用者の皆様へのお願い

8.1 チャット利用時の注意事項

本サービスのAIチャット機能では、質問内容がLLMサービス（AI）に送信されて処理されます。以下の点にご注意ください。

チャットに含めないでください

• 個人名、住所、電話番号等の個人情報
• 社会保障番号、マイナンバー等の機微な識別情報
• クレジットカード番号等の決済情報

推奨される質問例

• 「この製品の操作方法を教えてください」
• 「エラーコードE-03が表示されています。対処法は？」
• 「配線図の接続方法について教えてください」

8.2 製品マニュアルファイルについて

アップロードする製品マニュアルファイルに個人情報が含まれている場合、それらの情報もLLMサービスで処理される可能性があります。ファイルアップロード前に内容をご確認ください。

8.3 Q&Aデータについて

管理者が作成・編集するQ&Aデータに個人情報が含まれている場合、それらの情報もLLMサービスで処理される可能性があります。Q&Aデータの登録・編集前に内容をご確認ください。

Q&Aデータに含めないでください

• 個人名、住所、電話番号等の個人情報
• 社会保障番号、マイナンバー等の機微な識別情報
• クレジットカード番号等の決済情報

9. 個人情報の保管期間

9.1 保管期間の原則

当社は、利用目的の達成に必要な期間に限り個人情報を保管いたします。

9.2 具体的な保管期間

情報の種類	保管期間
利用者情報	契約終了から1年間
利用ログ	取得から2年間
問い合わせ情報	対応完了から3年間
チャット履歴	契約期間中 + 1年間
ベクトルデータ	契約期間中（ファイルから再生成可能）

9.3 保管期間経過後の処理

保管期間経過後は、個人情報を適切に削除又は匿名化いたします。

10. 安全管理措置

10.1 技術的安全管理措置

当社は、個人情報の漏洩、滅失又は毀損の防止その他の個人情報の安全管理のため、以下の措置を講じます。

• アクセス制御: 個人情報へのアクセス権限の適切な管理
• 暗号化: 個人情報の暗号化による保護
• ログ監視: システムアクセスログの監視・記録
• セキュリティ更新: システムの定期的なセキュリティ更新

10.2 組織的安全管理措置

• 個人情報保護責任者の設置
• 従業員への個人情報保護教育の実施
• 個人情報取扱規程の策定・運用

10.3 人的安全管理措置

• 従業員との秘密保持契約の締結
• 個人情報取扱いに関する定期研修の実施

11. 個人情報の開示・訂正・削除等

11.1 権利の詳細

利用者は、当社に対して以下の請求を行うことができます。

基本的権利

1. 開示権：保有個人情報の開示
2. 訂正権：保有個人情報の訂正・追加・削除
3. 利用停止権：保有個人情報の利用停止・消去・第三者提供の停止
4. データポータビリティ権：構造化されたデータの取得・移転

AIサービス特有の権利

5. AI学習除外権：機械学習への利用拒否選択
6. 説明請求権：AI判断根拠の説明要求
7. バイアス異議申立権：不公平な処理への異議申立

11.2 データポータビリティ権の詳細

対象データ

• 利用者が提供したファイル・メタデータ
• 管理者が作成・編集したQ&Aデータ
• チャット履歴（質問・回答セット）
• 利用設定・プリファレンス

提供形式

• JSON形式：構造化された機械読取可能形式
• CSV形式：表形式データ（要望に応じて）
• 原本形式：アップロードファイルの原本

提供方法

• セキュアダウンロードリンク（期限付き）
• 第三者サービスへの直接転送（技術的に可能範囲内）

11.3 削除権の詳細手続き

削除対象の分類

データ種別	削除方法	完了時期	証明書発行
ファイル・メタデータ	MongoDB Atlasからの削除	24時間以内	発行
Q&Aデータ	MongoDB Atlasからの削除	24時間以内	発行
ベクトルデータ	ChromaDB削除 + 自動検証	48時間以内	発行
ログデータ	匿名化処理	7日以内	発行

削除の制限事項

• 法的保存義務のあるデータ
• 他の利用者の権利に影響するデータ
• セキュリティ・不正利用防止のため必要なログ

11.4 請求方法

開示等の請求は、以下の方法で行ってください。

請求先: contact@mars-spirit.co.jp

必要事項:

• 利用者企業名
• 担当者名・連絡先
• 請求内容（開示・訂正・削除等）
• 請求理由

11.5 本人確認

請求の際は、利用者であることを確認するため、契約書記載の担当者からのご連絡をお願いいたします。

11.6 回答期間

請求内容に応じて以下の期限で対応いたします。

• 簡易な開示請求：2週間以内（営業日計算）
• 複雑な開示請求：1ヶ月以内（営業日計算）
• 削除・訂正請求：3週間以内（営業日計算）
• データポータビリティ：3週間以内（営業日計算）
• 緊急を要する削除：平日48時間以内

12. Cookie等の利用

12.1 Cookieの利用目的

当社は、本サービスにおいて、利用者の利便性向上のため以下の目的でCookieを利用する場合があります。

• ログイン状態の維持
• 利用者設定の保存
• サービス利用状況の分析

12.2 Cookieの管理

Cookieの利用を希望されない場合は、ブラウザの設定により無効にすることができます。ただし、一部機能がご利用いただけない場合があります。

13. AIサービスの公平性・透明性

13.1 AI処理の透明性

使用するAIモデル

• OpenAI GPT：ベクトル生成・テキスト生成・質問応答
• Cohere：信用度スコアリング
• Google Gemini：ベクトル化・テキスト生成・質問応答・マルチモーダル解析（図表・画像理解）

処理の仕組み

• 質問内容の分析・理解
• 関連する製品マニュアルの検索（テキスト・図表・画像を含む）
• マルチモーダル解析による図表・画像情報の理解
• 文脈に応じた回答生成
• 信頼度スコアの算出

13.2 公平性・バイアス対策

実施している対策

• 定期的なバイアス検査（半年毎を基本とし、重要な変更時は追加実施）
• 継続的な改善サイクル

バイアス検出時の対応

• 該当機能停止（必要に応じて）
• 原因分析・対策検討
• 改善措置の実施
• 利用者への報告

13.3 利用者による品質向上

フィードバック機能

• 回答評価：満足／いいえの2段階評価システム
• 改善提案：具体的な改善要望受付
• バイアス報告：不適切な回答の報告

フィードバックの活用

• 匿名化後のサービス改善活用
• 統計データとしての品質評価
• バイアス対策の効果測定

14. 緊急時・インシデント対応

14.1 データ侵害時の対応

検知・報告体制

• 24時間365日自動監視体制
• 営業時間内2時間以内の初期対応開始
• 営業時間外は翌営業日開始時から4時間以内の対応開始
• 4時間以内の影響範囲特定（営業時間内）

法的報告義務

報告先	報告期限	報告条件
個人情報保護委員会	72時間以内	高リスクの侵害
GDPR監督当局	72時間以内	EU居住者データ影響時
影響を受ける利用者	遅滞なく	高リスクの侵害

14.2 システム障害時のデータ保護

自動保護措置

• データ整合性チェックの継続実行
• 自動バックアップの安全性確認
• 復旧プロセスの自動実行

15. 個人情報保護に関する苦情・相談

15.1 当社への苦情・相談

個人情報の取扱いに関する苦情・相談は、以下までご連絡ください。

15.2 外部相談機関

個人情報の取扱いに関して当社への相談で解決しない場合は、以下の機関にご相談いただけます。

個人情報保護委員会

個人情報保護法に関する苦情の申出先
電話: 03-6457-9849
ウェブサイト: https://www.ppc.go.jp/

国民生活センター

消費者ホットライン: 188（いやや）
ウェブサイト: https://www.kokusen.go.jp/

16. プライバシーポリシーの変更

16.1 変更の通知

当社は、本ポリシーを変更する場合があります。重要な変更については、利用者企業に対し電子メール等により事前に通知いたします。

16.2 軽微な変更

法令の改正等に伴う軽微な変更については、当社Webサイトへの掲載により通知に代えることがあります。

17. 適用範囲

本ポリシーは、当社が提供する「ズバッとSupport」サービスにのみ適用されます。

18. 準拠法

本ポリシーは、日本法に準拠し、日本法に従って解釈されます。

19. お問い合わせ窓口

個人情報の取扱いに関するお問い合わせは、以下までご連絡ください。