株式会社ジャパゲートシステムズ（以下、「当社」といいます。）は、本ウェブサイト上で提供するサービス（以下、「本サービス」といいます。）における、ユーザーの個人情報の取扱いについて、以下のとおりプライバシーポリシー（以下、「本ポリシー」といいます。）を定めます。

第1条（個人情報）

「個人情報」とは、個人情報保護法にいう「個人情報」を指すものとし、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、住所、電話番号、連絡先その他の記述等により特定の個人を識別できる情報及び容貌、指紋、声紋にかかるデータ、及び健康保険証の保険者番号などの当該情報単体から特定の個人を識別できる情報（個人識別情報）を指します。

第2条（個人情報の収集方法）

当社は、ユーザーが利用登録をする際に氏名、生年月日、住所、電話番号、メールアドレス、銀行口座番号、クレジットカード番号、運転免許証番号などの個人情報をお尋ねすることがあります。また、ユーザーと提携先などとの間でなされたユーザーの個人情報を含む取引記録や決済に関する情報を、当社の提携先（情報提供元、広告主、広告配信先などを含みます。以下、「提携先」といいます。）などから収集することがあります。

また、ユーザーの本サービスの閲覧履歴や購買履歴、アクセス状況などの情報を収集することがあります。

第3条（個人情報を収集・利用する目的）

当社が個人情報を収集・利用する目的は、以下のとおりです。

• 当社サービスの提供・運営のため
• ユーザーからのお問い合わせに回答するため（本人確認を行うことを含む）
• ユーザーが利用中のサービスの新機能、更新情報、キャンペーン等及び当社が提供する他のサービスの案内のメールを送付するため
• メンテナンス、重要なお知らせなど必要に応じたご連絡のため
• 利用規約に違反したユーザーや、不正・不当な目的でサービスを利用しようとするユーザーの特定をし、ご利用をお断りするため
• ユーザーにご自身の登録情報の閲覧や変更、削除、ご利用状況の閲覧を行っていただくため
• 有料サービスにおいて、ユーザーに利用料金を請求するため
• ユーザーが取得または指定したYouTube動画等のコンテンツを、当社が記事コンテンツ生成機能の提供・改善のために必要な範囲で参照・処理するため
• 上記の利用目的に付随する目的

第4条（利用目的の変更）

当社は、利用目的が変更前と関連性を有すると合理的に認められる場合に限り、個人情報の利用目的を変更するものとします。 利用目的の変更を行った場合には、変更後の目的について、当社所定の方法により、ユーザーに通知し、または本ウェブサイト上に公表するものとします。

第5条（個人情報の第三者提供）

当社は、次に掲げる場合を除いて、あらかじめユーザーの同意を得ることなく、第三者に個人情報を提供することはありません。ただし、個人情報保護法その他の法令で認められる場合を除きます。

• 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
• 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
• 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
• 予め次の事項を告知あるいは公表し、かつ当社が個人情報保護委員会に届出をしたとき
  • 利用目的に第三者への提供を含むこと
  • 第三者に提供されるデータの項目
  • 第三者への提供の手段または方法
  • 本人の求めに応じて個人情報の第三者への提供を停止すること
  • 本人の求めを受け付ける方法

前項の定めにかかわらず、次に掲げる場合には、当該情報の提供先は第三者に該当しないものとします。

• 当社が利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合
• 合併その他の事由による事業の承継に伴って個人情報が提供される場合
• 個人情報を特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人情報の項目、共同して利用する者の範囲、利用する者の利用目的および当該個人情報の管理について責任を有する者の氏名または名称について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置いた場合

第6条（個人情報の開示）

当社は、本人から個人情報の開示を求められたときは、本人に対し、遅滞なくこれを開示します。ただし、開示することにより次のいずれかに該当する場合は、その全部または一部を開示しないこともあり、開示しない決定をした場合には、その旨を遅滞なく通知します。なお、個人情報の開示に際しては、1件あたり1,000円の手数料を申し受けます。

• 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
• その他法令に違反することとなる場合

前項の定めにかかわらず、履歴情報および特性情報などの個人情報以外の情報については、原則として開示いたしません。

第7条（個人情報の訂正および削除）

ユーザーは、当社の保有する自己の個人情報が誤った情報である場合には、当社が定める手続きにより、当社に対して個人情報の訂正、追加または削除（以下、「訂正等」といいます。）を請求することができます。 当社は、ユーザーから前項の請求を受けてその請求に応じる必要があると判断した場合には、遅滞なく、当該個人情報の訂正等を行うものとします。 当社は、前項の規定に基づき訂正等を行った場合、または訂正等を行わない旨の決定をしたときは遅滞なく、これをユーザーに通知します。

第8条（個人情報の利用停止等）

当社は、本人から、個人情報が、利用目的の範囲を超えて取り扱われているという理由、または不正の手段により取得されたものであるという理由により、その利用の停止または消去（以下、「利用停止等」といいます。）を求められた場合には、遅滞なく必要な調査を行います。 前項の調査結果に基づき、その請求に応じる必要があると判断した場合には、遅滞なく、当該個人情報の利用停止等を行います。 当社は、前項の規定に基づき利用停止等を行った場合、または利用停止等を行わない旨の決定をしたときは、遅滞なく、これをユーザーに通知します。 前2項にかかわらず、利用停止等に多額の費用を有する場合その他利用停止等を行うことが困難な場合であって、ユーザーの権利利益を保護するために必要なこれに代わるべき措置をとれる場合は、この代替策を講じるものとします。

第9条（個人情報の安全管理措置）

当社は、ユーザーの個人情報の漏えい、滅失、毀損、不正アクセスその他のリスクから保護するため、個人情報保護法第23条に基づき、組織的、人的、物理的および技術的に必要かつ適切な安全管理措置を講じます。具体的な措置は以下のとおりです。

1. 組織的安全管理措置：個人情報保護管理者を設置し、個人情報の取扱いに関する規程を整備のうえ、運用状況を定期的に点検します。漏えい等の事故が発生した場合の対応手順を整備し、影響を受けるユーザーへの通知および監督官庁への報告体制を確立しています。
2. 人的安全管理措置：個人情報を取り扱う従業員に対し、入社時および定期的に、個人情報保護に関する教育・研修を実施します。就業規則において秘密保持義務を明文化しています。
3. 物理的安全管理措置：個人情報を取り扱う区域への入退室管理、機器・媒体の盗難防止措置を講じます。サーバー等の重要な機器は、24時間監視・生体認証等の物理的セキュリティ対策が講じられたデータセンターに設置します。
4. 技術的安全管理措置：以下を含むセンシティブデータの保護メカニズムを実装します。
   • ユーザーと本サービス間、および本サービスと外部APIサーバー間の通信を、すべてTLS 1.2以上で暗号化します。
   • OAuthアクセストークンおよびリフレッシュトークン等の認証情報は、ブラウザに保存せず、サーバー側データベースに暗号化された状態で保管します。
   • ブラウザに配布するセッションIDは、HttpOnly Secure SameSite=Lax 属性付きのCookieで配布し、JavaScriptからの読み取りを禁止します。
   • 保存データはAES-256で暗号化し、データベースへのアクセスはRow Level Security（RLS）および最小権限の原則により制御します。
   • CSRF攻撃を防止するため、OAuth認可開始時に推測困難なナンスを生成し、コールバック時に定時間比較で検証します。リダイレクト先は同一オリジン相対パスのみを許容し、オープンリダイレクトを阻止します。
   • 取得・処理するデータは、利用目的の達成に必要な範囲に限定（データ最小化）し、外部のAIサービスへの送信時は、生のカレンダーイベント本文・参加者情報・場所情報を含めません。
   • 重要なデータアクセスはアプリケーションログに記録し、定期的に監査します。ログには認証情報の生値を記録しません。

第10条（外部サービス連携における個人情報の取扱い）

当社の提供する日程調整AIは、ユーザーが明示的に許諾した場合に限り、Google および Microsoft の API と連携し、カレンダー情報等を取得・処理します。本条は、当該連携において Google Calendar API および Microsoft Graph API から取得する情報（以下「外部APIユーザーデータ」といいます）の取扱いについて定めます。

1. 取得する外部APIユーザーデータ

• Google：カレンダー一覧（カレンダーID・名前・アクセスロール）、カレンダーイベント（件名・開始/終了時刻・終日フラグ）、Googleアカウントのメールアドレス・表示名
• Microsoft：サインインユーザーのカレンダーとイベント、同一テナント内の参加者のFree/Busy情報、表示名・メールアドレス

2. 利用目的

外部APIユーザーデータは、ユーザーの空き時間検索、参加者との共通空き時間検索、ユーザーが確認画面で明示的に確定した会議予定の作成、その他ユーザーに目に見える機能の提供および改善のためにのみ利用します。

3. Google API Services User Data Policy（Limited Use）への準拠

日程調整AIによる Google API から取得した情報の利用および他のアプリケーションへの移転は、Limited Use 要件を含む Google API Services User Data Policy に従います。

The use and transfer to any other app of information received from Google APIs by 株式会社ジャパゲートシステムズ (Japagate Systems Inc.) will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

具体的には、外部APIユーザーデータについて以下を行いません。

• 広告配信（パーソナライズ広告、リターゲティング広告、関心ベース広告を含む）への利用または転送
• 第三者への販売、データブローカーや情報再販事業者への提供
• 信用調査、与信判断、貸付目的での利用
• AI・機械学習モデル（大規模言語モデルを含む）の学習・改善・訓練への利用
• 本サービスの提供および改善以外の目的でのデータベースの作成
• 上記第3条に定める利用目的および本条第2項に定める利用目的の範囲を超える利用または第三者への移転

当社の従業員その他関係者は、ユーザーから明示的な同意を得た場合、セキュリティ目的（不正アクセス調査・脆弱性対応等）、法令に基づく要請への対応、または個人を特定できない形に加工した集計・統計利用の場合を除き、外部APIユーザーデータを人が閲覧することはありません。

4. 業務委託先（サブプロセッサー）

当社は、日程調整AIの提供のため、以下の業務委託先に外部APIユーザーデータの取扱いを委託します。各委託先との間でデータ処理に関する契約を締結し、本条と同水準の取扱いを確保します。

• Vercel, Inc.（米国）：アプリケーションのホスティング、ログ保管
• Supabase, Inc.（米国）：認証、データベース、OAuthトークンの暗号化保管
• OpenRouter, Inc.（米国）：大規模言語モデル推論API（送信するのはユーザーのチャット入力および空き時間サマリーに限定し、生のカレンダーイベント本文・参加者・場所情報は送信しません）

上記委託先は米国に所在するため、個人情報保護法第28条に基づき、外国にある第三者への提供にあたります。当社は、各委託先における個人情報保護のための体制を確認のうえ提供しています。

5. 外部APIユーザーデータの保有期間と削除

• OAuthアクセストークン・リフレッシュトークンは、ユーザーがカレンダー連携を解除した時点で即時削除されます。連携継続中は、最終利用から30日間保管します。
• カレンダーイベント情報は、サーバー側で永続化せず、リクエスト処理時の一時取得のみ行い、処理完了時にメモリから消去します。
• ユーザー設定（営業時間、営業日等）は、連携解除時に削除されます。
• アプリケーションログは、Vercelログ基盤の自動ローテーションにより30日経過後に削除されます。

6. ユーザーによる連携解除

ユーザーは、いつでも以下のいずれかの方法でカレンダー連携を解除し、当社が保有する関連データの削除を求めることができます。

• 日程調整AIの画面上の「連携解除」ボタンの操作
• Googleアカウントの サードパーティアプリのアクセス管理からの取り消し
• Microsoftアカウントの アプリのアクセス許可からの取り消し
• 上記操作で削除しきれない情報の削除をご希望の場合は、第12条記載の窓口までご連絡ください。30日以内に対応します。

第11条（プライバシーポリシーの変更）

本ポリシーの内容は、法令その他本ポリシーに別段の定めのある事項を除いて、ユーザーに通知することなく、変更することができるものとします。 当社が別途定める場合を除いて、変更後のプライバシーポリシーは、本ウェブサイトに掲載したときから効力を生じるものとします。

第12条（お問い合わせ窓口）

本ポリシーに関するお問い合わせは、下記の窓口までお願いいたします。

Eメールアドレス：koshiba@japagate-systems.com

制定日：2025年12月1日

最終更新日：2026年6月1日

以上