最終更新日:2026年5月24日
本ポリシーは弁護士レビュー前のドラフトです。レビュー完了後に確定版に差し替えます。
本ポリシーは、AI参謀(以下「当社」)が取り扱う個人データ・業務データの保持期間、削除基準、削除リクエスト(Data Subject Request、以下「DSR」)の手順を明確化し、 タイ王国の個人データ保護法(PDPA)、日本の個人情報保護法(APPI)、および参考として欧州一般データ保護規則(GDPR)の原則に整合した運用を確保することを目的とします。 当社サービスに関する利用規約 v2・プライバシーポリシー v2 と整合した用語・運用を採用します。
本ポリシーは、当社が取り扱う個人データ・業務データの保持期間、削除基準、DSR 手順を明確化し、PDPA / APPI / GDPR(参考)に整合した運用を確保することを目的とします。
表 1: データ種別一覧
| 種別 | テーブル / システム | 内容 |
|---|---|---|
| アカウント情報 | User / Tenant | email、name、displayName、role |
| 認証情報 | Account / Session | OAuth トークン、Session ID |
| LINE 連携情報 | User.lineUserId、LineMessage、LineStepSubscription | LINE ユーザー ID、過去メッセージ履歴 |
| 早期警戒 LINE 配信履歴 (F5) | LineEarlyWarningLog(予定) | NEWS Push (F5a) / 経済情報 (F5b) / 労務判例 (F5c) の送信日時・配信ステータス・不達情報 |
| 業務データ (ROI クイック計算 / F1) | Job、ROI 試算結果 | 試算入力値、結果、稟議書 PDF |
| 業務データ (Saki アドバイザー / F2) | CoachingMessage | MD 専属チャットの会話履歴 |
| 業務データ (プレゼンパック / F4) | Proposal | プレゼン内容、生成元データ |
| 業務データ (LINE 日報 / F6) | DailyAchievement、DailyObjective | 日報本文、音声書き起こし、翻訳テキスト |
| 課金情報 | Stripe Customer / Subscription / Invoice | 決済履歴、カード情報 (Stripe Vault) |
| 監査ログ | AuditLog | 権限変更、招待、削除の履歴 |
| 同意記録 | Consent、ConsentDocument | 規約同意の証跡 |
| クォータ | UserQuota、QuotaAddon、QuotaUsage | 機能利用状況 |
| Cookie / 解析 | Cookie / GA4 / LinkedIn Insight | アクセス解析 |
| 名刺データ | Sansan エクスポート(ローカル保管) | コールドメール対象 |
表 2: 種別別保持期間 + 法的根拠(「アカウント有効期間中」は契約/利用関係が継続する期間を指します)
| 種別 | 保持期間 | 主な法的・運用上の根拠 |
|---|---|---|
| アカウント情報 | アカウント有効期間中 + 退会後30日 | 契約履行・サービス提供の必要性 (PDPA Sec.24(3) 相当)、目的達成後の削除 (PDPA Sec.39)、APPI 目的限定・最小化原則 |
| 認証情報 (Session) | 最終アクセスから30日 | セキュリティ確保・不正防止 (正当な利益)。Cron による自動失効・削除 |
| 認証情報 (OAuth Refresh Token) | 各 OAuth 提供者の規約に準拠 | 契約履行・連携維持。プロバイダ失効時に当社側トークンも無効化 |
| LINE 連携情報(LINE userId 等) | アカウント有効期間中 + 退会・友だち解除後30日 | 契約履行・同意に基づく連携、目的達成後の削除原則 (PDPA Sec.39) |
| 早期警戒 LINE 配信履歴 (F5) | 配信から 90 日 | 配信品質・不達対応の正当な利益、配信停止処理の確認。期間経過後に自動削除またはアーカイブ |
| 業務データ (ROI クイック計算 / Saki アドバイザー / プレゼンパック / LINE 日報) | アカウント有効期間中 + 退会後30日 | 契約履行・サービス提供、品質向上の正当な利益 (最小化) |
| 人事評価データ (F3 社員カルテ・9-Box 配置・補正後スコア・AI 補助コメント) | アカウント有効期間中 + 退会後30日。 ただし評価対象社員の退職・在籍終了が利用者から登録された時点で、 当該社員のカルテは目的達成として 90 日以内にアーカイブまたは削除 | 契約履行・経営判断支援の正当な利益、 目的達成後の削除原則 (PDPA Sec.39)。 評価対象社員(契約者以外の第三者)に関するデータは目的達成時点で速やかに削除する設計 |
| 課金情報 (決済・請求) | 7年 | 法定保管義務 (日本 法人税法・会社法 等)、タイ会計法・歳入法 (5年) に対し長い方に整合。カード情報は Stripe Vault、当社は非保持 |
| 監査ログ | 5年 | セキュリティ・監査 (PDPA 推奨期間)、紛争対応の正当な利益 |
| 同意記録 | 同意撤回後も7年 | 同意の立証責任 (規制当局対応) |
| クォータ | アカウント有効期間中 + 退会後6ヶ月 | 返金・課金調整のための正当な利益 |
| Cookie / 解析 | ブラウザセッション または 最大13ヶ月 | 同意管理・正当な利益 (解析の最小化)、GDPR 保管制限 (参考)。GA4 標準準拠 |
| 名刺データ (Sansan) | 配信停止申請から6ヶ月 | 再配信防止の抑止リストとしての正当な利益 |
アカウント有効期間中の保持: 契約履行・サービス提供・サポート・セキュリティ維持に必要な範囲で保持します。過剰保持を避け、目的最小化・アクセス制御を実施 (PDPA Sec.39、APPI 目的限定原則、GDPR Art.5(1)(c)(e) 参考)。
退会後の保持期間: 退会または連携解除後は短期の猶予期間 (通常30日、クォータは6ヶ月) を設け、ユーザー都合の復帰や請求・返金調整、不正対策に備えます。猶予期間経過後、本番システム上から削除または匿名化します。
法定保管期間: 会計・税務記録は法令に基づき保存義務があり、当社は国際運用の整合性と監査容易性の観点から、より長い期間 (7年) に統一します。
当社が利用するサブプロセッサ一覧は社内 SOP A-19「サブプロセッサ一覧」(12 社) を参照ください。代表例:
原則として「各社のポリシー・適用法令・当社とのデータ処理契約 (DPA)」に従います。保持期間が当社方針と異なる場合は、必要最小限のデータ移転・保管、削除リクエストの連携、契約上の安全管理措置で整合を図ります。
PDPA (タイ): 目的達成後の削除/匿名化、適切なセキュリティ措置、データ主体の権利 (アクセス、訂正、削除、移行、処理の停止/異議、同意撤回、苦情申立)。当社対応: 第4〜6章の保持・削除基準、30 日以内の DSR 対応、同意記録の保存、監査ログの保全、漏えい時の規制当局・本人通知 (第9章)。
APPI (日本): 利用目的の特定・目的内利用、適正取得・安全管理、第三者提供の制限、保有個人データに関する開示・訂正・利用停止等の請求権。当社対応: 目的限定に沿った最小限保存、法定保存の優先、開示・訂正・利用停止等の請求窓口の明確化 (第5章)。
GDPR (参考): データ最小化・保管制限 (Art.5)、削除権 (Art.17)、データ可搬性 (Art.20) 等。主要顧客圏外であるため参考適用としつつ、合理的な範囲で同等の権利行使に対応。EEA 在住者からの請求は本ポリシーの DSR フローで受付け、必要に応じて追加情報を案内します。
本ポリシーは、関連法令・規制・ガイドラインの改正や当社サービス変更に応じて更新されます。運用詳細 (サブプロセッサ一覧、DSR 内部 SOP、インシデント SOP 等) は社内 SOP A-19・C-14・D-02 を参照ください。