プライバシーポリシー

「個人情報」とは、個人情報保護法にいう「個人情報」を指すものとし、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、住所、電話番号、連絡先その他の記述等により特定の個人を識別できる情報及び容貌、指紋、声紋にかかるデータ、及び健康保険証の保険者番号などの当該情報単体から特定の個人を識別できる情報(個人識別情報)を指します。

1. 当社は、ユーザーが利用登録をする際にメールアドレス、表示名、所属組織名等の個人情報をお尋ねすることがあります。 2. 当社は、ユーザーと取引先との間でなされたユーザーの個人情報を含む取引記録や決済に関する情報を、当社の取引先(情報提供元、広告主、決済代行会社等を含みます。以下「取引先」といいます)などから収集することがあります。

当社が個人情報を収集・利用する目的は、以下のとおりです。 (1) 本サービスの提供・運営のため (2) ユーザーからのお問い合わせに回答するため(本人確認を行うことを含む) (3) ユーザーが利用中のサービスの新機能、更新情報、キャンペーン等及び当社が提供する他のサービスの案内のメールを送付するため (4) メンテナンス、重要なお知らせなど必要に応じたご連絡のため (5) 利用規約に違反したユーザーや、不正・不当な目的でサービスを利用しようとするユーザーの特定をし、ご利用をお断りするため (6) ユーザーにご自身の登録情報の閲覧や変更、削除、ご利用状況の閲覧を行っていただくため (7) 有料サービスにおいて、ユーザーに利用料金を請求するため (8) サービスの改善および新規サービスの開発のため (9) 上記の利用目的に付随する目的

1. 当社は、利用目的が変更前と関連性を有すると合理的に認められる場合に限り、個人情報の利用目的を変更するものとします。 2. 利用目的の変更を行った場合には、変更後の目的について、当社所定の方法により、ユーザーに通知し、または本ウェブサイト上に公表するものとします。

1. 当社は、次に掲げる場合を除いて、あらかじめユーザーの同意を得ることなく、第三者に個人情報を提供することはありません。ただし、個人情報保護法その他の法令で認められる場合を除きます。 (1) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき (2) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき (3) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき 2. 前項の定めにかかわらず、次に掲げる場合は第三者には該当しないものとします。 (1) 当社が利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合 (2) 合併その他の事由による事業の承継に伴って個人情報が提供される場合 (3) 個人情報を特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人情報の項目、共同して利用する者の範囲、利用する者の利用目的および当該個人情報の管理について責任を有する者の氏名または名称について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置いた場合

1. データ保管場所の原則 当社は、ユーザーおよびアンケート回答者の個人情報を、原則として日本国内のクラウドインフラ(具体的には Supabase の Tokyo (ap-northeast-1) リージョン、Vercel の Tokyo (hnd1) リージョン等)で処理・保管します。バックアップおよび一部の付随的な処理(認証メール配信、AI 解析等)については、後述のサブプロセッサ所在国(米国等)で行われる場合があります。 2. サブプロセッサ一覧 当社は、本サービスの提供にあたり、以下のサブプロセッサに個人情報の取扱いを委託します。委託先の選定にあたっては、適切な情報管理体制を有する事業者を選定し、契約等により安全管理措置を講じるよう義務付けます。 (1) Supabase, Inc.(米国本社、データ保管: Tokyo (ap-northeast-1) リージョン)— PostgreSQL データベース、認証、ストレージ (2) Vercel Inc.(米国、エッジ配信および Tokyo (hnd1) リージョン)— ホスティング、エッジ関数 (3) Resend (Substance Labs, Inc.)(米国)— 問い合わせメールおよび認証メールの配信 (4) Google LLC(米国)— Google Tag Manager、Google Analytics 4(同意取得済みの場合のみ) (5) Anthropic, PBC(米国)— Claude API による調査票解析(アップロードされた調査票ファイルは解析後に物理削除されます) (6) Stripe, Inc.(米国)— 有料プランの決済代行 3. 外国にある第三者への提供 上記の一部のサブプロセッサは日本国外(主として米国)に所在します。当社は、外国にある第三者への個人データの提供にあたり、個人情報保護法に定める必要な措置(本人の同意取得、または相当する保護水準の継続的な確保)を講じます。EU/EEA/英国からの個人データ移転の取扱いについては、第14条(EU 在住ユーザー向け補足)に詳細を記載します。

1. 当社は、本人から個人情報の開示を求められたときは、本人に対し、遅滞なくこれを開示します。ただし、開示することにより次のいずれかに該当する場合は、その全部または一部を開示しないこともあり、開示しない決定をした場合には、その旨を遅滞なく通知します。 (1) 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 (2) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合 (3) その他法令に違反することとなる場合 2. 前項の定めにかかわらず、履歴情報および特性情報などの個人情報以外の情報については、原則として開示いたしません。

1. ユーザーは、当社の保有する自己の個人情報が誤った情報である場合には、当社が定める手続きにより、当社に対して個人情報の訂正、追加または削除(以下「訂正等」といいます)を請求することができます。 2. 当社は、ユーザーから前項の請求を受けてその請求に応じる必要があると判断した場合には、遅滞なく、当該個人情報の訂正等を行うものとします。 3. 当社は、前項の規定に基づき訂正等を行った場合、または訂正等を行わない旨の決定をしたときは遅滞なく、これをユーザーに通知します。

1. 当社は、本人から、個人情報が、利用目的の範囲を超えて取り扱われているという理由、または不正の手段により取得されたものであるという理由により、その利用の停止または消去(以下「利用停止等」といいます)を求められた場合には、遅滞なく必要な調査を行います。 2. 前項の調査結果に基づき、その請求に応じる必要があると判断した場合には、遅滞なく、当該個人情報の利用停止等を行います。 3. 当社は、前項の規定に基づき利用停止等を行った場合、または利用停止等を行わない旨の決定をしたときは、遅滞なく、これをユーザーに通知します。 4. 前2項にかかわらず、利用停止等に多額の費用を有する場合その他利用停止等を行うことが困難な場合であって、ユーザーの権利利益を保護するために必要なこれに代わるべき措置をとれる場合は、この代替策を講じるものとします。

本サービスでは、ユーザーの利便性向上およびサービス改善のために Cookie を使用しています。Cookie は、ユーザーがブラウザの設定により受け入れを拒否することができますが、その場合本サービスの一部機能がご利用いただけない場合があります。

本サービスでは、不正利用の防止、サービス品質の改善、利用状況の分析を目的として、ユーザーのIPアドレス、ブラウザの種類、アクセス日時等の情報を取得する場合があります。これらの情報は個人を特定する目的では使用しません。

1. 本ポリシーの内容は、法令その他本ポリシーに別段の定めのある事項を除いて、ユーザーに通知することなく、変更することができるものとします。 2. 当社が別途定める場合を除いて、変更後のプライバシーポリシーは、本ウェブサイトに掲載したときから効力を生じるものとします。

本ポリシーに関するお問い合わせは、下記の窓口までお願いいたします。 社名: 株式会社タレントクラウド 住所: 〒267-0055 千葉県千葉市緑区越智町171 代表者: 代表取締役 寺師岳見 お問い合わせ窓口: 本サービスのお問い合わせフォームよりご連絡ください

本条は、EU/EEA および英国在住のユーザー(以下「EU ユーザー」といいます)による本サービスの利用に対し、EU 一般データ保護規則(Regulation (EU) 2016/679、以下「GDPR」といいます)および UK GDPR の適用がある場合にのみ適用されます。 14.1 データ管理者 (Controller) 本サービスに関する個人データの管理者は、株式会社タレントクラウド (TalentCloud, Inc.) です。連絡先は第13条に記載のとおりです。 14.2 EU 代理人 (Art. 27) 当社は現時点で GDPR 第 27 条に定める EU 代理人を指定していません。EU ユーザーは、本条 14.7 に記載の方法により当社本体に直接お問い合わせいただけます。 14.3 処理の法的根拠 (Art. 6) 当社は以下のいずれかの法的根拠に基づき個人データを処理します。 (1) 契約履行 (Art. 6(1)(b)): サービス提供・料金請求・お問い合わせ対応 (2) 正当な利益 (Art. 6(1)(f)): 不正利用防止、サービス品質改善、集計的な利用状況分析 (3) 同意 (Art. 6(1)(a)): クッキー(必要 Cookie を除く)、アクセス解析、マーケティング関連メール配信 (4) 法的義務の遵守 (Art. 6(1)(c)): 法令・監督当局からの要請への対応 14.4 保管期間 (1) お問い合わせ内容: 返信完了後 2 年 (2) アクセス解析データ(Google Analytics 4): 最長 14 ヶ月 (3) その他データ: 利用目的達成に必要な期間、または法令で定められた期間 14.5 データ主体の権利 (Art. 15–22) EU ユーザーは以下の権利を有します。 (1) アクセス権 (Art. 15) (2) 訂正権 (Art. 16) (3) 削除権・忘れられる権利 (Art. 17) (4) 処理の制限権 (Art. 18) (5) データポータビリティ権 (Art. 20) (6) 異議申立権 (Art. 21) (7) 自動意思決定に服さない権利 (Art. 22) (8) 同意の撤回権 (Art. 7(3)) — 撤回は将来の処理にのみ効力を持ちます 14.6 権利行使の方法 上記の権利を行使する場合、本サイトの「お問い合わせ」フォームから問い合わせ種別「GDPR 権利行使」を選択してご申請ください。当社は GDPR 第 12 条 (3) に基づき、原則として受付から 1 ヶ月以内に回答します。複雑な請求の場合は最大 2 ヶ月延長することがあり、その場合は理由とともに事前に通知します。 14.7 第三国移転と日本の十分性認定 (Art. 44–50) (1) 主たるデータ保管場所: 当社は、EU/EEA/英国在住のユーザーおよび回答者の個人データを含め、原則として日本国内(Supabase の Tokyo (ap-northeast-1) リージョン、Vercel の Tokyo (hnd1) リージョン)で処理・保管します。 (2) 日本の十分性認定: 日本は、欧州委員会による GDPR 第 45 条に基づく十分性認定(2019 年 1 月 23 日発効、Implementing Decision (EU) 2019/419)を受けています。これにより、EU/EEA から日本への個人データ移転には、原則として SCC 等の追加的保護措置は不要であり、EU 域内移転と同等の保護水準が確保されているとみなされます。英国も独自の十分性認定により日本を「Adequate」と認定しています。 (3) 米国所在のサブプロセッサ: 当社は付随的処理のため一部のサブプロセッサを米国に保有しており、EU/EEA/英国から米国への移転が発生する場合があります。当該移転は EU 標準契約条項 (SCC、欧州委員会決定 2021/914 Module 2: Controller to Processor) およびこれに相当する技術的・組織的措置(暗号化、アクセス制御等)に基づき実施します。 - Vercel Inc.(エッジ配信、米国エッジロケーションを含む) - Resend (Substance Labs, Inc.)(メール配信) - Google LLC(Google Tag Manager / Google Analytics 4) - Anthropic, PBC(Claude API による調査票解析) - Stripe, Inc.(決済代行) 14.8 サブプロセッサ一覧(リージョン明記) 現時点の svys.net および kicue.com のサブプロセッサは以下のとおりです。変更がある場合は本ポリシーを更新します。 (1) Supabase, Inc.(米国本社、データ保管: 日本 / Tokyo ap-northeast-1)— PostgreSQL、認証、ストレージ (2) Vercel Inc.(米国、エッジは Tokyo hnd1 中心)— ホスティング、エッジ関数 (3) Resend (Substance Labs, Inc.)(米国)— メール配信 (4) Google LLC(米国)— Google Tag Manager、Google Analytics 4(同意取得済みの場合のみ) (5) Anthropic, PBC(米国)— Claude API による調査票解析 (6) Stripe, Inc.(米国)— 決済代行 14.9 監督機関への苦情申立権 (Art. 77) EU ユーザーは、居住地または勤務地、あるいは GDPR 違反の発生地を所管する監督機関(例: 仏 CNIL、独 BfDI、西 AEPD、葡 CNPD、韓国個人情報保護委員会等)に対し、当社による処理について苦情を申し立てる権利を有します。 14.10 自動意思決定・プロファイリング 当社は、本サイトにおいて、ユーザーに法的効果またはこれに類する重大な影響を与える自動意思決定およびプロファイリングは行いません。 14.11 同意の管理 ユーザーは、画面下部の「Cookie 設定」リンクからいつでも同意の内容を確認・変更できます。

本条は、svys.net を利用して当社の顧客が実施するアンケート調査に回答するエンドユーザー(以下「回答者」といいます)の個人データ取扱いについて定めます。 15.1 Controller / Processor の関係 調査の実施者(svys.net を利用して調査票を作成・配布する当社の顧客)が GDPR 上の「Controller(管理者)」に該当し、当社は「Processor(処理者)」として、Controller の指示に基づき個人データを処理します。当社は、Controller との間で締結する利用規約および別途の Data Processing Agreement (DPA) の範囲内でのみ回答データを処理します。 15.2 回答画面で取得する個人データ アンケート回答者から取得する個人データの項目・利用目的・保管期間は、Controller(調査実施者)が回答画面で明示する Privacy Notice に従って取り扱われます。当社は当該データを Controller の指示外で利用することはありません(統計分析・サービス改善のための匿名化集計を除きます)。当社が利用するクラウドインフラおよびサブプロセッサについては、本ポリシー 第 14 条 14.8 項(サブプロセッサ一覧) をご参照ください。 15.3 同意取得と監査ログ Controller は、回答開始前に Privacy Notice の表示および必要に応じた明示的同意の取得を行います。同意の記録(同意日時・表示言語・Privacy Notice 内容のスナップショット・回答セッション ID 等)は、当社が回答データに紐付けて監査ログとして保管します。当該同意ログは、対応する回答データの保管期間 + 1 年(Controller が回答データを早期削除した場合は、同意ログも同時に削除します)を上限として保管し、その後速やかに削除します。これは GDPR 第 5 条 1 項(e)の保存制限の原則および第 7 条 1 項の同意取得証明責任の双方に応じた取扱いです。 15.4 回答者の権利行使 回答者がアクセス権、訂正権、削除権、処理の制限権、データポータビリティ権、異議申立権等を行使する場合、第一の問い合わせ先は調査実施者(Controller)です。当社は、Controller を通じて、または Controller からの指示に従い、技術的な対応(該当データの抽出・削除・エクスポート等)を行います。回答者が Controller の連絡先を確認できない場合、当社の問い合わせフォームから連絡することができ、当社は合理的な範囲で Controller との取次ぎを行います。 15.5 サブプロセッサ 回答者の個人データの処理にあたり当社が利用するサブプロセッサは 第 6 条 および 第 14 条 14.8 項 に記載のとおりです。 15.6 保管期間および削除の運用 回答データの保管期間は Controller の指示に従い、Controller が指定する期間が経過した場合または契約終了後に削除します。削除権(GDPR 第 17 条)の行使を受け付けた際、当社は受付確認の通知(メール等)を送信し、その通知に「本番データベースからの削除は受付日から 7 日以内に実施しますが、暗号化されたバックアップからの完全削除には、当社のバックアップ保持ポリシーに基づき最大 30 日を要する場合があります」旨を明記します。バックアップ上のデータは、削除リクエスト受付以降は復元・参照を行わない運用としています。 15.7 第三国移転 回答データは原則として日本国内(Supabase Tokyo リージョン、Vercel Tokyo リージョン)で処理・保管されます。EU/EEA/英国から日本への移転には、第14条 14.7 に記載の十分性認定が適用されます。米国所在のサブプロセッサ(Anthropic 等)を介した付随処理が発生する場合は、SCC およびこれに相当する保護措置を講じます。