プライバシーポリシー

最終更新日：2026年2月22日

本プライバシーポリシー（以下「本ポリシー」といいます。）は、合同会社Aroza（以下「当社」といいます。）が提供する受託開発業務およびSaaSサービス「ChatPivot」（以下総称して「本サービス」といいます。）における、ユーザー（法人・個人を問いません。以下同様）、およびチャットウィジェットを通じてチャットボットと会話するエンドユーザーに関する個人情報その他の情報の取扱い方針を定めるものです。

---

1. 取得する情報の項目

当社は本サービスの提供にあたり、以下の情報を必要な範囲で取得します。

1-1. ユーザー（ChatPivot管理者）から取得する情報

区分	具体的な項目
ユーザー登録情報	氏名、会社名、役職、メールアドレス、電話番号、住所（国、郵便番号、都道府県、市区町村、番地等）
認証情報	メールアドレス、パスワード（ハッシュ化して保存）
課金関連情報	クレジットカード情報（Stripeトークン化情報のみ。当社サーバーにカード番号は保存されません）
サービス利用情報	チャットボット設定、FAQ登録データ、アップロードファイル（RAG用ナレッジベース）、トークン残高・消費履歴、サポートお問い合わせ内容

1-2. エンドユーザー（チャットウィジェット利用者）から取得する情報

区分	具体的な項目
会話データ	チャットボットに入力したテキスト、AIの応答内容、会話履歴
端末・アクセス情報	IPアドレス、国情報、ブラウザ種別・バージョン、OS種別、デバイスタイプ（PC/モバイル/タブレット）、リファラー（アクセス元URL）、言語設定
識別情報	訪問者ID（visitor_id：Cookie およびローカルストレージに保存）、チャットセッションID

※ユーザーがRAG用にアップロードしたファイルは、ベクトルストアへの格納およびAI応答生成の目的にのみ使用されます。

2. 利用目的

取得した情報は、以下の目的のために利用します。

1. 本人確認・認証ならびにアカウント管理のため
2. 本サービスの提供・維持・改善のため（FAQ応答精度の向上を含む）
3. 課金処理、料金請求、決済確認、トークン管理のため
4. 本サービスに関するご案内・重要なお知らせ・マーケティングメール配信のため
5. ユーザーサポート対応およびお問い合わせ対応のため
6. 不正アクセスの検知・防止、利用規約違反行為の調査・対応、セキュリティインシデントの防止のため（ログイン通知メール送信を含む）
7. 統計的分析、機械学習その他の手法によるサービス改善・新機能開発のため（AIモデル学習を含む）
8. 広告配信およびその効果測定のため（Google、Meta等の広告プラットフォームへのデータ送信を含む）
9. 法令または行政当局の要請に基づく対応のため

3. 法的根拠

日本の個人情報保護法に基づき、当社は上記利用目的の達成に必要な範囲で個人データを取扱います。また、当社が行動履歴やCookieを広告目的で第三者に送信する場合には、ユーザーの事前同意を取得します。

4. 第三者提供・委託

当社は、以下のとおり個人データの取扱いを外部サービスに委託または第三者に提供することがあります。

送信先	用途	提供項目	保管国
Supabase, Inc.	本人認証、データベース保管、Edge Functions実行	登録情報、認証トークン、会話データ、FAQ データ	日本国内リージョン
Stripe Payments Japan株式会社 / Stripe, Inc.	決済処理、サブスクリプション管理、カスタマーポータル	氏名、メールアドレス、決済情報トークン	日本 / 米国
OpenAI, Inc.	AI質問応答機能（チャット応答生成、ベクトルストアへのデータ格納・検索）	入力テキスト、FAQデータ、アップロードファイル、モデル応答テキスト	米国
Twilio Inc.（SendGrid）	ログイン通知メール・各種通知メール送信	メールアドレス、通知内容	米国
Netlify, Inc.	フロントエンドのホスティング・配信	アクセスログ（IPアドレス等）	米国
再委託先フリーランス・協力会社	受託開発業務の遂行	必要最小限の開発データ	日本国内

海外（米国）に所在する事業者に個人データを提供する際は、日本の個人情報保護委員会告示に基づく十分性を確認した上で、適切な契約を締結し安全管理措置を講じます。

5. 個人データの共同利用

当社はグループ会社を有しておらず、共同利用は行いません。

6. クッキー等の利用

本サービスでは、以下の目的でクッキー・類似技術を利用します。

技術	用途	有効期間
認証Cookie（Supabase Auth）	ユーザーのログイン状態維持	セッション中
visitor_id Cookie	チャットウィジェット利用者の識別（再訪問時の会話継続）	最大1年間
ローカルストレージ（chatease_visitor_id）	訪問者IDのバックアップ保存	チャット終了時にクリア
Google Analytics	アクセス解析	最大2年間
Google広告・Meta広告	行動ターゲティング広告	各プラットフォーム準拠

ユーザーはブラウザ設定によりクッキーの受け取りを拒否できますが、一部機能が利用できない可能性があります。

7. データの保管期間・削除

データ種別	保管期間	削除方法
アカウント情報	退会後30日以内	DBから論理削除後、バックアップから物理削除
会話履歴データ	取得日から180日	定期バッチ処理で削除
バックアップデータ	取得日から90日	定期ローテーションで自動削除
ログデータ	取得日から365日	ログローテーションで上書き・削除
AI入力データ（学習用）	取得日から180日	統計化・匿名化後に削除
決済関連データ	法令に基づく保存義務期間	保存義務期間終了後に削除

8. 安全管理措置

当社は以下の措置を講じ、個人データの漏えい・滅失・毀損を防止します。

• 通信のTLS暗号化（TLS 1.2以上）、パスワードのハッシュ化保管
• アクセス制御（最小権限原則）および操作ログの取得
• Supabase Row Level Security（RLS）によるデータベースレベルのアクセス制御
• 入力値検証（UUIDフォーマット検証、メッセージ文字数制限、ロール検証等）
• 定期的な脆弱性診断およびセキュリティパッチ適用
• Stripe Webhook署名検証による決済データの改ざん防止
• インシデント対応手順・緊急連絡体制の整備

9. 開示等の請求手続き

ユーザーは、当社が保有する自己の個人データに関し、開示・訂正・追加・削除・利用停止等を請求できます。請求は本サービス内「お問い合わせフォーム」または下記お問い合わせ窓口よりご連絡ください。速やかに本人確認を行った上で、法令の定めに従い対応いたします。手数料は徴収しません。

10. 未成年の利用について

本サービスは13歳未満の児童を対象としておらず、当該児童から故意に個人情報を収集することはありません。18歳未満の方はアカウント登録ができません。

11. EU GDPR 及び類似法域の追加権利

当社は主として日本国内ユーザーを対象としますが、EU域内から本サービスを利用する個人はGDPR上の各種権利（アクセス権、データポータビリティ権、処理停止権等）を行使できます。行使方法は第9項に準じます。

12. プライバシーポリシーの改定

本ポリシーは、法令改正やサービス内容の変更等に応じて改定することがあります。重要な変更を行う場合は、本サービスのウェブサイトに掲示する方法で周知します。

13. お問い合わせ窓口