プライバシーポリシー（個人情報保護方針）

サポフル運営事務局（以下「当社」）は、バックオフィス支援プラットフォーム「サポフル（Sapoful）」（以下「本サービス」）の提供にあたり、お預かりする個人情報（要配慮個人情報を含む）の保護を最重要事項と位置づけ、個人情報保護法その他の関連法令を遵守し、以下のとおりプライバシーポリシーを定めます。

第1条（事業者情報）

第2条（取得する個人情報の種類）

当社は、本サービスの提供にあたり、以下の個人情報を取得します。

（1）通常の個人情報

• 氏名
• メールアドレス
• 所属企業名・部署名
• 従業員番号

（2）要配慮個人情報

以下の情報は、個人情報保護法第2条第3項に定める「要配慮個人情報」に該当し、特に厳格な管理を行います。

• ストレスチェックの回答内容および結果
• 高ストレス者の判定情報
• 面接指導に関する記録

（3）取得方法

• 本サービスの利用登録時に契約企業または従業員から直接入力いただく方法
• 契約企業から従業員情報の提供を受ける方法
• ストレスチェック受検時に従業員が入力する方法

第3条（利用目的）

当社は、取得した個人情報を以下の目的で利用します。これらの目的以外では利用しません。

1. ストレスチェックの実施・集計・結果の本人への通知
2. 集団分析レポートの作成（個人が特定できないよう統計的に処理した上で）
3. 高ストレス者への面接指導の勧奨支援
4. AIセルフケアチャットの応答生成（匿名化したデータのみを使用）
5. サービスの改善および品質向上（匿名化・統計化したデータのみを使用）
6. 契約管理、請求、カスタマーサポートの提供

第4条（要配慮個人情報の取得に関する同意）

1. 当社は、要配慮個人情報（ストレスチェック結果等）の取得にあたり、個人情報保護法第20条第2項に基づき、本人の明示的な同意を取得します。
2. 同意は、本サービスの初回利用時に取得します。
3. 同意は、いつでも撤回することができます。ただし、同意を撤回された場合、ストレスチェックの受検およびその結果の閲覧ができなくなります。撤回前に処理済みのデータに影響はありません。

第5条（事業者（契約企業）への結果提供に関する同意）

1. ストレスチェックの結果を契約企業（事業者）に提供する場合は、毎回、本人の個別の同意を取得します。
2. 「今後のすべての結果を企業に提供することに同意する」といった包括的な同意による提供は行いません。
3. 結果の提供に同意しないことを理由として、本人が不利益な取扱いを受けることはありません。

第6条（第三者提供）

1. 当社は、以下の場合を除き、個人情報を第三者に提供しません。

（1）本人の同意がある場合

産業医紹介プラットフォーム、カウンセリングサービス等の外部サービスに情報を連携する場合は、その都度、本人の同意を取得した上で行います。

（2）業務委託先への提供（本人の同意不要）

本サービスの運営に必要な業務の一部を以下の事業者に委託しており、業務遂行に必要な範囲で個人情報を提供します（個人情報保護法第27条第5項第1号）。当社は委託先に対して適切な監督を行います。

• Supabase Inc. — データベースの運用・管理
• Vercel Inc. — Webアプリケーションのホスティング
• Stripe, Inc. — 決済処理
• Resend Inc. — メール送信
• Anthropic PBC（Claude API） — AIチャット機能（匿名化データのみ送信）

（3）法令に基づく場合

個人情報保護委員会、裁判所、警察その他の公的機関から法令に基づく開示要請があった場合は、本人の同意なく提供することがあります（個人情報保護法第27条第1項第1号）。

（4）10人未満の集団分析について

集団分析の単位が10人未満の場合、個人が特定されるおそれがあるため、当該集団に属する全員の同意がない限り、集団分析の結果を契約企業に提供しません。

第7条（越境移転 — 外国における個人情報の取り扱い）

1. 要配慮個人情報（ストレスチェック結果等）は、国内サーバー（Supabase東京リージョン：ap-northeast-1）に保存し、日本国外のサーバーには保存しません。
2. AIチャット機能（Anthropic Claude API）の利用にあたっては、個人を特定できる情報を除去（匿名化）した上で米国のサーバーに送信します。匿名化されたデータは個人情報に該当しないため、越境移転の規制の対象外です。
3. メール送信（Resend）については、米国のサーバーを経由します。メール本文には要配慮個人情報（ストレスチェック結果の具体的な数値等）を含めない設計としています。
4. 米国の外部サービスを利用する場合は、当該サービス提供者が標準契約条項（SCCs）等の基準適合体制を整備していることを確認しています（個人情報保護法第28条）。

第8条（安全管理措置）

当社は、個人情報の漏洩、滅失またはき損を防止するため、以下の安全管理措置を講じています。

（1）技術的措置

• すべての通信をTLS 1.2以上で暗号化しています。
• ストレスチェック結果はAES-256で暗号化して保存し、データベース管理者であっても平文を閲覧できない設計です。
• ロールベースアクセス制御（RBAC）により、各利用者は自身の権限に応じたデータのみ閲覧できます。
• 企業ごとのデータはテナントIDによる論理分離とRow Level Security（RLS）で隔離し、他企業のデータにアクセスできない設計です。

（2）組織的措置

• 個人情報を取り扱う者に対して守秘義務を課しています。
• 個人情報へのアクセスは全件ログに記録し、誰が・いつ・誰のデータを閲覧したかを追跡できる体制です。
• 定期的なセキュリティレビューと脆弱性診断を実施しています。

第9条（データの保存期間と削除）

1. 契約企業の解約時は、法定保存期間が経過したデータから順次、物理削除（復元不可能な方法での完全削除）を行います。
2. 法定保存義務のないデータについて本人から削除の請求があった場合は、本人確認の上、30日以内に削除します。
3. 解約時にはCSV/PDF形式でのデータエクスポートに対応します。エクスポートデータは暗号化して受け渡し、受領確認後にサーバー上のエクスポートファイルを削除します。
4. 削除完了後、ご希望に応じて削除証明書を発行します。

第10条（ご本人の権利）

ご本人（従業員）は、当社が保有する自身の個人情報について、以下の権利を行使することができます。

1. 開示請求：当社が保有する個人情報の開示を請求できます（個人情報保護法第33条）。
2. 訂正・追加・削除の請求：個人情報の内容に誤りがある場合、訂正・追加・削除を請求できます（同法第34条）。
3. 利用停止・消去の請求：利用目的外での利用や不正な取得があった場合、利用停止・消去を請求できます（同法第35条）。ただし、法定の保存義務があるデータについては、保存期間中の消去に応じられない場合があります。

これらの請求は、以下のお問い合わせ窓口にご連絡ください。本人確認の上、法令に定める期間内（原則2週間以内）に対応いたします。

第11条（個人情報の漏洩等が発生した場合の対応）

1. 当社は、個人情報の漏洩、滅失またはき損（以下「漏洩等」）が発生した場合、または発生したおそれがある場合、速やかに以下の対応を行います。
   • 被害の拡大防止のための緊急措置
   • 原因の調査
   • 個人情報保護委員会への速報（事態を知った時から3〜5日以内）および確報（30日以内）
   • ご本人への速やかな通知
   • 影響を受けた契約企業への速やかな通知
   • 再発防止策の策定と実施
2. 要配慮個人情報の漏洩は、1件であっても個人情報保護委員会への報告が義務づけられています（2022年改正個人情報保護法）。当社はこの報告義務を厳格に遵守します。

第12条（Cookieおよびアクセスログ）

1. 本サービスでは、以下の目的でCookieを使用します。
   • ログインセッションの管理・認証状態の維持
   • セキュリティの確保（CSRF対策等）
2. 本サービスでは、サービスの安定運用およびセキュリティの目的で、アクセスログ（IPアドレス、アクセス日時、閲覧ページ等）を記録します。アクセスログは1年間保存した後、削除します。
3. アクセス解析ツール（Google Analytics等）を導入する場合は、本ポリシーを更新してお知らせします。

第13条（プライバシーポリシーの改定）

1. 当社は、法令の改正やサービス内容の変更に応じて、本プライバシーポリシーを改定することがあります。
2. 改定する場合は、Webサイト上での告知により公表します。要配慮個人情報の取り扱いに関する重大な変更がある場合は、メール等により個別に通知し、必要に応じて改めて同意を取得します。
3. 本ポリシーの制定日：2026年4月4日