プライバシーポリシー
起草 2026-05-26 / 改訂 2026-06-03 / 法的根拠: 個人情報の保護に関する法律 (APPI、2003 年法律第 57 号、最新改正 2022 年)
合同会社冪 (以下「当社」) は、当社が提供するサービス「Apimane」(以下「本サービス」) における、お客様の個人情報の取扱いについて、以下のとおりプライバシーポリシー (以下「本ポリシー」) を定めます。
第 1 条 (基本方針)
当社は、本サービスの提供にあたり、「Zero-PII Architecture」(個人情報を最小化した設計) を採用しています。これは、お客様企業の社員の個人情報を一切収集せず、お客様企業内部での「グループラベル」管理のみで運用可能とする設計です。
ただし、契約管理上必要な以下の個人情報については、法令を遵守したうえで適切に取得・利用・管理します。
第 2 条 (定義)
- 個人情報: APPI 第 2 条第 1 項に定める個人情報
- 個人データ: APPI 第 16 条第 3 項に定める個人データ
- 当社: 合同会社冪
- 本サービス: 当社が提供する「Apimane」(API ゲートウェイサービス)
- お客様: 本サービスを利用される法人または個人
- サブプロセッサ: 当社が業務委託する第三者 (Cloudflare、Anthropic、OpenAI 等)
第 3 条 (個人情報の取得)
3-1. 当社が取得する個人情報
| 対象 | 取得項目 | 取得方法 |
|---|---|---|
| お客様企業の管理者 (1-3 名) | 氏名、メールアドレス、所属部署 (任意: 電話番号) | 契約申込時の自己申告 |
| 個人顧客 (Starter プラン契約者) | 氏名、メールアドレス、支払情報 (Stripe 経由) | 契約申込時の自己申告 |
| お問い合わせフォーム送信者 | 氏名、メールアドレス、お問い合わせ内容 | フォーム入力 |
| 本サービスの利用ログ (Cookie 等) | IP アドレス、ブラウザ情報、利用日時、アクセスページ | 自動取得 (Cookie / ログ) |
3-2. 当社が取得しない個人情報 (Zero-PII Architecture)
- お客様企業の社員の氏名・メール・電話番号・所属部署
- お客様が API リクエストで送信するプロンプト本文 (上流プロバイダのポリシーに従う)
- お客様のクレジットカード番号 (Stripe が直接処理、当社サーバには到達しません)
3-3. お子様の個人情報
当社は、満 16 歳未満の方からの個人情報の取得は原則として行いません。万一、保護者の同意なく取得した場合は、速やかに削除します。
第 4 条 (個人情報の利用目的)
4-1. 契約管理目的
- お客様との契約締結・履行
- 本サービスの提供 (API キー発行、ダッシュボードアクセス権付与)
- 請求書の発行・送付
- 料金の請求・収納
4-2. サポート目的
- お問い合わせ・サポート対応
- 障害発生時の通知 / メンテナンス情報の通知 / セキュリティに関する重要通知
4-3. サービス改善目的
- 本サービスの品質向上・新機能開発のための分析
- 利用統計の作成 (個人を特定できない形式)
4-4. マーケティング目的 (オプトイン同意取得時のみ)
- 新機能・キャンペーン情報のメール配信 / アンケート / 業界レポート
→ マーケティング目的のメールは事前同意 (オプトイン) を得たうえで送信し、いつでも配信停止 (オプトアウト) 可能です。
第 5 条 (個人情報の第三者提供)
当社は、お客様の同意なく個人情報を第三者に提供することはありません。ただし、以下を除きます。
5-1. 法令に基づく場合
- 法令に基づく開示請求 (裁判所、警察等の正当な権限を有する機関からの請求)
- 緊急の人命保護等のため必要な場合
- 公衆衛生の向上等のため特に必要な場合
5-2. サブプロセッサへの業務委託
本サービスの提供にあたり、以下のサブプロセッサに業務委託しています。各社とは個人情報の取扱いに関する契約 (DPA) を締結し、適切な監督を行います。完全な最新一覧は セキュリティページ を参照してください。
| サブプロセッサ | 用途 | 認証 |
|---|---|---|
| Cloudflare, Inc. (米国) | エッジ実行・DB・KV・ストレージ | SOC 2 Type II / ISO 27001 / 27018 / 27701 / PCI DSS L1 |
| Anthropic, PBC (米国) | LLM 推論 (Claude) | SOC 2 Type II / ISO 27001 |
| OpenAI, OpCo, LLC (米国) | LLM 推論 (GPT)、Zero Data Retention 申請可 | SOC 2 Type II |
| Google LLC (米国) | LLM 推論 (Gemini)、翻訳 | SOC 2 / ISO 27001 / 27017 / 27018 |
| Mistral AI SAS (フランス) | LLM 推論 (Mistral) | GDPR 準拠 |
| xAI Corp. (米国) | LLM 推論 (Grok) | (取得計画は公表あり) |
| DeepL SE (ドイツ) | 翻訳 | ISO 27001 |
| Stripe, Inc. (米国) | 決済処理 | PCI DSS L1 / SOC 2 Type II / ISO 27001 |
| Vercel, Inc. (米国) | LP / ダッシュボード ホスティング | SOC 2 Type II / ISO 27001 |
| Resend, Inc. (米国) | トランザクションメール送信 | SOC 2 Type II |
| Frankfurter (OSS API) | 為替レート参照 (TTM)、PII 送信なし | (OSS、PII 非送信) |
5-3. 事業の承継
当社が本サービスを第三者に譲渡する場合、契約上の地位とともに個人情報も移転することがあります。事前に書面でお客様に通知します。
第 6 条 (個人情報の越境移転)
本サービスの提供にあたり、米国 (Cloudflare、Anthropic、OpenAI、Google、Stripe、Vercel、xAI、Resend) 及び EU (Mistral、DeepL) に個人情報を移転する場合があります。法的根拠は APPI 28 条に基づくお客様同意 + 各社との DPA 締結 (EU 移転は GDPR 準拠 SCC 等)。
Zero-PII Architecture により、お客様企業の社員の個人情報は当社が一切取得しないため、越境移転の対象になりません。
お客様は、いつでも越境移転に関する同意を撤回できます。ただし、撤回によりサービス提供が不可能になる場合があります。
第 7 条 (個人データの安全管理措置)
組織的・人的・物理的
- 個人情報保護管理者の設置 (代表社員 細尾 皓平)
- 個人情報取扱規程の策定・遵守、四半期内部点検
- 業務委託先との秘密保持契約 (NDA)
- 物理オフィス未保有 (代表社員自宅で業務、第三者立入なし)、業務用 PC は施錠 + パスワード保護
技術的
- すべての通信を TLS 1.2 以上で暗号化
- API キーは SHA-256 ハッシュ化して保管 (平文非保存)
- データベース (Cloudflare D1) は AES-256 暗号化
- 多要素認証 (MFA) + ハードウェアセキュリティキーでアクセス管理
- 定期的な脆弱性スキャン (依存パッケージ、Cloudflare WAF)
- 監査ログの取得・保管 (13 ヶ月)
当社のインフラ基盤 Cloudflare Workers / D1 / KV は SOC 2 Type II / ISO 27001 / 27018 / 27701 / PCI DSS L1 取得済。詳細は セキュリティページ。
当社単独の認証取得計画: ISO 27001 (ISMS) を 2027-03 取得目標 (M6-M9 で着手)、ISO 27017 (クラウド特化) は ISO 27001 取得後 6 ヶ月以内。
第 8 条 (個人情報の保管期間)
| 種類 | 保管期間 |
|---|---|
| お客様管理者連絡先 | 契約期間中 + 解約後 1 年 |
| 個人顧客 (Starter) の支払情報 | 同上 |
| 利用ログ (グループラベル別) | 13 ヶ月 (法人税法上の保管義務) |
| 請求書・領収書 | 7 年 (法人税法・消費税法上の保管義務) |
| お問い合わせ履歴 | 3 年 |
| Cookie | 13 ヶ月 (一部の同意系 Cookie は 3 年) |
第 9 条 (本人の権利)
お客様は APPI 33 条以下に基づき以下の権利を行使できます。請求は下記 14 条「お問い合わせ窓口」へメールで。応答 SLA は営業日 30 日以内、手数料無料 (郵送費等の実費は除く)。
- 開示請求: 当社が保有する自身の個人データの開示
- 訂正・追加・削除請求: 個人データに誤りがある場合
- 利用停止・第三者提供停止請求: 利用目的達成後、または法令違反の場合
- 第三者提供記録の開示請求: 第三者提供の記録 (誰に、いつ、何を提供したか)
- 苦情の申出: 個人情報保護委員会 (PPC) への申出も可能
第 10 条 (Cookie・トラッキング情報)
- 必須 Cookie: 認証セッション、CSRF トークン。オプトアウト不可 (サービス提供に必須)
- 機能 Cookie: 言語設定、表示設定。保管 13 ヶ月、ブラウザ設定で削除可能
- 分析 Cookie (Cloudflare Analytics): アクセス統計。保管 13 ヶ月、ブラウザ設定で削除可能
- マーケティング Cookie: 現状未使用、将来導入時はオプトイン同意取得
電気通信事業法第 27 条の 12 (外部送信規律、2023 年 6 月施行) に基づき、Cookie 等で取得した情報を外部送信する場合は本ポリシーまたは送信元の画面で通知します。
第 11 条 (個人情報漏洩時の通知体制)
- 重大事案 (要配慮個人情報の漏洩、財産的被害のおそれ、不正目的、1,000 名超の漏洩): 速やかに (3-5 日以内) 個人情報保護委員会へ速報、30 日以内 (一定の場合は 60 日以内) に確報
- 本人通知: 速やかに本人 (お客様) へ通知
- 当社の通知 SLA: S1 (全停止・データ漏洩) 1 時間以内、S2 (部分停止) 4 時間以内、S3 (機能劣化) 24 時間以内
詳細は セキュリティページ の「インシデント対応プラン」を参照。
第 12 条 (GDPR への対応)
当社が EU 域内のお客様の個人データを取扱う場合、GDPR (EU 一般データ保護規則) に準拠します。アクセス権、訂正権、削除権 (忘れられる権利)、データポータビリティ権 等。EU 域外への移転は SCC (Standard Contractual Clauses) を活用。
第 13 条 (本ポリシーの変更)
当社は、必要に応じて本ポリシーを変更することがあります。変更後の本ポリシーは、当社ウェブサイトに掲載した時点から効力を生じます。重要な変更の場合は、30 日前にメールでお知らせします。
第 14 条 (お問い合わせ窓口)
個人情報保護管理者・お問い合わせ窓口
- 氏名: 細尾 皓平 (合同会社冪 代表社員)
- 所在地: 〒606-8331 京都府京都市左京区黒谷町33番地1
- メールアドレス:
- 個人情報・プライバシ関連の請求: legal@apimane.co.jp
- セキュリティ・脆弱性報告: security@apimane.co.jp
- その他一般のお問い合わせ: info@apimane.co.jp
- 受付時間: 平日 10:00-18:00 (土日祝休業)
個人情報保護委員会 (PPC)
当社の取扱いについて不服がある場合、個人情報保護委員会 (PPC) に申出いただけます。〒100-0013 東京都千代田区霞が関 3-2-1、TEL 03-6457-9849、https://www.ppc.go.jp/
改訂履歴
- 2026-06-03: 初版起草 (β ローンチ前の準備版、弁護士・行政書士による監修待ち)
- 2026-06-10: 第 14 条 お問い合わせ窓口のメールアドレスを正式メアド (info / security / legal @apimane.co.jp) に更新 (2026-06-04 設立完了・2026-06-09 メアド開設完了に伴う)
- (監修後): 弁護士・行政書士の確認後の正式版に差替予定