株式会社Xtee(以下「当社」といいます)は、AI カスタマーサービス SaaS「Narecle」(以下「本サービス」)の提供にあたり、利用者(EC 事業者)および利用者のエンドユーザー(消費者)の個人情報を以下のとおり取り扱います。
第1条(取得する個人情報)
1-1. 利用者(EC 事業者)から取得する情報
- 事業者名、担当者氏名、メールアドレス、電話番号
- Shopify ストア情報(ドメイン、アクセストークン)
- 請求先情報(必要に応じて)
1-2. エンドユーザーから取得する情報
利用者の EC ストアを通じて、本サービスは以下の情報を扱います。これらの情報は、利用者から委託を受けて当社が取り扱うものです。
- 氏名、メールアドレス、電話番号、住所
- 注文情報(注文番号、購入商品、金額、配送先)
- チャットの会話内容(問い合わせ・回答)
第2条(利用目的)
| 情報の種類 | 利用目的 |
|---|
| 利用者情報 | 本サービスの提供・運用、利用料金の請求、サポート連絡 |
| エンドユーザー情報 | 注文確認、キャンセル・住所変更等のお問い合わせ対応、有人対応への引き継ぎ |
| 会話ログ | サービス品質改善、当社が本サービス内で提供する AI モデルのチューニング・プロンプト最適化・システム改善、自己解決率の計測 |
会話ログの上記目的での利用は、当社が本サービス内で行う内部改善に限定され、第三者の AI モデルの学習データとしては利用されません(詳細は第10条)。エンドユーザーへの本目的の通知および同意取得は、利用者(EC 事業者)が自らのプライバシーポリシー等を通じて行うものとし、当社はこれを支援するものとします。
第3条(第三者提供)
当社は、以下の場合を除き、利用者およびエンドユーザーの個人情報を第三者に提供しません。
- 利用者またはエンドユーザーの同意がある場合
- 法令に基づく場合
- 人の生命・身体・財産の保護のために必要があり、本人の同意を得ることが困難な場合
- 公衆衛生の向上または児童の健全な育成のために特に必要があり、本人の同意を得ることが困難な場合
第4条(業務委託先)
本サービスの提供にあたり、以下の第三者サービスに個人情報の取扱いを委託しています。各社のプライバシーポリシーをご確認ください。
| 委託先 | 委託する処理 | 所在地 | 準拠する主な基準 |
|---|
| Shopify Inc. | EC プラットフォーム(注文・顧客データの取得) | カナダ | GDPR / CCPA / SOC 2 Type II |
| Supabase Inc. | データベース・ベクトル検索基盤 | 米国 | SOC 2 Type II / HIPAA / GDPR DPA 提供 |
| Google LLC(Gemini API) | 大規模言語モデル・Embedding 推論 | 米国 | ISO 27001 / SOC 1・2・3 / GDPR DPA 提供 |
| Resend, Inc. | 顧客向けトランザクションメール送信 | 米国 | SOC 2 / GDPR DPA 提供 |
| Slack Technologies, LLC | 管理者向け通知配信 | 米国 | ISO 27001 / SOC 2 / GDPR DPA 提供 |
| Railway Corp. | 本サービスのアプリケーション実行基盤 | 米国 | SOC 2 / GDPR 対応 |
第5条(外国にある第三者への提供)
前条のとおり、当社は本サービスの提供のため、米国・カナダに所在する事業者に個人情報の取扱いを委託しています。改正個人情報保護法に基づき、移転先国の個人情報保護制度等に関する以下の情報を提供します。
- 米国:包括的な連邦個人情報保護法は存在しないものの、各事業者は GDPR・CCPA・SOC 2 等の国際的・州法上の基準への準拠を表明しています。詳細は 個人情報保護委員会のウェブサイト をご参照ください。
- カナダ:個人情報保護および電子文書法(PIPEDA)が連邦レベルで適用されており、EU の十分性認定を受けています。
各委託先と当社との間では、データ処理の範囲・保護措置に関する合意(DPA 等)を締結または同社の標準データ処理規約に準拠しています。
第6条(保存期間)
- 利用者情報のうち、税務・財務上の法的義務を履行するために必要な情報(請求履歴等):法令で定める期間(最長 7 年)
- その他の利用者情報(連絡先・担当者氏名等):利用契約終了後 1 年以内に削除
- エンドユーザーの注文関連情報:利用契約終了後 90 日以内に削除
- 会話ログ:最終アクセスから 1 年経過後に匿名化または削除
- ベクトル化された商品データ:利用契約終了時に即時削除
第7条(安全管理措置)
- 通信は TLS により暗号化
- データベースは保存時に暗号化(Supabase のデフォルト暗号化)
- アクセストークンは環境変数で管理し、コード上に保存しない
- 本番環境へのアクセスは権限管理された担当者に限定
- 脆弱性情報の継続的モニタリングと、必要に応じたパッチ適用
第8条(開示・訂正・削除請求)
- 当社はエンドユーザーの個人情報について、利用者から委託を受けて取り扱う立場にあるため、エンドユーザーは、自己の個人情報について、第一次的には利用者(EC 事業者)に対して開示・訂正・削除を請求するものとします。
- エンドユーザーから当社に対し直接請求があった場合、当社は速やかに利用者に通知し、利用者の指示に従って対応します。利用者が合理的な期間内に対応を行わない場合、当社は法令の要請に応じて必要な範囲で自ら対応することがあります。
- 利用者から削除依頼があった場合、当社は遅滞なく該当データを削除します。
- 利用者は、当社に対し、自社が登録した情報の開示・訂正・削除を請求できます。
第9条(Cookie・アクセス解析)
本サービスは、利用状況の把握を目的として、最小限の Cookie および類似技術を使用する場合があります。これらは個人を特定する目的では使用しません。
第10条(AI による処理について)
- エンドユーザーから入力された問い合わせ内容は、回答生成のために Google Gemini API に送信されます。
- 送信される情報には、文脈に応じて個人情報(氏名・メール・住所・注文情報等)が含まれる可能性があります。
- Google による該当データの取り扱いは、Google Cloud のデータ処理規約および同社が公表する利用規約に従います。当社は Gemini API 利用にあたり Google が提供する設定のもとで運用しており、当該設定下では、API 経由で送信されたデータは Google の生成モデルの学習目的では利用されないものとされています。
- 本条の運用方針および委託先の規約は将来変更される可能性があり、その場合は本ポリシーまたは利用者への通知により周知します。
第11条(プライバシーポリシーの改定)
当社は、法令の変更・サービス内容の変更等に応じ、本ポリシーを改定することがあります。重要な変更がある場合、効力発生日の 14 日前までに、変更内容および効力発生日を本サービス内通知またはメール等により利用者に通知します。
第12条(お問い合わせ窓口・個人情報取扱事業者)
個人情報の取り扱いに関するお問い合わせ、および個人情報保護法に基づく開示等の請求は、以下までご連絡ください。
- 事業者名:株式会社Xtee
- 所在地:〒150-0001 東京都渋谷区神宮前6-23-4 桑野ビル2階
- 代表者:原田 皇侍
- 連絡先メール:contact@xtee.tokyo
- 個人情報保護管理者:代表者に同じ