サキノテAI

サキノテAI 個人情報取扱規程

施行日: 2026年5月28日

本規程は、サキノテAI を契約してご利用いただく事業者(契約者)が本サービスに入力するデータの取扱に関する詳細を定める。

サイト訪問者・問い合わせ者向けの一般的な個人情報取扱方針については「プライバシーポリシー」を参照のこと。

第1条(目的)

本規程は、ap company(以下「当社」)が提供するクラウド型 AI サービス「サキノテAI」(以下「本サービス」)において、契約者および利用者から預託される個人情報および入力データ(以下総称して「契約者データ」)の取扱について定めることを目的とする。

第2条(契約者データの分類)

本サービスにおいて、当社は次の契約者データを取り扱う。

分類具体例
契約企業情報法人名、所在地、担当者氏名、連絡先
ユーザーアカウント情報利用者の氏名、メールアドレス、ログイン情報
アップロードファイル契約者が本サービスにアップロードする社内資料(RAG 対象)
チャット入力内容利用者が本サービスに入力するテキスト
AI 出力内容本サービスを通じて生成される文章、画像等
操作ログ・監査ログ利用者の操作履歴、アクセス記録
要配慮個人情報契約者責任で入力される、医療・障害・犯罪歴等を含む情報(第 8 条)

第3条(取得の方法)

  1. 当社は、契約者または利用者が本サービスを利用する過程で、契約者データを取得する。
  2. 当社は本サービスの提供に必要な範囲を超えて契約者データを取得しない。

第4条(利用目的)

当社は契約者データを次の目的のためにのみ利用する。

  1. 本サービスの提供、運用、保守
  2. AI 出力の生成および応答(AI API プロバイダへの送信を含む)
  3. RAG(検索拡張生成)機能における社内資料の検索
  4. 障害対応、サポート対応
  5. 不正利用の調査・対応
  6. 法令に基づく対応

当社は契約者データを AI モデルの学習には利用しない。AI API プロバイダに対しても、契約・利用規約に基づき学習利用禁止を担保する。

AI API プロバイダへの委託時の学習不使用について

当社が利用する AI API プロバイダ(Anthropic, PBC、OpenAI, Inc.、Google LLC、Microsoft Corporation(Azure OpenAI Service)等)とは、契約者データを当該プロバイダの AI モデル学習に使用しないことを各社の利用規約・契約条項により取り決めている。具体的な担保根拠は第 5 条 第 5.1 項「委託先一覧」を参照のこと。

RAG(検索拡張生成)機能における検索範囲について

RAG 機能は契約者と 同一組織内のデータのみを対象 として検索を行う。他組織のデータが検索対象となることはなく、テナント分離(契約企業ごとのデータ境界)は技術的に担保している(第 10 条 第 10.1 項を参照)。

第5条(委託先)

  1. 当社は本サービスの提供に必要な範囲で、契約者データの取扱を以下の事業者に 委託 する(個人情報保護法上の第三者提供ではなく、委託として位置付ける)。
  2. 委託先における契約者データの取扱については、当社が監督義務を負う。

5.1 委託先一覧

用途事業者所在地学習利用禁止の担保
AI 処理(デフォルト経路)OpenAI, Inc.米国OpenAI API 利用規約により担保
Anthropic, PBC米国Anthropic API 利用規約により担保
Google LLC米国Google Gemini API(有料版)利用規約により担保
AI 処理(オプション経路・申請制)Microsoft Corporation日本(東日本リージョン)Azure OpenAI Service 契約により担保
ベクトル化(Embedding)OpenAI, Inc.米国OpenAI API 利用規約により担保
アプリケーション・データベースエックスサーバー株式会社日本委託契約により担保
アップロードファイル保管Amazon Web Services, Inc.日本(東京リージョン)AWS データ処理契約により担保
決済代行Stripe, Inc.米国PCI-DSS Level 1 準拠

5.2 AI 処理経路の選択

  1. デフォルトでは AI 処理は前項の「デフォルト経路」を使用する。
  2. 契約者は、申請制により「オプション経路(Azure OpenAI Service 東日本リージョン)」を選択することができる。
  3. オプション経路は次のような契約者向けの提供を想定する:
    • 日本国内処理を契約条件にしたい契約者
    • 要配慮個人情報を厳重に扱いたい契約者
    • Microsoft 社員によるレビュー可能性も避けたい契約者
  4. オプション経路の利用申請は当社所定の方法により行うものとする。当社の承諾を得たうえで適用される。

第6条(越境移転)

  1. 当社は本サービスのデフォルト経路において、契約者データを米国に所在する AI API プロバイダに送信して処理する。これは個人情報保護法上の越境移転に該当する。
  2. 契約者は、本規程および利用規約に同意することにより、自らおよび利用者の個人情報の越境移転に同意するものとする。
  3. 契約者は、利用者および第三者(契約者の顧客、サービス利用者、保護者等)から、当該越境移転について本人同意を取得する義務を負うものとする。
  4. 米国における個人情報保護制度の概要については、個人情報保護委員会のウェブサイトを参照されたい。当社は委託先と契約を締結し、個人情報の適切な取扱を担保している。
  5. オプション経路(Azure OpenAI Service 東日本リージョン)の利用時は、契約者データは日本国内のみで処理される。

第7条(契約者の責任範囲)

契約者は本サービスの利用にあたり、次の責任を負う。

  1. 本人同意の取得: 利用者および第三者の個人情報を本サービスに入力する場合、本人から事前に同意を取得すること(越境移転、AI 処理への利用、本規程に定める取扱を含む)
  2. アカウント管理: ログイン情報の適切な管理、第三者への開示・貸与の禁止
  3. アカウント流出による情報漏洩: 契約者または利用者の管理不備に起因する情報漏洩は契約者の責任とする
  4. 要配慮個人情報の取扱(第 8 条参照)
  5. 入力データの適法性確保(第三者の権利を侵害する情報を入力しないこと)

第8条(要配慮個人情報の取扱)

  1. 本サービスは、契約者の責任において、要配慮個人情報(個人情報保護法第 2 条第 3 項に定めるもの。医療情報、障害情報、犯罪歴等を含むがこれらに限らない)を入力することができる。
  2. 契約者は、要配慮個人情報を本サービスに入力する場合、次の事項を遵守する義務を負う。
    • 利用者本人または保護者等から、本サービスへの入力および本規程に定める取扱について、書面または電磁的記録による事前の同意を取得すること
    • 本サービスへの入力範囲を業務上必要最小限に留めること
    • 要配慮個人情報を含むファイルの機密度設定(本サービスのアクセス制御機能)を適切に行うこと
  3. 当社は委託先として要配慮個人情報を取り扱う際の監督義務を負う。
  4. 当社は要配慮個人情報を含む契約者データに対し、第 10 条に定める安全管理措置を適用する。

第9条(当社の責任範囲)

当社は契約者データの取扱について、次の責任を負う。

  1. 保存セキュリティ強化: 暗号化、アクセス制御等の技術的安全管理措置の実施(第 10 条)
  2. アクセスの透明性: 当社運営者による契約者データへの恣意的アクセスを行わない。必要時(障害調査、契約者からの依頼等)のみアクセスし、その記録を保持する
  3. 流出時の責任: 当社の瑕疵による流出には適切な対応を行う(利用規約 第 19 条・第 20 条)
  4. 委託先の監督: 委託先における契約者データの取扱を監督する

第10条(安全管理措置)

当社は契約者データの安全管理のため、次の措置を講じる。

10.1 技術的安全管理措置

  • 通信の暗号化(TLS 1.3)
  • 保管データの暗号化(AES-256)
  • アクセス制御(契約企業ごとのテナント分離、利用者のクリアランスレベルに応じた閲覧制御、機密度設定に応じたファイル分離)
  • 操作ログ・監査ログの記録
  • 定期的なバックアップ(自動取得、30 日保持)
  • 不正アクセスの監視

10.2 組織的安全管理措置

  • 個人情報取扱責任者の設置
  • 必要最小限の権限による運用
  • 情報漏洩事案発生時の対応体制(48 時間以内の通知含む。利用規約 第 20 条)
  • サイバー保険への加入
  • クラウドインフラ(AWS)への運営者アクセス履歴の記録・監査体制(2026 年 6 月導入予定。導入完了後、本規程の本項を「導入予定」から「実施済」に更新する)

10.3 物理的安全管理措置

  • データセンターはエックスサーバー、AWS、Microsoft、Stripe 等の事業者所定のセキュリティ基準に従って運営される

第11条(監査ログ)

  1. 当社は契約者データへのアクセス、操作の記録(監査ログ)を取得し、保存する。
  2. 監査ログは契約期間中、契約者の権利として閲覧可能とする。
  3. 監査ログの保管期間および解約後の取扱は次のとおり:
    • 契約期間中: 保持、契約者が閲覧可能
    • 解約後: 契約者データ削除と同タイミングで削除(第 12 条参照)
    • 例外: 漏洩等の調査記録は別管理とし、法令所定の期間保管する

第12条(保管期間および削除)

12.1 契約期間中

  • 会話履歴: 無期限保存(契約者がいつでも削除可能)
  • アップロードファイル: 無期限保存(契約者がいつでも削除可能)
  • 容量制限(プランごと)を超過した場合の取扱は、別途運用ルールに定める

12.2 解約後の流れ

解約申請 ↓ 契約期間終了日(=次回更新日の前日経過) ↓ 30 日間: 契約者データのダウンロード期間 ↓ 本番環境のデータ削除 ↓ +30 日後: バックアップデータの自然消滅 ↓ 完全消去(計 60 日)

12.3 法令上の保管義務

次の情報は、法令により保管が義務付けられているため、契約者データの削除後も別途保管する。

  • 取引記録(税法上 7 年)
  • 契約関連書類(電子契約 10 年)
  • 漏洩等の調査記録(法令所定の期間)

第13条(契約者の権利)

契約者は本規程に基づき、次の権利を有する。

  1. 自社および自社の利用者の個人情報の開示、訂正、追加、削除、利用停止または第三者提供の停止の請求
  2. 監査ログの閲覧
  3. 解約後の契約者データのダウンロード(第 12 条第 2 項の 30 日間)
  4. 越境移転の同意の撤回(撤回時はオプション経路への切替申請または契約解除を選択することになる)

請求は法務窓口(legal@apcmp.com)まで書面または電子メールにて行うものとする。当社は本人確認のうえ、法令および本規程に従い適切に対応する。

第14条(漏洩等が発生した場合の対応)

  1. 当社は契約者データの漏洩、滅失または毀損(以下「漏洩等」)を発見した場合、利用規約 第 20 条に従い対応する。
    • 速やかな調査(原因究明)
    • 影響範囲の特定
    • 発覚から 48 時間以内に契約者へ通知
    • 個人情報保護委員会その他の監督機関への報告(法令遵守)
    • 再発防止策の実施
    • 利用規約 第 19 条の上限内での損害賠償

第15条(規程の変更)

  1. 当社は法令の改正または事業内容の変更等に伴い、本規程を変更することがある。
  2. 重要な変更を行う場合は、変更日の少なくとも 30 日前までに契約者へ通知する。重大な変更については 60 日前までに通知する。

第16条(連絡先)

個人情報取扱に関するお問い合わせは、下記窓口まで:

  • 屋号: ap company
  • 個人情報取扱責任者: 代表者
  • 一般お問い合わせ: contact@sakinote-ai.jp
  • 個人情報の開示・訂正・削除等の請求: legal@apcmp.com
  • 事業所所在地: 〒710-0016 岡山県倉敷市中庄611-4 レクエルド大町1-108

附則

  1. 本規程は 2026年5月28日から施行する。