プライバシーポリシー

最終更新日：2026年6月16日

株式会社アプリ調味（以下「当社」といいます。）は、当社が提供するAIブランド・インテリジェンス／AIサーチ可視性プラットフォーム「Suparanku（スーパーランク）」（以下「本サービス」といいます。）における個人情報の取扱いについて、個人情報の保護に関する法律（以下「個人情報保護法」といいます。）その他の関係法令及びガイドラインを遵守し、以下のとおりプライバシーポリシー（以下「本ポリシー」といいます。）を定めます。

第1条（事業者の名称及び所在地）

本サービスにおける個人情報取扱事業者は以下のとおりです。

• 事業者名：株式会社アプリ調味（Apurichoumi Inc.）
• 代表者：代表取締役 グルチェンコヴ マクシム
• 所在地：〒150-0031 東京都渋谷区桜丘町１８－４ 二宮ビル１Ｆ－２５

第2条（取得する個人情報の項目）

当社は、本サービスの提供にあたり、以下の個人情報を取得します。

1. 登録情報：氏名、勤務先（法人名・部署名・役職）、メールアドレス、電話番号
2. 認証情報：マジックリンク認証に伴うメールアドレス、認証トークン、認証日時
3. 課金情報：請求先情報、請求履歴、決済代行会社が発行する決済識別子（クレジットカード番号本体は当社サーバーに保存されません）
4. 利用情報：IPアドレス、ユーザーエージェント、アクセスログ、操作ログ、Cookie等の識別子、ブラウザ言語、参照元URL
5. 顧客が本サービスに入力するデータ：監視対象ブランド名、競合ブランド名、プロンプト、検索クエリ、AIアシスタント（ChatGPT、Claude、Gemini、Perplexity等）から取得した応答テキスト及び引用情報

第3条（利用目的）

当社は、取得した個人情報を以下の目的の達成に必要な範囲で利用します。

1. 本サービスの提供、運営、保守及び改善
2. アカウント登録、本人認証（マジックリンク方式）及びサポート対応
3. 料金請求、決済処理、利用状況の通知及び請求書発行
4. 無料トライアル管理、有料プランへの自動移行及び自動更新に関する通知
5. AIアシスタント（OpenAI、Anthropic、Google Generative AI等）への問合せ送信及び応答の取得・分析
6. 不正利用の検知及び防止、利用規約違反への対応
7. サービスの品質維持、エラー監視、性能監視及びセキュリティ確保
8. 統計データの作成（個人を識別できない形式に加工したうえでの利用に限ります。）
9. 当社の新サービス、機能更新、メンテナンス情報、キャンペーン等のご案内
10. お問合せ及び苦情への対応
11. その他、上記各号に付随又は関連する目的

第4条（個人情報の第三者提供）

当社は、個人情報保護法その他の法令で認められる場合を除き、あらかじめ本人の同意を得ることなく、個人情報を第三者に提供しません。

第5条（個人データの取扱いの委託）

当社は、利用目的の達成に必要な範囲で、個人データの取扱いの全部又は一部を第三者に委託することがあります。委託先の選定にあたっては、十分な個人情報保護水準を備える者を選定し、契約その他の方法により、適切な監督を行います。主要な委託先は次条のとおりです。

第6条（外国にある第三者への個人データの提供）

1. 当社は、本サービスの提供にあたり、利用目的の達成に必要な範囲で、外国にある第三者に対して個人データを提供（取扱いの委託を含みます。）します。当該提供は、個人情報保護法第28条に基づき、本人の同意を得たうえで行います。本ポリシーへの同意により、本条に定める外国にある第三者への個人データの提供に同意したものとみなします。
2. 外国にある第三者への提供の概要は、以下のとおりです。

【提供先①】OpenAI OpCo, LLC

• 所在国：アメリカ合衆国
• 委託業務の内容：大規模言語モデル（GPTシリーズ）APIによる推論処理、ブランド可視性分析のためのプロンプト送信及び応答取得、並びに不正利用検知を目的としたプロンプトの分類（モデレーション）処理
• 提供する個人データ：顧客が入力したプロンプト、ブランド名、IPアドレス
• 当該外国における個人情報の保護に関する制度に関する情報：アメリカ合衆国（連邦）には日本の個人情報保護法に相当する包括的な個人情報保護法令は存在せず、分野別の連邦法（電子通信プライバシー法（ECPA）、グラム・リーチ・ブライリー法（GLBA）、医療保険の携行性と責任に関する法律（HIPAA）等）及び州法（カリフォルニア州消費者プライバシー法（CCPA／CPRA）等）が適用されます。EUの十分性認定はなく、APEC越境プライバシールール（CBPR）システムに参加しています。詳細は個人情報保護委員会公表資料（https://www.ppc.go.jp/enforcement/infoprovision/laws/offshore_report_america/ ）をご参照ください。
• 提供先が講ずる個人情報保護のための措置：
  • OpenAIとの間でData Processing Addendum（DPA）及び国際移転に関する標準契約条項相当の契約条項を締結
  • OpenAIは公式に「As of March 1, 2023, data sent to the OpenAI API is not used to train or improve OpenAI models」と明示しており（platform.openai.com/docs/guides/your-data）、また「By default, we do not train on any inputs or outputs from our products for business users, including ChatGPT Team, ChatGPT Enterprise, and the API」としています（openai.com/enterprise-privacy/）。当社はAPI経由でデータを送信しており、これらの方針が適用されます。
  • 通信時の暗号化（TLS 1.2以上）及び保管時の暗号化
  • SOC 2 Type 2監査の取得
  • 参考規約：https://openai.com/policies/row-privacy-policy/ ／ https://openai.com/enterprise-privacy/

【提供先②】Anthropic, PBC

• 所在国：アメリカ合衆国
• 委託業務の内容：大規模言語モデル（Claudeシリーズ）APIによる推論処理、ブランド可視性分析のためのプロンプト送信及び応答取得、並びに不正利用検知を目的としたプロンプトの分類（モデレーション）処理
• 提供する個人データ：顧客が入力したプロンプト、ブランド名、IPアドレス
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様（個人情報保護委員会公表資料 https://www.ppc.go.jp/enforcement/infoprovision/laws/offshore_report_america/ を参照）
• 提供先が講ずる個人情報保護のための措置：
  • AnthropicとのDPA及び国際移転に関する標準契約条項相当の契約条項を締結
  • API経由で送信される顧客データはAnthropicのモデル学習に使用されない契約上の保証
  • Anthropicは以下の認証・対応状況を公表しています（support.claude.com/en/articles/10015870-what-certifications-has-anthropic-obtained）：HIPAA-ready configuration（BAA締結可能）、ISO/IEC 27001:2022（情報セキュリティマネジメント）、ISO/IEC 42001:2023（AIマネジメントシステム）、SOC 2 Type I 及び Type II
  • 通信・保管時の暗号化、アクセス制御
  • 参考規約：https://www.anthropic.com/legal/privacy

【提供先③】Google LLC（Google Generative AI／Google Cloud）

• 所在国：アメリカ合衆国
• 委託業務の内容：大規模言語モデル（Gemini）等APIによる推論処理、クラウドインフラの提供、並びに不正利用検知を目的としたプロンプトの分類（モデレーション）処理
• 提供する個人データ：顧客が入力したプロンプト、ブランド名、IPアドレス
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • Google Cloud Data Processing Addendum及び国際移転に関する標準契約条項相当の契約条項を締結
  • 通信・保管時の暗号化、アクセス制御
  • Google CloudのCompliance reports manager（cloud.google.com/security/compliance）に記載のSOC 2、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018認証の取得
  • 参考規約：https://policies.google.com/privacy?hl=ja

【提供先④】Supabase Inc.

• 所在国：アメリカ合衆国（データ保管リージョン：日本国東京（AWS ap-northeast-1））
• 委託業務の内容：データベース（PostgreSQL）基盤の提供、認証基盤の提供
• 提供する個人データ：登録情報、利用情報、認証情報、顧客が入力するデータ全般
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • SupabaseとのDPA締結、国際移転に関する標準契約条項相当の契約条項を締結
  • データ保管はAWS東京リージョン（ap-northeast-1）に限定
  • 保管時の暗号化（AES-256）、通信時の暗号化（TLS）、アクセス制御
  • Supabaseは公式トラストセンター（security.supabase.com）において、SOC 2 Type 2準拠、HIPAA準拠、ISO/IEC 27001認証取得を公表
  • 参考規約：https://supabase.com/privacy

【提供先⑤】Cloudflare, Inc.

• 所在国：アメリカ合衆国
• 委託業務の内容：オブジェクトストレージ（gzip圧縮されたAIアシスタント生応答データの保管）、CDN提供
• 提供する個人データ：顧客が入力するブランドデータ、AIアシスタント応答ログ
• データ保管リージョン：Cloudflare R2のロケーションヒント「APAC」（アジア太平洋地域。Cloudflare公式ドキュメント developers.cloudflare.com/r2/reference/data-location/ によれば「best effort and not a guarantee」であり、東京固定ではありません。）
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • CloudflareとのDPA及び国際移転に関する標準契約条項相当の契約条項を締結
  • 保管時及び通信時の暗号化、アクセス制御
  • SOC 2 Type 2、ISO/IEC 27001、ISO/IEC 27018認証の取得
  • 参考規約：https://www.cloudflare.com/privacypolicy/

【提供先⑥】Vercel, Inc.

• 所在国：アメリカ合衆国（エッジロケーション：hnd1 東京）
• 委託業務の内容：本サービスのWebフロントエンドのホスティング
• 提供する個人データ：IPアドレス、ユーザーエージェント、アクセスログ
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • VercelとのDPA及び国際移転に関する標準契約条項相当の契約条項を締結
  • SOC 2 Type 2、ISO/IEC 27001認証の取得
  • 通信時の暗号化、アクセス制御
  • 参考規約：https://vercel.com/legal/privacy-policy

【提供先⑦】Fly.io, Inc.

• 所在国：アメリカ合衆国（ワーカーホスティング：NRT 東京リージョン）
• 委託業務の内容：バックグラウンドワーカー（AIプロンプト実行・スケジューラ等）のホスティング
• 提供する個人データ：顧客が入力するプロンプト等のジョブデータ、IPアドレス、認証トークン
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • Fly.ioとのDPAの締結
  • 通信・保管時の暗号化、アクセス制御
  • Fly.ioのセキュリティに関する公表事項（fly.io/security）に記載のとおり、SOC 2の対応を進めている旨が示されています。最新の認証状況は同社のセキュリティページをご参照ください。
  • 参考規約：https://fly.io/legal/privacy-policy/

【提供先⑧】Functional Software, Inc.（DBA Sentry）

• 所在国：アメリカ合衆国
• データ保管リージョン：欧州連合（ドイツ、フランクフルト）。Sentry公式ドキュメント（sentry.zendesk.com）には「Sentry’s EU data center is located in Frankfurt, Germany with data backups within the EU.」と明記されています。一部のアカウント関連メタデータは米国に保管される場合があります（docs.sentry.io/organization/data-storage-location/）。
• 委託業務の内容：エラー監視、テレメトリ、パフォーマンス監視
• 提供する個人データ：エラー発生時のIPアドレス、ユーザーエージェント、利用者ID、スタックトレース、リクエスト情報
• 当該外国における個人情報の保護に関する制度に関する情報：ベンダー所在地はアメリカ合衆国であり、上記【提供先①】と同様の制度状況です。データの保管リージョンはドイツ（欧州連合加盟国）であり、欧州連合は個人情報保護委員会告示第１号により「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」として指定されています。EU GDPR及びドイツ連邦データ保護法（BDSG）が適用されます。
• 提供先が講ずる個人情報保護のための措置：
  • SentryとのDPA及び国際移転に関する標準契約条項相当の契約条項を締結
  • データ保管はEU（フランクフルト）リージョンに限定
  • SOC 2 Type 2、ISO/IEC 27001、HIPAA、EU-U.S. Data Privacy Frameworkに自己認証済み（sentry.io/trust/privacy/）
  • 参考規約：https://sentry.io/privacy/

【提供先⑨】Resend, Inc.

• 所在国：アメリカ合衆国
• 委託業務の内容：トランザクショナルメール配信（マジックリンク認証メール、各種通知メール）
• 提供する個人データ：メールアドレス、氏名、メール本文、配信ログ
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • ResendとのDPAの締結
  • 通信時の暗号化、アクセス制御
  • 最新の認証取得状況はResendのセキュリティページ（resend.com/security）をご参照ください。
  • 参考規約：https://resend.com/legal/privacy-policy

【提供先⑩】Slack Technologies, LLC（Salesforce, Inc. 子会社）

• 所在国：アメリカ合衆国
• 委託業務の内容：当社社内の営業・サポート用Slackチャンネルへの新規顧客登録通知の配信
• 提供する個人データ：登録顧客のメールアドレス、氏名、勤務先名、登録日時
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • SlackとのDPA及び国際移転に関する標準契約条項相当の契約条項を締結
  • SOC 2 Type 2、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018認証の取得
  • 通信・保管時の暗号化、アクセス制御
  • 参考規約：https://slack.com/trust/privacy/privacy-policy

【提供先⑪】Stripe, Inc.

• 所在国：アメリカ合衆国（日本国内における決済関連業務はStripe Payments Japan株式会社が関与する場合があります）
• 委託業務の内容：クレジットカード決済の処理、サブスクリプション課金の管理、請求書発行、不正利用検知（Stripe Radar）
• 提供する個人データ：請求先情報（氏名、メールアドレス、請求先住所）、決済履歴、決済識別子、IPアドレス及び端末情報（不正利用検知のため）。クレジットカード番号はStripeが直接取得し、当社サーバーには保存されません。
• 当該外国における個人情報の保護に関する制度に関する情報：上記【提供先①】と同様
• 提供先が講ずる個人情報保護のための措置：
  • StripeとのData Processing Agreement（DPA）及び国際移転に関する標準契約条項相当の契約条項を締結
  • PCI DSS（Payment Card Industry Data Security Standard）Service Provider Level 1認定
  • SOC 1 Type 2 及び SOC 2 Type 2 監査の取得、保管時・通信時の暗号化
  • 参考規約：https://stripe.com/jp/privacy ／ https://stripe.com/jp/legal/dpa

3. 当社は、上記提供先における相当措置の継続的な実施を確保するため、契約による義務付け、定期的な状況確認その他の必要な措置を講じます。本人の求めに応じ、当該必要な措置に関する情報を提供します。

4. 本人が上記の外国にある第三者への個人データの提供に同意しない場合、本サービスの全部又は一部を利用できない場合があります。

第7条（共同利用）

当社は、現時点において個人データの共同利用は行っていません。将来共同利用を行う場合には、共同して利用される個人データの項目、共同利用者の範囲、利用目的、共同利用にかかる個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人の場合はその代表者の氏名を、あらかじめ本人に通知し又は本人が容易に知り得る状態に置きます。

第8条（個人データの保存期間）

当社は、利用目的の達成に必要な期間に限り個人データを保存し、目的達成後は遅滞なく消去します。具体的な保存期間は次のとおりです。

1. アカウント情報：アカウント削除後12か月
2. 課金・取引情報：法人税法、消費税法、電子帳簿保存法その他の関係法令に基づき、当該事業年度終了後7年間
3. アクセスログ・操作ログ：取得日から最長12か月
4. AIアシスタント応答データ（Cloudflare R2）：取得日から最長24か月（顧客の解約後はアカウント削除日から180日以内に消去）
5. 認証関連ログ（マジックリンク含む）：取得日から最長12か月

第9条（安全管理措置）

当社は、個人データの漏えい、滅失又は毀損を防止するため、以下の安全管理措置を講じます。

1. 組織的安全管理措置：個人情報保護管理者の設置、責任体制の明確化、規程類の整備、教育研修の実施、漏えい等への対応体制の整備
2. 人的安全管理措置：従業者との秘密保持契約の締結、定期的な研修
3. 物理的安全管理措置：執務エリアへの入退室管理、機器の盗難・紛失防止措置
4. 技術的安全管理措置：アクセス制御、認証情報の管理、通信の暗号化（TLS 1.2以上）、保管時の暗号化（AES-256相当）、不正アクセス防止策、ログの取得・監視、脆弱性管理
5. 外的環境の把握：上記第6条に記載のとおり、当社は外国にある委託先を利用しており、当該国の個人情報保護制度を把握したうえで安全管理措置を講じています。

第10条（保有個人データに関する開示等の請求）

1. 本人又はその代理人は、当社に対し、個人情報保護法の定めるところにより、当該本人が識別される保有個人データの利用目的の通知、開示（電磁的記録の提供を含む。）、訂正、追加若しくは削除、利用の停止、消去若しくは第三者への提供の停止（以下「開示等」といいます。）の請求を行うことができます。
2. 開示等の請求は、当社所定の様式により、第13条記載の窓口に対して行ってください。本人確認のための書類の提出をお願いする場合があります。
3. 当社は、開示等の請求を受けた場合、合理的な期間内に対応します。利用目的の通知及び開示（電磁的記録による開示を含む。）の請求については、1件あたり1,000円の手数料を申し受ける場合があります。

第11条（Cookie等の利用）

当社は、本サービスの認証状態の維持、不正アクセス防止、利用状況の分析のためにCookie及びこれに類する技術を利用します。Cookieの詳細及び外部送信される情報については、別途「外部送信に関する公表（/legal/external-transmission）」をご参照ください。

第12条（個人情報保護管理者）

当社は、個人情報保護管理者を選任し、個人情報の適正な取扱いを統括しています。個人情報保護管理者は、当社所定の役職をもって特定します（個人を特定する氏名は社内規程によります）。

第13条（お問合せ窓口）

個人情報の取扱いに関するお問合せ、苦情、開示等の請求は、以下の窓口までお寄せください。

• 株式会社アプリ調味 個人情報保護管理者宛
• メールアドレス：privacy@suparanku.jp
• 所在地：〒150-0031 東京都渋谷区桜丘町１８－４ 二宮ビル１Ｆ－２５

第14条（権限ある監督機関）

本サービスに関する個人情報の取扱いに関する苦情は、個人情報保護委員会に対しても申立てを行うことができます。

• 個人情報保護委員会 個人情報保護法相談ダイヤル：03-6457-9849
• ウェブサイト：https://www.ppc.go.jp/

第15条（本ポリシーの改定）

当社は、法令の改正、本サービスの内容の変更その他の事由により、本ポリシーを改定することがあります。重要な変更を行う場合には、本サービス上での掲示又は登録メールアドレスへの通知により周知します。

以上