プライバシーポリシー

株式会社AppleSeed（以下「当社」といいます）は、当社が提供する不動産業務支援SaaS「R-step」（以下「本サービス」といいます）における、ユーザーの個人情報を含む利用者情報の取扱いについて、本プライバシーポリシー（以下「本ポリシー」といいます）を定めます。

1. 個人情報取扱事業者

2. 取得する情報

当社は、本サービスの提供にあたり、以下の情報を取得します。

• アカウント情報: 氏名、メールアドレス、所属企業名、電話番号、パスワード（暗号化して保管）
• 顧客管理データ: 本サービスにユーザーが登録した顧客情報、対応履歴、物件提案、見積、書類等
• 外部サービス連携情報: Zoom、Google Meet、LINE 等の外部サービスと連携する際に取得するアクセストークン、リフレッシュトークン、連携アカウントの識別子およびメールアドレス
• 利用情報: アクセスログ、IPアドレス、ブラウザ種別、Cookie、操作履歴
• 振込口座情報: 利用料金の精算（相殺方式）に伴う月次振込のために、ユーザーから提供される金融機関口座情報（金融機関名、支店名、預金種別、口座番号、口座名義）

3. 利用目的

取得した情報は、以下の目的のために利用します。

• 本サービスの提供、運営、保守
• ユーザー認証およびアクセス制御
• 外部サービス（Zoom 等）との連携機能の提供
• 利用料金の精算（相殺方式）および振込処理
• 利用状況の分析および本サービスの改善
• お問い合わせ対応、サポート提供
• 不正利用の調査および防止
• 重要なお知らせ、契約上の通知の送付

4. Zoom 連携データの取扱い

本サービスは Zoom Video Communications, Inc. が提供する Zoom API を利用して、ユーザーの Zoom アカウントとの連携機能を提供します。当該機能に関し、当社は以下を遵守します。

• Zoom 連携にあたっては、ユーザー本人による明示的な認可（OAuth 2.0）を経て、必要最小限のスコープのみを要求します
• 取得する Zoom データは、ミーティングの作成・更新・取得・削除、および連携アカウントの基本情報（氏名・メールアドレス・アカウント識別子）に限定されます
• ミーティングの録画データ、チャットログ、参加者リスト等は取得しません
• Zoom から取得したアクセストークンおよびリフレッシュトークンは、AES-256-GCM 方式で暗号化したうえで保管します
• ユーザーが Zoom App Marketplace 上で本アプリを削除した場合、Zoom から送信される deauthorization 通知を受け、当社が保管する当該ユーザーの Zoom 連携データ（トークン、識別子、メールアドレス、関連するミーティング情報）を速やかに削除します
• Zoom 連携を通じて取得したデータは、本サービス外の第三者に提供しません

5. Google 連携データの取扱い

本サービスは Google LLC が提供する Google API（Google Calendar API、Google OAuth 2.0）を利用して、ユーザーの Google アカウントとの連携機能を提供します。本機能における Google ユーザーデータの取扱いは、Google API Services User Data Policy（Limited Use 要件を含む）に準拠します。

取得するスコープと用途

• https://www.googleapis.com/auth/calendar.events: ユーザーの Google カレンダー上で重要事項説明予約のイベントの作成・更新・削除を行うため、および空き時間自動判定のために既存イベントの開始・終了時刻を取得するために使用します
• https://www.googleapis.com/auth/userinfo.email: 連携アカウントのメールアドレスを取得し、本サービスの連携設定画面で「どの Google アカウントが連携されているか」を表示するために使用します
• https://www.googleapis.com/auth/userinfo.profile: 連携アカウントの表示名を取得し、本サービスの連携設定画面で表示するために使用します

Google ユーザーデータの取扱い

• Google 連携にあたっては、ユーザー本人による明示的な認可（OAuth 2.0 同意画面）を経て、上記の必要最小限のスコープのみを要求します
• Google から取得したアクセストークンおよびリフレッシュトークンは、AES-256-GCM 方式で暗号化したうえでデータベースに保管します
• 取得した Google ユーザーデータは、本サービスの重要事項説明予約機能（カレンダーイベントの作成・更新・削除、および空き時間の自動判定）以外の目的には一切使用しません
• 取得した Google ユーザーデータは、本サービス外の第三者（広告プラットフォーム、データブローカー、情報再販業者等を含むがこれらに限定されません）に対して、共有、転送、開示、または販売することはありません
• 取得した Google ユーザーデータを、広告（リターゲティング広告、興味関心ベースの広告、パーソナライズド広告を含みます）、与信判断、貸付目的、AI または機械学習モデルの学習には一切使用しません
• 当社の従業員、業務委託先、関係者は、ユーザーの Google データの内容を閲覧しません。ただし以下の場合を除きます: (a) ユーザーから特定のデータを閲覧することについて事前の明示的同意を得た場合、(b) セキュリティ目的（不正利用の調査等）で必要な場合、(c) 適用法令を遵守するために必要な場合
• ユーザーが R-step 内で Google 連携を解除した場合、または Google アカウント側（myaccount.google.com）で本アプリへのアクセスを取り消した場合、当社が保管する当該ユーザーの Google 連携データ（トークン、識別子、メールアドレス、関連するカレンダーイベント識別子）を速やかに削除します
• 本サービスは米国 Render Services, Inc. が運営するクラウドインフラ（Render.com）上で稼働しており、Google ユーザーデータは同クラウドインフラ上のデータベースに保管されます。同社とは秘密保持契約を含むサービス利用契約を締結しており、当社による適切な監督下にあります。これ以外の第三者へのデータ転送は行いません

6. 第三者提供

当社は、法令に基づく場合を除き、ユーザーの同意なく個人情報を第三者に提供しません。ただし、本サービスの運営に必要な範囲で、業務委託先（クラウドインフラ提供者: Render Services, Inc.（米国）、メール配信業者、振込実行のための提携金融機関等）に取扱いを委託する場合があります。委託先に対しては、機密保持契約を含む適切な契約を締結し、監督を行います。

7. データの保管および安全管理

• 個人情報は、SSL/TLS による暗号化通信を経由して送受信されます
• パスワード、外部サービスのアクセストークン等の機微情報は暗号化したうえで保管します
• サーバーへのアクセスは権限を有する従業員に限定し、アクセスログを記録します
• データはクラウドインフラ事業者のセキュアな環境下で保管します

8. データの保存期間および削除

ユーザーアカウントが解約された場合、または本サービスの利用を終了した場合、当社は法令上の保存義務がある場合を除き、合理的な期間内に当該ユーザーに関するデータを削除します。

ユーザーは、いつでも自己に関する個人情報の開示、訂正、削除、利用停止を請求することができます。請求は、本ポリシー末尾に記載するお問い合わせ先までご連絡ください。

9. Cookie の利用

本サービスでは、ユーザー認証およびセッション管理のために Cookie を使用します。ユーザーはブラウザの設定により Cookie の受け入れを拒否することができますが、その場合本サービスの一部機能が利用できなくなる可能性があります。

10. 本ポリシーの変更

当社は、必要に応じて本ポリシーを変更することがあります。変更後の本ポリシーは、本サービス上に掲載した時点から効力を生じるものとします。重要な変更がある場合は、ユーザーに事前に通知します。

11. お問い合わせ窓口