プライバシーポリシー

第1条(取得する情報)

カチスジReach(以下「本サービス」)は、利用者および利用者がアプローチする送信先に関する以下の情報を取得します。

• 利用者の情報:氏名、メールアドレス、所属企業名、ホームページURL、営業資料、商材プロンプト、Clerk認証情報、組織情報、決済情報
• 送信先(リード)の情報:企業名、所在地、業種、代表者氏名、担当者氏名、役職、LinkedInプロフィールURL、Xプロフィールハンドル、自社ホームページの問い合わせフォームURL、公開されている連絡先情報
• 送信履歴情報:送信文面、送信日時、送信チャネル(LinkedIn DM / X DM / フォーム)、返信内容、アポイント獲得状況
• 操作ログ:ログイン日時、IPアドレス、利用機能、エラーログ、Clerkセッション情報
• AI生成データ:ICP分析結果、企業適合度スコア、生成された文面、Judge品質スコア、Outer Loop改善履歴

第2条(利用目的)

取得した情報は以下の目的に使用します。

• 本サービスの提供・運営(ICP設計、企業発見、文面生成、自動配信、改善ループ等)
• KPIダッシュボード・改善履歴の表示
• サービスの品質向上、新機能の開発・改善
• 障害対応、不正利用の防止、セキュリティ監査
• 料金請求、契約管理、本人確認
• 当社からの重要なお知らせ・利用案内の送信
• 統計データの作成(個人を特定できない形式に加工した上で)

第3条(第三者への提供)

当社は、以下の場合を除き、取得した個人情報を第三者に提供しません。

• 本人の同意がある場合
• 法令に基づく場合
• 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
• 本サービスの提供に必要な範囲で、本ポリシー第6条に記載するサブプロセッサに業務委託する場合
• 事業譲渡・合併その他の組織再編に伴い、本サービスに関する権利義務とともに第三者に承継させる場合

第4条(データの保管)

• データベース:Supabase(米国・EU・アジアの選択リージョン)にAES-256で暗号化して保管。本サービスは asia-northeast1(東京)リージョンを優先利用します
• ファイルストレージ:Google Cloud Storage(asia-northeast1)にAES-256で暗号化して保管
• キュー・キャッシュ:Upstash Redis(asia-northeast1 または最寄りリージョン)に保管
• OAuthトークン・APIキー等:AES-256-GCMで暗号化してデータベースに保管
• 通信はすべてTLS 1.2以上で暗号化
• 個人情報を取り扱う従業員・委託先には機密保持義務を課しています

第5条(データの保持期間)

• 利用者情報・送信先情報・送信履歴:契約期間中保持し、契約終了後合理的な期間内(原則90日以内)に削除します
• 監査ログ(audit_log):個人情報保護法第29条・第30条に基づく第三者提供に係る記録は3年間、その他の監査ログは1年間保持します(詳細は当社のログ管理規程に準拠)
• OAuthトークン:連携解除時に即時削除します
• 匿名化・統計化済みデータおよび学習済みモデルに組み込まれた知見は、契約終了後も当社が保持し、利用することができるものとします
• 法令上保持が義務付けられるデータは、当該保持期間中保持します

第6条(サブプロセッサ一覧)

当社は、本サービスの提供にあたり、以下のサブプロセッサ(業務委託先)に対して、業務遂行に必要な範囲で個人データを取り扱わせています。各サブプロセッサとは、当社のセキュリティ要件・データ処理要件を満たす契約(以下「DPA」)の締結を進めています。各社の契約状況は表中の「DPA / 契約状況」欄に都度更新します。

サブプロセッサの追加・変更・削除があった場合、当社は本ポリシーを更新します。重要な変更がある場合は本サービス上での通知またはメールにてお知らせします。利用者は、最新のサブプロセッサ一覧および各社の DPA 締結状況をいつでも info@goalseek.jp にて確認できます。

第7条(個人データの越境移転)

本サービスの提供にあたり、第6条記載のサブプロセッサのうち、外国(本邦以外の国または地域)に所在する事業者に個人データを移転します。本条は個人情報保護法第28条に基づく外国にある第三者への個人データの提供について定めます。

7.1 移転先の外国名

• 米国(アメリカ合衆国):OpenAI、Anthropic、Google LLC(GCP / Gemini)、Tavily、Firecrawl(Mendable AI)、Serper、Clerk、Supabase、Upstash、Vercel、Google Cloud Platform
• EU(チェコ共和国 / その他 EU 加盟国):Apify Technologies s.r.o.、Proxy-Seller

7.2 移転先の国における個人情報保護制度

移転先である米国および EU 各国の個人情報保護制度に関する個人情報保護委員会の調査結果は、同委員会が公表する 「外国にある第三者への個人データの提供」関連資料 に従い、利用者の請求があれば当社から提供します。 米国は連邦レベルの包括的な個人情報保護法を有さず、州法(カリフォルニア州 CCPA / CPRA 等)・分野別法(HIPAA、GLBA 等)の組合せで保護されます。EU は GDPR(General Data Protection Regulation, Regulation (EU) 2016/679)が適用されます。

7.3 サブプロセッサが講ずる安全管理措置

• 各サブプロセッサとの間で、Standard Contractual Clauses(SCC)、Data Processing Addendum(DPA)、Customer Agreement、Commercial Terms 等を介した契約上の安全管理措置を講じる(締結状況は第6条の表のとおり)
• 個人データの暗号化(保存時 AES-256、通信時 TLS 1.2 以上)
• アクセス権限の最小化、二要素認証、監査ログによるアクセス記録
• サブプロセッサ側のセキュリティ認証(SOC 2 Type II / ISO 27001 等)の確認

7.4 送信先(リード)の個人データの取り扱い

本サービスは、利用者(当社の顧客企業)が指定または当社が公開情報から発見する送信先(リード)の個人データ(氏名、所属企業、役職、SNS プロフィール URL 等)を取り扱います。これらの個人データを外国所在のサブプロセッサに提供する場合、当社は法令上必要な範囲で利用目的を特定し、第26条(漏えい等)・第33条(開示)その他本人の権利保護のための措置を講じます。送信先本人から直接本人の権利行使がなされた場合の窓口は第9条のとおりです。

利用者は、本サービスの利用にあたり、上記越境移転に同意するものとします。

第8条(配信停止希望・サプレッションリスト管理)

• 本サービスを通じて送信された LinkedIn DM・X DM・フォームメッセージの受信者から「今後の連絡を停止したい」旨の申し出があった場合、当社は当該送信先を恒久的にサプレッションリスト(配信停止対象)として管理します
• サプレッションリストに登録された送信先には、利用者および利用者の配下の他キャンペーンからも、本サービスを通じた送信を行いません
• 送信先からの配信停止希望は、利用者の管理画面(／返信内容)に表示されます。利用者も自ら直接受領した配信停止希望を当社に通知する責任を負います
• 送信前のクロスチェックにより、サプレッションリスト登録済みの送信先への送信を技術的に防止します

第9条(本人の権利)

ご本人は、自己の個人データについて、開示、訂正、追加、削除、利用停止および第三者提供の停止を請求する権利を有します。請求は下記連絡先(info@goalseek.jp)までお願いいたします。当社は、ご本人確認の上、合理的な期間内(原則1ヶ月以内)に対応いたします。EU 一般データ保護規則(GDPR)の対象となる場合は、GDPR第15条以下の権利についても同様に対応します。

第10条(セキュリティ対策)

• ISO/IEC 27001:2022 受審準備中(ISMS Day 0:2026年5月2日)
• 暗号化(保存時 AES-256、通信時 TLS 1.2以上)
• Row Level Security(RLS)によるテナント分離
• 監査ログ(audit_log)の3層改ざん防止策(REVOKE / RLS / Trigger)
• 定期的なセキュリティレビュー、月次監査ログレビュー
• 個人情報保護法第26条に基づく漏洩等報告体制の整備

第11条(ポリシーの変更)

当社は、必要に応じて本ポリシーを変更することがあります。重要な変更がある場合は、本サービス上での通知またはメールにてお知らせいたします。変更後も本サービスを継続利用された場合、変更後のポリシーに同意したものとみなします。

第12条(個人情報取扱事業者・お問い合わせ)

• 名称:株式会社GSS研究所
• 所在地:〒430-0917 静岡県浜松市中央区常盤町144-6
• 代表取締役:伊藤祐助
• 個人情報保護に関するお問い合わせ:info@goalseek.jp