1. 個人情報保護方針
キリハレ株式会社(以下「当社」といいます)は、HR Tech領域のSaaSサービス(ハラスメント判定AI、ストレスチェック、健康診断管理、エンゲージメント調査、退職予測等)を提供する事業者として、お客様企業の従業員の方々の心身の健康・職場環境に直結する情報をお預かりしています。なかでも、ストレスチェック結果・健診結果・医師面接記録・ハラスメント相談内容といった要配慮個人情報および機微性の高い情報を恒常的に取り扱う立場にあることを深く認識しています。
このような事業特性を踏まえ、当社は個人情報の保護を経営の最重要課題のひとつと位置付け、以下の方針に基づき個人情報保護マネジメントシステム(PMS)を構築・運用し、継続的に改善していきます。
-
事業の用に供する目的の明示
当社は、HR Tech SaaS事業(ハラスメント判定AIおよび関連プロダクト群、ストレスチェック・健診管理・エンゲージメント調査・退職予測等のサービス提供)、ならびにこれに付随する顧客サポート・契約管理・採用・経理・人事労務業務等のために個人情報を取得・利用します。具体的な利用目的は本書に明示し、目的の達成に必要な範囲を超えて利用することはありません。
-
個人情報の適正な取得・利用・提供
当社は、適法かつ公正な手段により個人情報を取得し、本人の同意を得た利用目的の範囲内でのみ取り扱います。要配慮個人情報(健康情報を含む)の取得については、原則としてあらかじめ本人の同意を得るものとし、目的外利用および同意なき第三者提供は行いません。なお、お客様企業の人事・管理者に対するハラスメント相談内容の共有等、サービスの性質上必要となる第三者提供については、利用目的および提供先を本人にあらかじめ明示し同意を取得する運用を徹底します。
-
法令・国が定める指針その他の規範の遵守
当社は、個人情報の保護に関する法律(個人情報保護法)、労働安全衛生法、労働基準法、マイナンバー法、ならびに個人情報保護委員会のガイドライン、JIS Q 15001:2023、JIPDEC「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」その他関係法令・規範を遵守します。
-
安全管理措置の実施
当社は、個人情報の漏えい、滅失またはき損の防止、その他個人情報の適切な管理のために、組織的・人的・物理的・技術的の各観点から必要かつ適切な安全管理措置を講じます。とりわけ要配慮個人情報については、アクセス権限の最小化、暗号化、アクセスログの取得・監視等、追加的な保護策を実施します。
-
委託先の適切な管理
当社は、個人情報の取扱いを外部に委託する場合、委託先の選定基準を定め、契約により個人情報の安全管理に関する事項を明確化したうえで、定期的に委託先の取扱状況を確認します。クラウドインフラ事業者・LLM API事業者・決済事業者・メール配信事業者・その他外部APIを利用する場合も同様の管理を行います。
-
外国にある第三者への提供(越境移転)への対応
当社は、サービス提供のため米国その他の外国にある第三者に個人データを提供する場合があります。この場合、個人情報保護法第28条に基づき、移転先国名、当該外国における個人情報保護に関する制度の情報、および当該第三者が講ずる個人情報の保護のための措置に関する情報を、あらかじめ本人に提供したうえで同意を取得する運用を徹底します。
-
個人情報に関する本人の権利への対応
当社は、保有個人データに関する本人からの開示・訂正・追加・削除・利用停止・第三者提供停止の請求、ならびに第三者提供記録の開示請求に対し、法令に定める手続に従って遅滞なく対応します。窓口は本書に明示します。
-
苦情および相談への対応
当社は、個人情報の取扱いに関する苦情および相談に対応するため、専用の窓口を設置し、本人からの問合せに誠実かつ迅速に対応します。窓口の連絡先は本書に明示します。
-
個人情報保護マネジメントシステムの継続的改善
当社は、JIS Q 15001:2023に準拠した個人情報保護マネジメントシステム(PMS)を構築・運用し、定期的な内部監査およびマネジメントレビューを通じて、その有効性を継続的に見直し改善します。あわせて、HR Tech SaaSという事業領域における個人情報を取り巻く環境変化(法改正、AI規制動向、海外移転規律の変更等)を監視し、PMSへ適時に反映します。
-
全従業者への周知・教育
当社は、本方針および関連する規程・手順を全従業者(役員、従業員、業務委託契約者等を含む)に周知するとともに、年1回以上の教育を実施し、個人情報保護に関する認識と力量の向上を図ります。
2. 事業者情報
本書は、当社「個人情報保護方針」に基づく具体的な取扱事項を定めたものであり、当社ホームページにおいて公表します。本書は、当社の以下の事業活動に伴って取得・利用する個人情報を対象とします。
- HR Tech SaaS の提供業務(ハラスメント送信前判定および事後分析、ストレスチェック、健康診断結果管理、過重労働判定、エンゲージメント調査、退職予測、ハラスメント相談、カウンセリング、会議録音・文字起こし・要約等)
- 顧客サポート、契約管理、請求・入金管理
- 自社の人事労務管理(採用、雇用契約、給与・社会保険、評価、退職管理)
- 委託先管理および取引先管理
| 名称 | キリハレ株式会社 |
|---|---|
| 所在地 | 〒236-0017 神奈川県横浜市金沢区西柴1-7-13 |
| 代表者氏名 | 代表取締役 佐藤 元輝 |
| 個人情報保護管理者 | 佐藤 元輝(代表取締役兼任) |
| 個人情報保護監査責任者 | 佐藤 彩和佳 |
3. 取得する個人情報の項目および利用目的
当社は、以下の利用目的の達成に必要な範囲で個人情報を取得・利用します。
3.1 顧客企業の従業員(サービスエンドユーザー)
| 取得項目 | 利用目的 |
|---|---|
| 氏名、フリガナ、社員番号、メールアドレス、所属部門、職種、雇用形態、職位、性別、生年月日 | 当社SaaSサービスの本人認証・利用提供のため |
| 健康保険証氏名・フリガナ・保険証番号 | 健診管理機能における本人特定および医療機関連携のため |
| 業務上のメッセージ・添付ファイル(Slack、Microsoft Teams、Chatwork、Gmail、Outlook、Microsoft 365等の業務通信本文を含む) | 送信前ハラスメント判定、事後分析、教師データ蓄積、人事ダッシュボード表示 |
| ハラスメント相談内容、加害者の氏名・所属・役職・関係性、第三者目撃者情報、相談者の体調・所感・意向、AI判定結果、加害者・第三者ヒアリング内容 | ハラスメント相談窓口運営、事実確認、社内通報窓口機能の提供、顧客企業の人事/管理者への共有(本人同意のうえ)、AI判定モデルの精度評価 |
| ストレスチェック回答(57問または73問)、結果スコア、高ストレス者判定、医師面接記録 ※要配慮個人情報 | ストレスチェック制度(労安衛法第66条の10)に基づく集団分析・本人通知・高ストレス者への医師面接機会提供 |
| 健康診断結果(身体測定、血液、尿、心電図、胸部レントゲン、聴力、視力、医学的所見、既往歴、業務歴、再検査・精密検査情報、産業医意見、就業判定、保険証情報、医療機関情報)※要配慮個人情報 | 健診管理および過重労働判定、産業医面接の運用支援、健診結果報告書の作成 |
| 過重労働状況(残業時間、遅刻早退欠勤回数、インターバル不足回数、月別集計、医師面接記録)※要配慮個人情報 | 過重労働者の医師面接運用支援 |
| エンゲージメント調査回答 | 組織エンゲージメントの可視化、人事的施策立案支援 |
| 退職予測関連の業務指標(カウンセリング利用頻度、勤怠、労働時間、健康リスク要因、ストレスチェック傾向、エンゲージメント指標を組み合わせた離職確率) | 退職リスク傾向の分析および顧客企業人事への示唆提供 |
| カウンセリング・1on1の対話本文、カルテ、面談シート、医師・カウンセラー所見 ※要配慮個人情報 | AI相談・カウンセリング・人事面談の運用および記録 |
| 会議の録音音声、文字起こし、話者別セグメント、参加者名・役職・メールアドレス、会議要約、決定事項、アクションアイテム、センチメント分析、トピック分類、キャリア課題、手書きメモ | 会議記録、議事録自動生成、1on1記録、人事評価補助 |
3.2 顧客企業の管理者・担当者
| 取得項目 | 利用目的 |
|---|---|
| 氏名、所属、役職、業務用メールアドレス、業務用電話番号 | 契約管理、サービス利用の管理者操作、サポート対応、請求・契約手続 |
| 操作ログ、ダウンロード履歴、APIキー利用ログ、HRダッシュボードへのアクセスログ | サービス品質維持、不正利用調査、セキュリティインシデント対応、Pマーク要件に基づく安全管理 |
| Slack OAuthトークン、Microsoft 365 / Microsoft Graph連携トークン、Gmail / Google Workspace連携トークン、Chatwork APIトークン | 顧客企業のメッセージング基盤との連携・送信前判定 |
3.3 当社サービスへのお問合せ者・採用応募者・取引先担当者・カウンセラー
| 区分 | 取得項目 | 利用目的 |
|---|---|---|
| お問合せ者 | 氏名、メールアドレス、会社名、問合せ内容 | お問合せへの回答、当社サービス案内(同意がある場合) |
| 採用応募者 | 履歴書記載事項、職務経歴、応募経路 | 採用選考、採用可否の連絡、入社後の人事管理 |
| 取引先担当者 | 氏名、所属、連絡先 | 契約管理、業務連絡、経理処理 |
| 提携カウンセラー・アセスメント要員 | 氏名、フリガナ、年齢、性別、保有資格、プロフィール、紹介概要、対応可能時間帯、銀行口座情報、電話番号、メールアドレス | カウンセリング業務委託契約の管理、報酬振込、依頼者とのマッチング |
4. 個人情報を与えることの必要性・任意性
JIS Q 15001:2023 表C.1(表示事項整理表)A.7 b)、ならびに個人情報保護法第21条に基づき、書面または電磁的記録(Webフォーム、API連携、CSVインポート、アプリ画面入力等)により本人から直接個人情報を取得する場面ごとに、当該情報の入力が必須か任意か、および提供されない場合に本人へ生じる結果を以下のとおり明示します。
4.1 入力必須の項目(提供されない場合は当該機能が利用できない)
| 取得場面 | 取得項目 | 必要性 | 提供されない場合に本人に生じる結果 |
|---|---|---|---|
| 顧客企業の従業員データ登録 | 氏名、フリガナ、社員番号、メールアドレス、所属部門、職種、雇用形態、職位、生年月日、性別 | 必須 | 当社SaaSサービスの本人認証および利用提供ができないため、当社サービスの利用ができません |
| 健診管理機能の利用 | 健康保険証氏名・フリガナ・保険証番号 | 必須 | 健診管理機能における本人特定および医療機関連携ができないため、当該機能を利用できません |
| 顧客企業の管理者・担当者登録 | 氏名、所属、役職、業務用メールアドレス | 必須 | 契約管理、サービスの管理者操作、サポート対応、請求・契約手続を行うことができません |
| メッセージング基盤連携 | OAuthトークン、Microsoft Graph連携トークン、Chatwork APIトークン等 | 必須(連携機能を利用する場合) | 顧客企業のメッセージング基盤と連携した送信前ハラスメント判定および過去メッセージのバッチ事後分析を提供できません |
| お問合せフォーム | 氏名、メールアドレス、会社名、問合せ内容 | 必須 | 当社からの回答ができません |
| 採用応募 | 履歴書記載事項(氏名、連絡先、学歴、職務経歴等の選考に必要な情報) | 必須 | 採用選考の対象とすることができません |
| 取引先担当者登録 | 氏名、所属、連絡先 | 必須 | 契約締結、業務連絡および経理処理を行うことができません |
| 提携カウンセラー・アセスメント要員登録 | 氏名、フリガナ、保有資格、対応可能時間帯、銀行口座情報、連絡先 | 必須 | 業務委託契約の締結、報酬振込および依頼者とのマッチングを行うことができません |
4.2 任意項目(提供されない場合でも本人に直接の不利益は生じない)
| 取得場面 | 取得項目 | 必要性 | 提供されない場合に本人に生じる結果 |
|---|---|---|---|
| ストレスチェック回答 | 57問または73問の回答内容 | 任意 | 集団分析の対象から除外されます。本人への評価・処遇等の不利益は一切生じません(労働安全衛生法第66条の10第3項に基づき、不利益取扱いは禁止されています) |
| ハラスメント相談 | 相談内容、加害者情報、第三者目撃者情報、所感等 | 任意 | 相談しないことを選択できます。利用しても、しなくても、本人の評価・処遇等の不利益は一切生じません |
| エンゲージメント調査 | 調査回答 | 任意 | 集団分析の対象から除外されます。本人への評価・処遇等の不利益は一切生じません |
| カウンセリング・1on1(任意利用枠) | 対話内容、面談シート、キャリア課題 | 任意(顧客企業の制度上必須とされていない場合) | 利用しないことを選択できます。本人への評価・処遇等の不利益は一切生じません |
| 採用応募時の任意項目 | 職務経歴書の備考欄、自己PRの任意記載項目、応募経路詳細等 | 任意 | 提供しなくても選考から除外されることはありませんが、選考担当者が参照できる情報が減るため、応募者の長所・志望動機等が伝わりにくくなる可能性があります |
| 当社からのサービス案内・メールマガジンの受信同意 | お問合せ者本人の受信可否選択 | 任意 | 同意されない場合、当社からのサービス案内・メールマガジンを送付しません。お問合せ自体への回答および既存契約上のサービス提供には影響しません |
4.3 法令上の義務に基づき取得する項目
事業者として法令上取得・記録が義務づけられている情報(健康診断結果のうち労働安全衛生規則上の必須項目、ストレスチェックの実施記録、過重労働判定の根拠データ等)は、当社が顧客企業から委託を受けて取り扱います。法令上の義務の範囲については、エンドユーザーへの周知は顧客企業(取扱事業者)の責任で行う前提とし、当社はその通知文ひな型および同意取得画面を提供します。
5. 要配慮個人情報および機微性の高い情報の取扱い
5.1 該当する情報
| 情報の種別 | 法的位置付け | 当社での扱い |
|---|---|---|
| ストレスチェック結果(回答および高ストレス者判定) | 要配慮個人情報(健康情報) | あらかじめ書面または電磁的記録による明示同意を取得 |
| 健康診断結果(身体測定〜医学的所見・既往歴・業務歴を含む) | 要配慮個人情報(健康情報) | 同上 |
| 医師面接記録(産業医面接、過重労働面接、ストレスチェック高ストレス者面接含む) | 要配慮個人情報(医療情報) | 同上 |
| 過重労働判定の根拠データ | 要配慮個人情報相当(健康情報の派生) | 同上 |
| 健康保険証情報(保険証氏名・フリガナ・番号) | 個人識別符号に準じた取扱い | 同上 |
| ハラスメント相談内容(被害経験、加害者情報、第三者の言及) | 機微情報相当として要配慮個人情報に準じて取扱う | 取得時に利用目的・第三者提供先を明示し同意取得、アクセス権限を最小限に限定 |
| 会議録音および文字起こし、1on1のキャリア課題抽出データ | 個人情報。1on1のキャリア課題抽出は人事評価関連情報相当 | 録音開始時の明示通知(録音開始時の音声告知 + UI上の同意表示)および会議参加者全員の同意取得 |
5.2 取得・利用の原則
- 取得時に利用目的および第三者提供の有無を明示し、本人の同意を得たうえでのみ取得します。
- 同意なき目的外利用および同意なき第三者提供は行いません(個情法第18条・第27条)。
- アクセス権限を業務上必要な最小限の従業者および顧客企業の指定管理者に限定します。
- 録音を含む会議記録については、録音開始時に当該事実を会議参加者全員に明示し(録音開始時の音声告知およびUI上の録音中表示)、参加者の同意のもとで取得します。
6. 個人情報の取得方法
当社は、以下の方法により個人情報を取得します。
- 顧客企業から委託または提供される従業員データ(CSVインポート、API連携、SCIM等)
- 当社SaaSサービス上で本人が入力する情報(ストレスチェック回答、相談内容、エンゲージメント回答等)
- 顧客企業の管理者が当社サービス上で入力する情報
- 当社ホームページのお問合せフォーム、メール、書面、採用応募フォーム等
- Slack / Microsoft Teams / Microsoft Outlook / Gmail / Chatwork / ブラウザ拡張機能 / Officeアドイン等を経由する送信前判定対象メッセージ(顧客企業の同意およびエンドユーザー周知のもと)
- バッチ処理によるSlack / Microsoft Teams / Chatwork / Gmailからの過去メッセージ収集(顧客企業のOAuth同意に基づく)
- 健診結果画像のアップロード・OCR処理(健診管理機能)
- 会議録音および文字起こし(会議録音・文字起こしアプリのローカル録音 + クラウド文字起こしパイプライン)
なお、エンドユーザー(顧客企業の従業員)への利用目的通知は、原則として顧客企業(取扱事業者)が就業規則・社内通達等で実施し、当社は通知文ひな型および同意取得画面を提供する立場です(顧客企業との業務委託契約および利用規約に基づく)。当社サービスログイン時においても、利用目的および第三者提供の概要を表示する同意取得画面を提供します。
7. 第三者提供
7.1 国内の第三者提供
当社は、以下の場合を除き、本人の同意なく個人データを第三者に提供しません。
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要であって本人の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合
- 国または地方公共団体等への協力のため必要な場合
7.2 顧客企業の人事・管理者への提供
当社サービスの性質上、顧客企業の人事担当者・指定管理者・産業医に対し、当該従業員の以下の情報を提供する場合があります。提供範囲は顧客企業との利用規約および本人同意の範囲に従います。
| 提供される情報 | 提供先 | 提供形態 | 法的根拠 |
|---|---|---|---|
| ハラスメント相談内容(カウンセラー経由、本人が共有を希望した場合) | 顧客企業の人事・コンプライアンス担当者 | 個人特定可能な内容を含む書面・PDF | 本人同意(事前明示) |
| 送信前ハラスメント判定で検知された業務メッセージ | 顧客企業の人事担当者・指定管理者(HRロールまたはadminロール) | HR Web UIのインシデント詳細画面で復号した本文・送信者氏名・送信者メールアドレスを表示。HR権限ユーザーは管理画面のエクスポート機能から復号後の平文CSVをダウンロード可能(ダウンロード履歴は監査ログに記録) | 顧客企業との業務委託契約 + 顧客企業による就業規則・プライバシーポリシー上の事前周知 |
| バッチ事後分析の集計 | 顧客企業の人事担当者・指定管理者 | HR Web UIのダッシュボードで集計を表示。個人特定可能な個別表示は対象から除外し、原則として部署単位以上の月次集計(個人特定不可な範囲)で提供する。個別ユーザーへの介入が必要な場合は、本人同意を得たうえで個別の検知記録(インシデント詳細)を別途提供する | 同上 |
| ストレスチェック高ストレス者の医師面接申出 | 顧客企業の指定管理者・産業医 | 申出書および医師面接記録 | 本人同意(労安衛法上の運用に準拠) |
| 健診結果に基づく就業判定(個人別) | 顧客企業の人事・産業医 | 個人特定可能な健診結果報告書および就業判定書 | 法令上の事業者義務(労安衛法)+ 本人同意 |
| エンゲージメント調査の集団分析 | 顧客企業の人事 | 部署単位以上の月次集計値(個人特定不可な範囲) | 本人同意 |
| 退職予測の集計値および示唆 | 顧客企業の人事 | 部署単位以上の月次集計値(個人特定不可な範囲)。個別ユーザーへの介入が必要な場合は、本人同意を得たうえで個別指標を別途提供 | 本人同意 |
| 1on1会議録、議事録、AI要約、決定事項、アクションアイテム、センチメント分析、キャリア課題 | 顧客企業の人事・上長・本人 | 個人特定可能な会議録・要約 | 本人および参加者同意 |
7.3 委託に伴う提供(第三者提供には該当しない取扱い)
当社は、利用目的の達成に必要な範囲で、個人データの取扱いを以下の事業者に委託します(個情法第27条第5項第1号)。委託先は当社の選定基準を満たし、契約により安全管理および利用範囲を明確化しています。
| 委託先カテゴリ | 主な事業者 | 委託する取扱い |
|---|---|---|
| クラウドインフラ | Amazon Web Services(東京リージョン)、Microsoft(Azure Japan East) | サービス基盤の提供、Managed Database、Blobストレージ |
| LLM API(生成AI) | Microsoft(Azure OpenAI、Japan East)、Anthropic, PBC(Claude API)、OpenAI, L.L.C.、Google LLC(Gemini API) | ハラスメント判定、要約、自然言語処理、健診結果画像OCR、文字起こし要約、コンプライアンスレポート生成 |
| エッジ・CDN | Cloudflare, Inc.(R2含む) | エッジAPI、配信高速化、大容量ファイル中継 |
| 音声認識パイプライン | 自社運用の音声認識基盤 + Cloudflare R2ストレージ | 会議録音・文字起こし |
| 決済 | Stripe Payments Japan、Stripe, Inc. | サービス利用料の決済処理 |
| メール配信 | Twilio Inc.(SendGrid)、Google LLC(Gmail SMTP) | 通知メール、トランザクションメール |
| 顧客サポート・コミュニケーション | Chatwork株式会社、LINEヤフー株式会社 | サポート対応、業務連絡、社内アラート |
| ビデオ会議 | Daily Co. | 産業医面接等のオンライン実施 |
| プッシュ通知 | Google LLC(Firebase Cloud Messaging)、Apple Inc.(Apple Push Notification Service) | スマートフォンアプリへの通知 |
| 認証・サブスク管理 | RevenueCat, Inc. | モバイルアプリのサブスク管理 |
| 帳票PDF生成 | 株式会社Docurain | 健診結果報告書PDF生成 |
| 会計・経理 | freee株式会社 | 取引先・請求情報の管理 |
| シークレット管理・開発インフラ | Doppler、GitHub Inc.(リポジトリ管理) | 開発インフラの提供 |
上記委託先一覧は委託事業者管理台帳と同期し、稼働状況の変動にあわせて随時更新します(最終照合は同台帳の年次レビューにて実施)。
7.4 第三者提供記録の作成・保存
第27条第1項各号該当の第三者提供を行った場合は、提供年月日・提供先・対象本人・対象個人データ項目等を記録し、3年間保存します(個情法施行規則第20条準拠)。
8. 外国にある第三者への個人データの提供(越境移転)
当社は、サービス提供のため、米国にある事業者に個人データを提供する場合があります。本人の同意取得時には、個人情報保護法第28条に基づき以下の情報をあらかじめ本人に提供します。
8.1 提供先・提供国・対応スキーム
| 提供先事業者 | 所在国 | 用途 | 対応スキーム |
|---|---|---|---|
| Microsoft Corporation(Azure OpenAI、Japan East) | サーバ所在地は日本国内(Japan East)。ただし運営事業者本社は米国 | 一般的なLLM処理 | 基準適合体制を有する第三者(個情法28条1項)として整理。MicrosoftのDPA(Data Protection Addendum)に基づき、当該データはJapan Eastリージョン外に出ない契約となっている |
| Anthropic, PBC | アメリカ合衆国 | 送信前判定のフォールバック、その他LLM処理 | 本人同意 + DPA + 学習利用OFF設定(API利用時はデフォルトで学習利用なし) |
| OpenAI, L.L.C. | アメリカ合衆国 | LLM処理 | 本人同意 + DPA + 学習利用OFF設定(API利用時はデフォルトで学習利用なし) |
| Google LLC(Firebase、Gmail SMTP、Firebase Cloud Messaging、Gemini API) | アメリカ合衆国(Firebaseはasia-northeast1等のリージョン選択可能) | メール送信、プッシュ通知、関連サービスのLLM利用 | 本人同意 + DPA。Firebaseはasia-northeast1リージョンを選択 |
| Apple Inc. | アメリカ合衆国 | Apple Push Notification Service | 本人同意 + DPA |
| Stripe, Inc. | アメリカ合衆国 | 決済処理 | 本人同意 + DPA + PCI DSS準拠 |
| Twilio Inc.(SendGrid) | アメリカ合衆国 | メール配信 | 本人同意 + DPA |
| Salesforce, Inc.(Slack Technologies) | アメリカ合衆国 | Slack Web API経由の通知 | 本人同意 + DPA |
| Cloudflare, Inc.(R2を含む) | アメリカ合衆国 | エッジ/CDN/音声・画像ファイルの中継・保管 | 本人同意 + DPA |
| RevenueCat, Inc. | アメリカ合衆国 | モバイルアプリのサブスク管理 | 本人同意 + DPA |
| Doppler | アメリカ合衆国 | シークレット管理(個人情報の直接送信なし) | DPA |
| GitHub Inc.(Microsoft子会社) | アメリカ合衆国 | リポジトリ管理(個人情報の直接送信なし) | DPA |
当社の越境移転先は米国の事業者のみです。米国以外の国への直接的な個人データ移転は現時点で行っていません。
8.2 移転先国(米国)における個人情報保護制度の概要
当社は、移転先国における個人情報保護制度の情報を、個人情報保護委員会が公表する「外国における個人情報の保護に関する制度等の調査」(出典: 個人情報保護委員会 https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku)に基づき、本人へ別途提供します。
- アメリカ合衆国: 連邦レベルの包括的な個人情報保護法は未制定。州法(カリフォルニア州CCPA/CPRA、バージニア州VCDPA、コロラド州CPA、コネチカット州CTDPA、ユタ州UCPA等の包括法)および分野別法(HIPAA:医療情報、GLBA:金融情報、COPPA:児童情報、FCRA:信用情報等)が存在する。OECD 8原則およびAPEC越境プライバシー規則(CBPR)の参加国。
その他、移転先国の制度情報は委託事業者管理台帳に追記し、必要に応じて本人への情報提供文書を更新します。
8.3 第三者が講ずる個人情報の保護のための措置
各事業者は、自社プライバシーポリシーおよびデータ処理契約(DPA)において、暗号化、アクセス制御、運営者従業員の機密保持義務、サブプロセッサ管理等の保護措置を講じています。詳細は委託事業者管理台帳および各事業者の公表資料を参照ください。代表的な保護措置の例:
- Microsoft(Azure OpenAI): ISO/IEC 27001、ISO/IEC 27018、SOC 2 Type II認証
- OpenAI: SOC 2 Type II認証
- Anthropic: SOC 2 Type II認証、API利用時のデフォルトで学習利用なし
- Cloudflare: ISO/IEC 27001、SOC 2 Type II認証
- Stripe: PCI DSS Level 1準拠、SOC 1/2 Type II認証
9. 保有個人データに関する事項(個情法第32条対応)
9.1 保有個人データの利用目的
第3項に記載のとおりです。本人から個別の利用目的の通知を求められた場合、当社は遅滞なく回答します。
9.2 開示等の請求等の手続
本人または代理人は、当社に対し、保有個人データの以下の請求を行うことができます。
- 利用目的の通知の求め
- 開示請求(第三者提供記録の開示を含む)
- 訂正・追加・削除の請求
- 利用停止・消去・第三者提供停止の請求
受付窓口
必要書類
- 当社所定の請求書(当社ホームページからダウンロード)
- 本人確認書類の写し(運転免許証・マイナンバーカード等。代理人の場合は委任状および代理人の本人確認書類)
回答方法
原則として、ご請求者ご本人の住所宛に書面(簡易書留)または、ご本人の同意があれば電子メールにて回答します。
手数料
- 利用目的の通知および開示請求につき1件あたり ¥1,000
- 訂正・追加・削除・利用停止等の請求は無料
9.3 安全管理のために講じた措置の概要
当社は、保有個人データの安全管理のため、以下の措置を講じています(詳細は安全管理規程に定めます)。
- 基本方針の策定: 個人情報保護方針および各種規程の策定
- 個人データの取扱いに係る規律の整備: 取得・利用・保存・提供・削除等の各段階での取扱規程の整備
- 組織的安全管理措置: 個人情報保護管理者の選任、従業者の責任明確化、漏えい等事案への対応体制の整備
- 人的安全管理措置: 従業者への定期教育(年1回以上)、誓約書の取得
- 物理的安全管理措置: 業務エリアへの入退室管理、機器の盗難防止、書類・記録媒体の施錠管理
- 技術的安全管理措置: アクセス制御(顧客企業のHR / adminロールベースの権限分離を含む)、認証、ログ取得、暗号化、不正アクセス対策、データバックアップ、APIキーのハッシュ化保存
- 外的環境の把握: 委託先・越境移転先の所在国(米国)における個人情報保護制度を把握し、必要な対応を実施
9.4 個人データの保管期間
当社は、利用目的を達成するために必要な期間、個人データを保管し、保管期間経過後は遅滞なく廃棄します。主要な保管期間は以下のとおりです(個人情報保護法およびJIS Q 15001:2023に基づき、業界標準的な期間として設定)。
| データ種別 | 保管期間 | 根拠・備考 |
|---|---|---|
| 顧客企業の従業員データ(氏名・所属・連絡先等) | 顧客企業との契約終了後 5年 | 契約上の紛争対応・法令上の証憑保存(民法上の消滅時効5年)に対応するため |
| ハラスメント相談記録 | 相談終了後 5年 | 厚労省指針の趣旨を踏まえ、事後の紛争対応・労働審判等への対応のため |
| ストレスチェック結果(個人別) | 実施日から 5年 | 労働安全衛生法第66条の10、ストレスチェック制度実施規則準拠 |
| 健康診断結果(個人別) | 実施日から 5年(一部 30年:特殊健診の長期保管対象) | 労働安全衛生規則第51条準拠(一般健診5年、特殊健診は対象により最大30年) |
| 過重労働判定の根拠データ | 判定実施日から 5年 | 労働基準法第109条(賃金台帳・労働関係に関する重要書類)の趣旨に準じる |
| カウンセリング・1on1記録 | 記録作成日から 5年 | 紛争対応・人事評価補助の必要性、業界標準 |
| 会議録音・文字起こし | 記録作成日から 5年(顧客企業の指定があればより短期間に短縮可能) | 業界標準。顧客企業の人事規程との整合のため、契約上のオプションで短縮可能 |
| 顧客企業の管理者・担当者データ | 契約終了後 5年 | 同上 |
| アクセスログ・操作ログ・API利用ログ | 取得日から 3年以上 | Pマーク管理策の業界標準(最低1年、当社は3年以上を採用)、不正アクセス調査・インシデント対応の必要性 |
| 第三者提供記録(個情法第29条) | 作成日から 3年 | 個情法施行規則第20条 |
| 開示等の請求対応記録 | 対応完了後 5年 | JIS Q 15001:2023 9 本人の権利、業務記録の業界標準 |
| 苦情・相談対応記録 | 対応完了後 5年 | JIS Q 15001:2023 8.7、業務記録の業界標準 |
| 採用応募者データ(不採用者) | 応募終了後 1年 | 採用業務の必要性、再応募・問合せ対応のため |
| 採用応募者データ(入社者) | 退職後 5年 | 労働基準法第109条準拠 |
| 取引先担当者データ | 取引終了後 5年 | 民法上の消滅時効、会社法上の証憑保存(最大10年)に対応 |
| カウンセラー業務委託者データ | 契約終了後 5年 | 同上 |
| バックアップデータ | 30日〜90日 | インシデント対応・誤削除対応に十分な期間(個別データの保管期間を超えてバックアップに残す場合は速やかに削除手順を実行) |
保管期間を超えて保管する必要がある場合(法令上の証憑保存義務、係争対応等)には、当該必要性が解消するまで延長します。
10. 苦情・相談窓口
個人情報の取扱いに関する苦情・相談・お問合せは下記までお寄せください。
連絡先メール: privacy@kirihare.jp
所在地: 〒236-0017 神奈川県横浜市金沢区西柴1-7-13
受付時間: 平日 9:00〜18:00(土日祝・年末年始を除く)
開示等の請求手数料: 1件あたり ¥1,000(訂正・追加・削除・利用停止等の請求は無料)
11. 認定個人情報保護団体
当社は、本書作成時点(2026年5月8日)において、認定個人情報保護団体に加入していません。将来、加入した場合には本書に当該団体の名称および苦情申出先を追記します。
12. クッキー(Cookie)等の取扱い
当社ホームページでは、利便性向上およびアクセス解析のためクッキーを利用する場合があります。利用者はブラウザ設定により受入れを拒否できますが、その場合、当社サービスの一部機能をご利用いただけない可能性があります。
当社ホームページで実装されている主なトラッキング・解析ツールは以下のとおりです。これらは個人関連情報を含み得るため、提供先で個人データとなることが想定される場合は、個情法第31条に基づき本人同意を取得します(同意取得はLP上のクッキーバナーにて実施)。
- Google Tag Manager
- Google Analytics
- Facebook Pixel(Meta Platforms, Inc.)
- Google Adsコンバージョン
- Microsoft Clarity
- X(Twitter)Universal Tag(X Corp.)