プライバシーポリシー
最終更新日: 2026年4月1日
株式会社PotentialX(以下「当社」)は、当社が運営する「ツキビトAI」および「ツキビトBOX」(以下、総称して「本サービス」)をご利用になるお客様(以下「ユーザー」)の個人情報を適切に取り扱い、保護することが社会的責務であると考え、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
本ポリシーにおける用語の定義は、個人情報の保護に関する法律(以下「個人情報保護法」)の定めに従います。
第1条(本サービスの特性とユーザーの定義)
- 本サービスは、人材紹介事業者(以下「契約者」)およびその従業員であるキャリアアドバイザー等(以下「登録ユーザー」)向けのBtoB SaaSです。
- 本サービスでは、登録ユーザーが業務上取り扱う求職者・求人企業等の第三者の個人情報(以下「候補者データ」)が入力されることがあります。
- 候補者データに関する個人情報保護法上の利用目的の通知・同意取得の義務は、当該データの取得主体である契約者が負うものとし、当社は契約者から委託を受けた処理者としてデータを取り扱います。
第2条(収集する個人情報の種類)
当社は、本サービスの提供にあたり以下の個人情報を取得します。
| 区分 | 情報の種類 | 取得方法 |
|---|
| 契約者・登録ユーザー情報 |
氏名、メールアドレス、所属企業名、電話番号、役職、ログイン認証情報、決済情報(Stripeが管理) |
利用登録時・設定変更時にユーザーが入力 |
候補者データ
(登録ユーザーが入力) |
候補者の氏名、連絡先、学歴、職歴、資格、希望条件、履歴書・職務経歴書等 |
登録ユーザーがCRM(ツキビトBOX)またはチャット経由で入力 |
企業・求人データ
(登録ユーザーが入力) |
企業名、担当者氏名・連絡先、求人要件、選考情報 |
登録ユーザーがCRMまたはチャット経由で入力 |
| 利用ログ・行動データ |
IPアドレス、ブラウザ情報、アクセス日時、操作ログ、AIタスク実行履歴 |
自動取得 |
第3条(個人情報の利用目的)
当社は、取得した個人情報を以下の目的のために利用します。
- 本サービスの提供・運営・改善(CRM機能の提供を含む)
- AIエージェントによるデータ処理(求人マッチング、スカウト文・推薦状の生成、日程調整文の生成、CRM入力補助、メール分類・要約等)
- 登録ユーザーからの問い合わせ対応(本人確認を含む)
- サービスに関する通知(メンテナンス、障害、機能更新、重要なお知らせ)
- 利用規約に違反するユーザーの特定および利用制限
- 有料プランの利用料金の請求
- AIエージェントの品質向上のためのデータ分析(第6条に定める条件に従う)
- 利用状況の統計・分析(個人を特定しない形式)
- 上記各号に付随する目的
第4条(AIによるデータ処理)
本条は、本サービスの中核であるAIエージェントによる個人データの処理について定めるものです。
- 処理の範囲: 登録ユーザーがAIエージェントに指示したタスクの遂行に必要な範囲でのみ、候補者データおよび企業・求人データをAIモデルに送信し、処理します。
- 利用するAIモデル: 本サービスは、以下の外部AI APIを利用してデータ処理を行います。
| 提供者 | サービス名 | データ学習への利用 |
|---|
| Google LLC | Gemini API | API利用規約により、送信データはモデル学習に利用されません |
| Anthropic PBC | Claude API | API利用規約により、送信データはモデル学習に利用されません |
- 外部AIモデルへの学習利用の禁止: 当社が本番環境で利用するAPIにおいて、ユーザーが入力したデータが外部AIモデルの学習データとして利用されることはありません。
- Human-in-the-Loop: AIが処理した結果に基づくメール送信・エントリー・CRM登録等の外部アクションは、必ず登録ユーザーの承認を経て実行されます。AIが登録ユーザーの承認なく外部アクションを実行することはありません。
- 伏字処理: 当社は、外部APIへの送信時に個人情報の伏字処理等の匿名化措置を講じるよう努めます。
第5条(個人情報の第三者提供)
- 当社は、以下の場合を除き、あらかじめユーザーの同意を得ることなく個人データを第三者に提供しません。
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合
- 国の機関等が法令の定める事務を遂行することに協力する必要がある場合
- 以下の場合は第三者提供に該当しません。
- 当社が利用目的の達成に必要な範囲内において、個人データの取り扱いの全部または一部を委託する場合(第7条に定める外部サービス提供者への委託、および第7条の2に定めるBPO業務委託を含む)
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
第6条(システムの品質向上およびAIプロンプト改善のためのデータ利用)
本条に定めるデータ活用は、外部LLMモデル本体の学習(ファインチューニング等)を目的とするものではありません。 AIエージェントへの指示文(プロンプト)の改善、応答テンプレートの最適化、検索精度の向上等、当社システム内部の品質改善のみを目的としています。
※ただし、第8条に定める通り、Google API(Gmail、Googleカレンダー等)から取得したユーザーデータについて、本条に定めるテナント内データ活用およびクロステナントデータ活用(AIプロンプトの改善等)の対象とすることは一切ありません。
- 当社は、AIエージェントの品質向上のため、以下の区分と条件のもとでデータを活用します。
| 活用の種類 | 対象データ | 用途 | オプトアウト |
|---|
| テナント内データ活用 |
自テナントの会話履歴・フィードバック・修正指示 |
自テナント専用のAI応答品質の向上(プロンプト改善・テンプレート最適化) |
不可(サービス品質維持のため) |
| クロステナントデータ活用 |
個人・法人を特定できないよう不可逆的な匿名化処理を行った統計データ・業務パターン |
全テナント共通のテンプレートや応答品質の改善 |
可(所定の方法で申出) |
- クロステナントデータ活用に用いるデータは、テナントID・個人名・企業名等の識別情報を不可逆的に除去した上で抽象化されたパターンデータのみとし、元データの復元は技術的に不可能な状態で処理されます。
- 契約者は、クロステナントデータ活用について、support@tsuki-bito.com への通知によりオプトアウトできます。
第7条(外部サービスへのデータ送信)
本サービスは以下の外部サービスを利用しており、サービス提供に必要な範囲で個人データが送信されます。
| カテゴリ | 提供者 | 送信されるデータ | 目的 |
|---|
| クラウドインフラ | Google Cloud Platform (Google LLC) | 全データ(暗号化保管) | データベース・サーバー・ストレージ |
| AI/LLM | Google Gemini API (Google LLC) | タスク処理に必要な候補者/求人情報 | AIエージェントの応答生成 |
| AI/LLM | Claude API (Anthropic PBC) | タスク処理に必要な候補者/求人情報 | AIエージェントの応答生成 |
| 決済 | Stripe, Inc. | 決済情報(カード情報はStripeが直接管理) | クレジットカード決済 |
| メール送信 | SendGrid (Twilio Inc.) | メールアドレス、メール本文 | 認証メール・通知メール |
| メール連携 | Gmail API (Google LLC) | メールアドレス、メール本文 | 登録ユーザーのGmailとの連携 |
| カレンダー連携 | Google Calendar API (Google LLC) | 予定情報 | 日程調整 |
| メール連携 | Microsoft Graph API (Microsoft Corporation) | メールアドレス、メール本文 | 登録ユーザーのOutlookとの連携 |
| カレンダー連携 | Microsoft Graph API (Microsoft Corporation) | 予定情報 | 日程調整(Outlookカレンダー) |
| チャット連携 | Slack / LINE / Chatwork / Microsoft Teams | チャットメッセージ | AIエージェントとの対話 |
各外部サービスの利用規約・プライバシーポリシーは各提供者の定めるところによります。
第7条の2(BPO業務委託における個人情報の取り扱い)
当社は、BPOオプション(利用規約第11条の2に定義)の提供にあたり、契約者が登録した候補者の個人情報を以下の条件のもとで業務委託先(BPOスタッフ)に取り扱わせることがあります。
- 委託の範囲: BPOスタッフが取り扱う個人情報は、契約者の登録ユーザーが承認したタスクの実行に必要な範囲に限定されます。具体的には、候補者の氏名・経歴情報・応募先企業名等、外部サービス(求人媒体・ATS等)への入力・送信に必要な情報に限ります。
- 安全管理措置: 当社はBPOスタッフとの間で秘密保持契約を締結し、以下の措置を講じます。
- 個人情報のローカル端末への保存・持ち出しの禁止
- 作業完了後のデータ残存の防止
- 担当テナント以外の業務データへのアクセスの禁止
- 操作ログの記録による追跡可能性の確保
- 再委託の制限: BPOスタッフは、当社の事前の書面による承諾なく、委託された業務を第三者に再委託することはできません。
- 監督: 当社は、BPOスタッフによる個人情報の取り扱いについて、定期的な監査・品質チェックを実施し、適切な監督を行います。
第8条(Google APIの利用に関する特記事項)
本サービスが Google API から取得した情報の使用、および他のアプリへの転送は、限定的使用の要件(Limited Use requirements)を含め、Google API Services User Data Policy に準拠します。
- 本サービスは、Google API を通じて取得したユーザーデータを、本ポリシーに明示された目的(メール連携・カレンダー連携等)以外に使用しません。
- Google API を通じて取得したデータは、ユーザーの明示的な同意なく第三者に提供しません。
- Google API を通じて取得したデータを、AIモデルの学習(ファインチューニング等)に使用しません。
第9条(データの保管場所と国外移転)
- 本サービスのデータは、Google Cloud Platform の東京リージョン(asia-northeast1)に所在するサーバーに保管されます。
- 当社は、Google Cloud Platform が提供するデータ保護措置(ISO 27001認証、SOC 2 Type II報告書、暗号化等)を確認の上、適切な保護水準が確保されていることを確認しています。なお、一部の外部サービス連携においてデータが国外に転送される場合があります。その場合は、個人情報保護法第28条に基づき適切な措置を講じます。
- 本サービスで利用する外部AI API(Gemini API、Claude API)のサーバーも米国に所在します。
- 上記の国外移転に関する詳細情報のお問い合わせは、第15条の窓口までご連絡ください。
第10条(安全管理措置)
当社は、個人情報の漏えい、滅失、毀損の防止その他の安全管理のため、以下の措置を講じています。
技術的安全管理措置
- 暗号化: 通信はTLS 1.2以上で暗号化。保管データはAES-256-GCMで暗号化
- 認証トークンの暗号化: OAuth認証トークン(Gmail等)はAES-256-GCMで暗号化した上でデータベースに保管
- テナント間データ隔離: マルチテナントアーキテクチャにおいて、各テナントのデータは論理的に完全隔離されており、他テナントからのアクセスはシステム上不可能
- アクセス制御: 管理画面へのアクセスはGoogle OAuth認証による特定ドメイン制限
- セキュリティヘッダー: HSTS、CSP、X-Frame-Options等のHTTPセキュリティヘッダーを適用
- PKCE: OAuth認証フローにおいてPKCE(Proof Key for Code Exchange)を実装し、認可コード横取り攻撃を防止
組織的安全管理措置
- 個人情報保護管理者の設置
- 従業者への個人情報取り扱いに関する教育の実施
- アクセスログの記録と定期的な監査
第11条(データの保持期間と削除)
- 契約者が利用するデータは、契約期間中および契約終了後90日間保管されます。
- 契約終了後90日が経過したデータは、物理的に削除されます。
- 契約者は、契約期間中いつでも管理画面より自己のデータの削除を申請できます。
- AIエージェントの会話ログは、サービス品質向上の目的で契約期間中保管されます。契約終了後は前項に従い削除されます。
- 法令により保存が義務付けられる情報(決済記録等)については、当該法令に定められた期間保管します。
第12条(個人情報の開示・訂正・削除・利用停止)
- 開示請求: 本人から個人情報の開示を求められた場合、本人確認の上、遅滞なく開示します(当該個人情報が存在しない場合はその旨を通知します)。
- 訂正・追加・削除: 本人から、個人情報の内容が事実でないとの理由で訂正等を求められた場合、利用目的の達成に必要な範囲で調査の上、必要な訂正等を行います。
- 利用停止・消去: 本人から利用停止等を求められ、その請求に理由がある場合は、遅滞なく利用停止等を行います。
- 前各項の請求は、第15条の窓口までご連絡ください。本人確認のため所定の書類の提出をお願いする場合があります。
- 個人情報の開示に際しては、1件あたり1,000円の手数料を申し受けます。
候補者データについて: 候補者データに関する開示・訂正・削除等の請求は、当該データの取得主体である契約者を経由してお申し出ください。当社は契約者からの指示に基づき対応します。
第13条(Cookieおよびアクセス解析)
- 本サービスは、ユーザーの利便性向上および統計データの取得のためCookieを使用します。
- Cookieにより取得する情報は、個人を直接特定するものではありません。
- Cookieの受け取りはブラウザの設定により拒否できますが、一部機能に制限が生じる場合があります。
第14条(本ポリシーの変更)
- 当社は、法令の改正、本サービスの変更等に伴い、本ポリシーの内容を変更することがあります。
- 重要な変更を行う場合は、本サービス上での掲示またはメール等の適切な方法でユーザーに通知します。
- 変更後のプライバシーポリシーは、本ページに掲載した時点から効力を生じます。
第15条(お問い合わせ窓口)
個人情報の取り扱いに関するお問い合わせ・苦情・相談は、以下の窓口までご連絡ください。
個人情報に関するお問い合わせ窓口
株式会社PotentialX 個人情報保護管理者
メール:
support@tsuki-bito.com
所在地
〒150-0013
東京都渋谷区恵比寿2丁目28番地10号 ベンチャーシティ恵比寿3265
代表者
代表取締役 古平翔太
制定日: 2026年4月1日 | 株式会社PotentialX
