Scale人事評価 プライバシーポリシー
1. はじめに
カラフルボックス株式会社(以下「当社」といいます)は、Scale人事評価(以下「本サービス」といいます)の提供にあたり、利用者の皆様からお預かりする個人情報の重要性を認識し、その保護を徹底することが当社の社会的責務であると考えています。
本プライバシーポリシー(以下「本ポリシー」といいます)は、個人情報の保護に関する法律(以下「個情法」といいます)その他の適用法令を遵守し、本サービスにおける個人情報の取り扱いについて定めるものです。本サービスをご利用いただくにあたり、本ポリシーをお読みいただき、内容をご理解いただいた上でご利用ください。
2. 個人情報の定義
本ポリシーにおいて「個人情報」とは、個情法第2条第1項に定める個人情報をいい、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるもの、または個人識別符号が含まれるものをいいます。
3. 収集する個人情報と利用目的
当社は、以下の個人情報を、対応する利用目的の範囲内で収集します。個情法第17条に基づき、利用目的はできる限り特定した上で記載しています。
3.1 利用者(法人)の担当者情報
| 収集する情報 | 利用目的 |
|---|---|
| 法人名、所在地、電話番号、メールアドレス | 契約管理、請求、重要通知の送信 |
| 担当者の氏名、部署、役職、連絡先 | 契約管理、サポート対応、連絡 |
| 請求先情報 | 利用料金の計算・請求・管理 |
3.2 ユーザー(従業員)に関する情報
| 収集する情報 | 利用目的 |
|---|---|
| 氏名、社員番号、メールアドレス | アカウント作成・管理、通知送信 |
| 所属部署、役職、職種 | 評価ワークフローの実行、組織管理機能の提供 |
| 評価情報(目標、自己評価、評価者評価、評点、コメント等) | 評価シート管理、目標管理機能の提供、AIコーチ機能の提供 |
| 本サービス上での操作履歴 | 不正アクセスの検知・防止、障害対応、サービス改善 |
3.3 自動的に収集される情報
| 収集する情報 | 利用目的 |
|---|---|
| IPアドレス、ブラウザの種類、OS | セキュリティ確保、障害対応 |
| アクセス日時、閲覧ページ | サービス品質の向上、障害対応 |
| Cookie情報 | ログイン状態の維持(詳細は第10条参照) |
4. 個人情報の利用目的の変更
当社は、変更前の利用目的と関連性が合理的に認められる範囲内においてのみ、利用目的を変更することができます。利用目的を変更する場合は、第12条に定める手続きに従って利用者に通知または公表します。
5. 個人情報の第三者提供
当社は、以下の場合を除き、利用者の同意なく個人情報を第三者に提供することはありません。
- 法令に基づく場合 — 裁判所、検察庁、警察等の公的機関から個情法その他の法令に基づく正式な要請があった場合
- 人の生命、身体または財産の保護のために必要な場合 — 緊急かつ本人の同意を得ることが困難な場合
- 公衆衛生・児童の健全育成のために特に必要な場合 — 本人の同意を得ることが困難な場合
- 事業承継に伴う場合 — 合併、会社分割、事業譲渡その他の事由による事業の承継に伴い個人情報が承継される場合(承継先においても本ポリシーと同等の保護が講じられます)
業務委託先への提供について:
本サービスの提供に必要な範囲での業務委託先への個人情報の提供は、個情法第27条第5項第1号に基づき第三者提供には該当しません。詳細は第6条をご参照ください。
6. 外部サービスへのデータ送信(業務委託)
当社は、本サービスの提供のために以下の外部サービスに個人情報の取り扱いを委託しています。これらへの提供は個情法上の「委託」に該当し、第三者提供ではありません。当社は各委託先に対し、個情法第25条に基づく必要かつ適切な監督を行います。
6.1 Google Cloud Platform(Vertex AI)
| 項目 | 内容 |
|---|---|
| 提供者 | Google LLC(米国) |
| 委託内容 | AIコーチ機能(目標添削、評価コメント生成)の提供、データ保存・処理 |
| 送信されるデータ | 評価シートの目標、自己評価、評価情報等のテキストデータ |
| データの取り扱い | 送信されたデータはGoogleのAIモデルの学習には使用されません。Google Cloud Vertex AIはエンタープライズ向けサービスであり、顧客データは顧客専用の環境内で保護されます。 |
| 移転先国 | 米国(EU-US Data Privacy Framework、標準契約条項(SCC)に基づく適切な保護措置あり) |
| 参考 | Google Cloud データ処理規約 |
6.2 Cloud SQL(PostgreSQL)
| 項目 | 内容 |
|---|---|
| 提供者 | Google LLC |
| 委託内容 | データベースサービス |
| 送信されるデータ | 本サービスで管理する全データ |
| 移転先国 | 日本国内(asia-northeast1リージョン) |
6.3 SendGrid
| 項目 | 内容 |
|---|---|
| 提供者 | Twilio Inc.(米国) |
| 委託内容 | メール通知の送信(評価依頼、ステータス変更通知等) |
| 送信されるデータ | メールアドレス、氏名、メール本文 |
| 移転先国 | 米国(標準契約条項(SCC)に基づく適切な保護措置あり) |
| 参考 | Twilio プライバシーポリシー |
6.4 委託先の変更
委託先を追加または変更する場合は、事前に本ポリシーを更新し、第12条に定める手続きに従って通知します。
7. 安全管理措置
当社は、個情法第23条に基づき、個人情報の漏洩、滅失、毀損を防止するため、以下の安全管理措置を講じています。
7.1 技術的措置
- 通信の暗号化: すべての通信はTLS 1.2以上により暗号化しています
- データの暗号化: 保存データはAES-256(Google Cloud管理キー)により暗号化しています
- アクセス制御: ロールベースのアクセス制御(RBAC)および多要素認証を実装しています
- パスワード管理: パスワードはbcryptによりハッシュ化して保存しています
- マルチテナント分離: 企業ごとにデータを論理的に分離し、他企業のデータにアクセスできない仕組みを実装しています
- 脆弱性対策: 定期的なセキュリティアップデートを実施しています
7.2 組織的措置
- 個人情報保護責任者の設置
- 個人情報を取り扱う従業員との機密保持契約の締結
- 従業員に対する個人情報保護教育の定期的な実施
- 個人情報の取り扱いに関する社内規程の整備・運用
7.3 物理的措置
- クラウドサービス(Google Cloud Platform)のデータセンターセキュリティ(入退室管理、監視カメラ、環境管理等)を活用
- 日本国内リージョン(asia-northeast1)でのデータ保存を原則とする
詳細なセキュリティ対策については、セキュリティファクトシートをご参照ください。
8. 個人情報の保存期間
当社は、利用目的の達成に必要な範囲内で個人情報を保存します。保存期間経過後、個人情報は復元不可能な方法で速やかに削除します。
| データ種別 | 保存期間 | 根拠・理由 |
|---|---|---|
| アカウント情報 | 利用契約終了後90日間 | データエクスポート期間の確保 |
| 評価データ | 利用契約終了後90日間 | データエクスポート期間の確保 |
| 操作ログ | 取得から1年間 | 不正アクセス検知・障害対応上の必要性 |
| お問い合わせ記録 | 対応完了から3年間 | 民法上の消滅時効(一般債権)に準じた管理 |
法令により保存が義務付けられているデータについては、当該法令が定める期間が優先されます。
9. 利用者の権利
9.1 個情法に基づく権利
利用者は、当社に対し、自己の個人情報について以下の権利を行使することができます(個情法第33条〜第39条)。
- 開示請求権: 当社が保有する自己の保有個人データの開示を請求する権利
- 訂正・追加・削除請求権: 個人情報が事実でない場合、訂正・追加・削除を請求する権利
- 利用停止・消去請求権: 個人情報が個情法に違反して取得・利用されている場合等、利用停止・消去を請求する権利
- 第三者提供停止請求権: 個人情報が個情法に違反して第三者に提供されている場合、提供の停止を請求する権利
9.2 任意対応(法令上の権利ではありません)
当社は、以下については個情法上の権利としての保証はありませんが、実務上可能な範囲で対応に努めます。
- データポータビリティ: 本サービスのエクスポート機能を通じ、構造化された機械可読形式(CSV等)での個人情報の受け取り
9.3 権利行使の手続き
権利を行使される場合は、第13条のお問い合わせ窓口までご連絡ください。ご本人であることを確認した上で、法令に定める期間内(開示請求については受付から2週間以内を目安)に対応いたします。代理人による請求も受け付けます(委任状等の提出が必要です)。
10. Cookieおよびアクセスログ
10.1 Cookieの利用
当社は、本サービスにおいて以下の目的でCookieを使用しています。
| 種類 | 目的 | 必須/任意 |
|---|---|---|
| 認証Cookie | ログイン状態の維持 | 必須 |
| セッションCookie | 一時的な設定情報の保持 | 必須 |
本サービスでは、広告目的のトラッキングCookieおよびサードパーティCookieは使用していません。ブラウザの設定によりCookieを無効にすることができますが、その場合、本サービスの一部機能がご利用いただけなくなる場合があります。
10.2 アクセスログ
当社は、サービスの安定運用およびセキュリティ確保のため、以下のアクセスログを記録しています。
- アクセス日時
- IPアドレス
- ブラウザ情報(User-Agent)
- リクエストURL
- 操作内容
これらのログは、不正アクセスの検知・防止、障害対応、サービス改善の目的でのみ使用し、第8条に定める保存期間経過後に削除します。
11. お子様の個人情報
本サービスは法人向けサービスであり、16歳未満のお子様を対象としていません。16歳未満のお子様の個人情報を意図的に収集することはありません。16歳未満のお子様の個人情報が誤って収集されていることが判明した場合は、速やかに削除します。
12. プライバシーポリシーの変更
当社は、法令の改正、サービス内容の変更、その他必要に応じて本ポリシーを変更することがあります。
- 重要な変更(利用目的の変更・新たな外部サービスの追加等を含む場合): 変更の効力発生日の30日前までに、本サービス上での掲示またはメールにより利用者に通知します
- 軽微な変更(誤字脱字の修正、表記の明確化等): 変更後に本サービス上での掲示により通知します
変更後のプライバシーポリシーは、当社が定める効力発生日から効力を生じます。効力発生日以降に本サービスを継続してご利用いただいた場合、変更後のポリシーに同意いただいたものとみなします。ただし、個情法上同意が必要な利用目的の変更については、別途同意を取得します。
13. お問い合わせ窓口・苦情申出
13.1 当社窓口
個人情報の取り扱いに関するお問い合わせ、ご質問、開示等の請求、苦情等については、以下の窓口までご連絡ください。
カラフルボックス株式会社 個人情報保護窓口
- 所在地: 〒578-0946 大阪府東大阪市瓜生堂2-18-39
- メール: info@colorfulbox.jp
- 受付時間: 平日 9:00〜18:00(土日祝日、年末年始を除く)
13.2 個人情報保護委員会への苦情申出
当社の対応にご不満がある場合、または個人情報の取り扱いに関する苦情については、個人情報保護委員会(PPC)に申し出ることができます。
- 個人情報保護委員会 公式サイト: https://www.ppc.go.jp/
- 相談ダイヤル: 0120-700-779(平日10:00〜17:00)