Sumai Agent プライバシーポリシー
株式会社Arealinks(以下「当社」といいます。)は、当社が提供するサービス「Sumai Agent」(以下「本サービス」といいます。)における、ユーザー(本サービスを利用する個人または法人。主に不動産仲介業者を想定しています。)および当該ユーザーが本サービスに登録する顧客等(以下「ユーザー顧客」といいます。)の個人情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます。)を定めます。
取得情報の概要(サマリー)
本サービスでは、主に以下の情報を取得・取り扱います。詳細な取扱方針は、各条項に定めるところによります。
| # | 取得する情報 | 取得のタイミング | 主な利用目的 | 該当条項 |
|---|---|---|---|---|
| 1 | ユーザー(仲介業者)のメールアドレス・認証情報 | 会員登録時 | アカウント認証、本人確認、サービスに関する重要連絡 | 第2条1項、第3条、第4条 |
| 2 | ユーザーがアップロードする物件資料(図面、間取り図、写真、PDF 等) | ユーザーが本サービスにアップロードした時 | 物件情報の抽出・整理、AI機能の提供、本サービスの運営 | 第2条4項、第7条 |
| 3 | ユーザー顧客(仲介業者の顧客)の個人情報(氏名、連絡先、案件情報等) | ユーザーが顧客情報として本サービスに登録した時 | 顧客管理機能の提供(ユーザーからの委託に基づく処理) | 第2条2項、第5条 |
これらに加え、本サービスの利用に伴い、IPアドレス・操作ログ等の自動取得情報(第2条3項)を取得します。
当社は、上記の情報を、本ポリシーに定める目的の範囲内でのみ利用し、適切な安全管理措置(第13条)のもと取り扱います。
第1条(個人情報)
「個人情報」とは、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)にいう「個人情報」を指すものとし、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、住所、電話番号、連絡先その他の記述等により特定の個人を識別できる情報をいいます。
第2条(個人情報の取得)
当社は、本サービスの提供にあたり、以下の方法により個人情報を取得します。
- ユーザー本人から直接取得する情報 - 利用登録時にユーザーが入力する情報(メールアドレス、表示名、Google等のソーシャルログインアカウント情報等) - ユーザーが本サービスに対して送信したお問い合わせ・メッセージの内容
- ユーザーが本サービスに登録するユーザー顧客の個人情報 - 氏名、フリガナ、年齢、住所、電話番号、メールアドレス - 連絡優先度、顧客ステータス、来店きっかけ、案件種別、自由記述メモ等
- 本サービスの利用に伴い自動的に取得する情報 - IPアドレス、ブラウザ・デバイス情報、アクセス日時、Cookie・類似技術によって取得される情報 - ユーザーの操作ログ、機能の利用履歴、AI機能のリクエスト履歴 - 製品分析ツール(PostHog 等)を通じて取得される画面遷移・クリック・セッション関連のイベントデータ
- ユーザーがアップロードするコンテンツ - 物件の図面、間取り図、写真、PDF、その他の文書
第3条(認証基盤の利用)
当社は、ユーザー認証および会員管理のために Google LLC が提供する Firebase Authentication を利用します。これに伴い、ユーザーのアカウント情報(メールアドレス、認証用ハッシュ済みパスワード、ソーシャルログイン連携情報等)は、Google LLC のサーバー(米国を含む海外を含みます。)に保管されることがあります。Google LLC におけるデータの取扱いは、同社のプライバシーポリシーに従います。
第4条(個人情報を取得・利用する目的)
当社が個人情報を取得・利用する目的は、以下のとおりです。
- 本サービスの提供、運営および保守のため
- ユーザー認証、ユーザーのアカウント管理および本人確認のため
- ユーザーからの問い合わせ・サポート対応のため
- 利用料金の請求、支払処理および滞納時の督促のため(有料プラン提供時)
- 本サービスの利用状況の把握、利用統計の作成、サービス改善および新機能の開発のため
- 本サービスに関する重要なお知らせ、規約変更、新機能・キャンペーン情報の提供のため
- 利用規約に違反する行為および不正利用の検知・防止のため
- その他、上記利用目的に付随する目的のため
第5条(顧客情報(第三者の個人情報)の取扱い)
- 取扱主体の整理:ユーザーが本サービスに登録するユーザー顧客の個人情報については、ユーザー(不動産仲介業者等)が個人情報保護法その他の関連法令上の取扱主体(個人情報取扱事業者)として一次的な責任を負い、当社は、本サービスの提供のために必要な範囲でユーザーから委託を受けた立場(個人情報保護法第27条第5項第1号にいう「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」に該当する委託先)として当該個人情報を取り扱います。
- 委託の範囲:当社が委託先として行う処理は、本サービスの機能提供のために必要な範囲(クラウド基盤上での顧客情報の保管、画面上での表示、検索・分類等のためのインデックス処理、AI機能による補助的な解析等)に限られ、当社が独自の目的のために当該個人情報を利用することはありません。
- ユーザー側の遵守事項:ユーザーは、ユーザー顧客の個人情報を本サービスに登録するにあたり、当該ユーザー顧客から必要な同意を取得し、または個人情報保護法上適法な根拠を確保しなければなりません。また、ユーザー顧客に対する利用目的の通知・公表(同法第21条)等、自らが個人情報取扱事業者として遵守すべき義務を、自己の責任において履行するものとします。
- 目的外利用の禁止:当社は、ユーザー顧客の個人情報を、本サービスの提供および運営の目的の範囲を超えて利用しません。
第6条(個人情報の保管および第三者サービスの利用)
当社は、取得した個人情報および本サービスの運営に必要なデータを、以下の第三者が提供するクラウドサービス上に保管・処理します。これらの第三者は、当社からの委託に基づき、当社が定めた目的の範囲内でデータを処理します。
| 委託先 | サービス | 処理内容 | データ所在地 |
|---|---|---|---|
| Google LLC | Google Cloud Platform(Firestore) | ユーザー情報、顧客情報、メモ等の保管 | 海外を含む |
| Google LLC | Google Cloud Storage | 図面・画像・PDFファイル等の保管 | 海外を含む |
| Google LLC | BigQuery | 物件データの参照、機械学習モデルの実行 | 海外を含む |
| Google LLC | Firebase Authentication | ユーザー認証情報の保管 | 海外を含む |
| Google LLC | Cloud Run | 本サービスのアプリケーション実行環境 | 海外を含む |
| PostHog Inc. | PostHog(製品分析) | 利用状況・イベントログの解析、サービス改善のための分析 | 米国 |
なお、上記の保管・処理が外国にある第三者によって行われることに鑑み、当社は、個人情報保護法第28条その他関連法令に従い、次条に定めるとおり、外国における個人情報保護制度等に関する情報の提供を行います。
第6条の2(外国にある第三者への個人データの提供に関する情報提供)
本ポリシー第6条および第7条に基づき、当社は、ユーザーおよびユーザー顧客の個人情報を、米国に所在する第三者(Google LLC、OpenAI, L.L.C.、PostHog Inc. 等)が運営するクラウドサービス上で保管・処理することがあります。個人情報保護法第28条第2項および同法施行規則第17条に基づき、外国にある第三者への個人データの提供にあたっての参考情報として、以下を提供します。
-
移転先国:アメリカ合衆国(米国)
-
当該国の個人情報の保護に関する制度 - 米国においては、日本の個人情報保護法のような包括的な個人情報保護法は連邦レベルでは存在せず、分野別の連邦法(医療分野の HIPAA、金融分野の GLBA、児童のオンライン情報保護に関する COPPA 等)および各州の法律(例えばカリフォルニア州の California Consumer Privacy Act / California Privacy Rights Act 等)により規律されています。 - 米国は、個人情報保護委員会(日本)が指定する「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」(GDPR 適用国・地域)には含まれていません。 - 米国の法執行機関等が、捜査目的等で事業者に対し個人データの開示を求める法制度(CLOUD Act 等)が存在します。 - 詳細は、個人情報保護委員会のウェブサイトに掲載されている各国の制度に関する情報(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/)も併せてご参照ください。
-
当該第三者が講じている個人情報保護のための措置 - 当該第三者は、いずれも国際的なセキュリティ認証(ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、SOC 1/2/3 等のいずれか)を取得しているか、これに準ずる安全管理体制を備えていることを公表しています。 - 当該第三者は、それぞれが定めるプライバシーポリシー、データ処理契約(DPA)または利用規約に基づき、保管時暗号化、通信の暗号化、アクセス制御、ログ監視等の安全管理措置を実施しています。 - 各第三者の取扱方針の詳細は、それぞれ以下のページ等で公表されています(リンク先は各社の方針変更により変更される可能性があります)。
-
本人による参考情報の請求 - 上記情報の詳細または最新の情報については、第15条に定める問い合わせ窓口までご請求ください。
第7条(外部AIサービスおよび外部APIへの情報提供)
本サービスは、その機能を実現するために、以下の外部サービスへユーザーコンテンツの一部または関連情報を送信することがあります。これらの外部サービスにおける情報の取扱いは、当該各社のプライバシーポリシーに従います。
| 提供先 | サービス | 提供される情報 | 提供目的 |
|---|---|---|---|
| OpenAI, L.L.C. | GPT 等の言語モデル | ユーザーがアップロードした図面・画像・PDF(Base64エンコードされたバイナリ)、関連プロンプト | 図面からの物件情報抽出、AIによる検索支援 |
| Amazon Web Services | API Gateway(住所正規化API) | 物件・顧客情報に含まれる住所文字列 | 住所の都道府県・市区町村等への正規化 |
| Jageocoder | ジオコーディングAPI | 住所文字列 | 緯度経度の取得、地図表示 |
ユーザーは、本サービスの利用にあたり、上記の外部サービスへの情報提供が発生することを理解し、これに同意するものとします。
第8条(不動産ポータルサイト由来の物件データ)
本サービスは、不動産情報の検索・比較を行うため、SUUMO 等の外部不動産ポータルサイトに由来する物件データを当社のデータベースに保有・参照することがあります。当該データには、特定の個人を識別する情報は含まれていませんが、物件の所在地、価格、画像URL等の情報が含まれます。これらのデータは、当社が適法に取得・利用できる範囲で本サービスにおいて表示・処理されます。
第9条(Cookie および類似技術の利用)
- 本サービスは、ユーザーの利便性向上、認証状態の維持、利用状況の解析等の目的で、Cookieおよび類似技術を使用することがあります。
- 当社は、製品分析ツール PostHog(PostHog Inc. 提供)を利用して、本サービス上でのユーザーの操作(ページ閲覧、クリック、機能利用等)に関するイベントデータを取得し、サービス改善のための分析に利用します。当該データには Cookie 等を介して付与される識別子が含まれますが、本サービスにおいてはユーザーがアップロードした図面・顧客情報等のコンテンツ自体を PostHog に送信することはありません。
- ユーザーは、ブラウザの設定により Cookie の受け入れを拒否することができますが、その場合、本サービスの一部機能をご利用いただけない場合があります。
第10条(個人情報の第三者提供)
当社は、次に掲げる場合を除いて、あらかじめユーザーの同意を得ることなく、第三者に個人情報を提供することはありません。
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、ユーザーの同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、ユーザーの同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、ユーザーの同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 個人情報保護法その他の法令により認められる場合
なお、第6条および第7条に定める委託先・外部サービスへの提供は、第三者提供には該当しないものとします。
第11条(個人情報の保管期間)
- 当社は、利用目的の達成に必要な期間、個人情報を保管します。
- ユーザーが本サービスから退会した場合または当社がユーザーの登録を抹消した場合の、ユーザーに紐づくデータの取扱いは、原則として以下のとおりとします。
| データ種別 | 保管期間(退会・登録抹消の時点を起算日とします) |
|---|---|
| 本番データベースおよびストレージ上のユーザー情報、顧客情報、ユーザーコンテンツ(図面・画像・PDF 等) | 退会後 60日以内 に削除 |
| バックアップ上のデータ | 退会後 90日以内 に、バックアップローテーションに従い削除 |
| アクセスログ・操作ログ・認証ログ等 | 1年間 保持後に削除 |
| 法令上の保管義務がある書類(会計帳簿、請求書、契約書類、税務関連書類等) | 法令で定める期間(例:法人税法・電子帳簿保存法等に基づき原則 7年間) |
| 紛争・訴訟・苦情対応のために必要となる情報 | 当該紛争等が解決するまで(解決後は速やかに削除) |
- 前項にかかわらず、ユーザーから法令に基づく削除請求があり、当社がこれに応ずべきと判断した場合は、当該請求に従い速やかに削除します。
- 当社は、保管期間を経過した個人情報について、復元不可能な方法で削除または匿名化するよう努めます。
第12条(個人情報の開示、訂正、利用停止等)
- ユーザーは、当社の保有する自己の個人情報について、個人情報保護法の定めに基づき、開示、訂正、追加、削除、利用停止または第三者提供の停止を請求することができます。
- 請求は、第15条に定める問い合わせ窓口にて受け付けます。本人確認の手続を経た上で、合理的な期間内に対応します。
- ユーザー顧客から、ユーザーが本サービスに登録した顧客情報について同様の請求があった場合、ユーザーが第一次的な対応責任を負うものとし、当社は必要に応じてユーザーに協力します。
第13条(安全管理措置)
当社は、個人情報の漏洩、滅失、毀損等を防止するため、以下を含む組織的・人的・物理的・技術的安全管理措置を講じます。
-
組織的安全管理措置 - 個人情報の取扱いに関する社内規程の整備、責任者の設置 - 個人情報を取り扱う従業者の範囲の明確化、および取扱状況の点検
-
人的安全管理措置 - 従業者との間で個人情報の秘密保持に関する事項を含む契約を締結 - 個人情報の適正な取扱いに関する教育・研修の実施
-
物理的安全管理措置 - 当社の事業はクラウド基盤上で運用されているため、物理的なサーバー設備の管理は委託先(Google LLC 等)に委ねており、当該委託先における安全管理体制を確認しています - 業務用端末については、画面ロック・パスワード管理・盗難防止策等を実施
-
技術的安全管理措置
当社は、Google Cloud Platform および Firebase の各種セキュリティ機能を組み合わせ、以下を含む多層的な技術的対策を講じます。
- 認証・本人確認
- Firebase Authentication を用いたユーザー認証(メールアドレス/パスワード認証、ソーシャルログイン)
- 認証トークン(ID トークン)の有効期限による自動失効、必要に応じた再認証
- 認可・アクセス制御
- Firestore セキュリティルールおよび Cloud Storage IAM/署名付き URL によるユーザー ID 単位のデータアクセス制限
- 当社従業者については、Google Cloud IAM に基づく最小権限の原則による権限管理、本番環境への直接アクセスの制限
- 通信の暗号化
- 本サービスとの全通信における TLS(HTTPS)の強制
- 外部 API(OpenAI、住所正規化 API、ジオコーディング API 等)との通信における暗号化
- 保管時のデータ保護(保存時暗号化)
- Cloud Firestore:Google Cloud Platform 側で保存時のデータが AES-256 等により自動的に暗号化されます
- Cloud Storage:図面・画像・PDF 等のファイルは、保存時に Google が管理する鍵によりサーバーサイドで暗号化されます
- Firebase Authentication:認証情報(パスワード等)はハッシュ化され、Google LLC のセキュアな環境で管理されます
- BigQuery:保存時暗号化が標準で適用されます
- ネットワーク・エッジ層の保護
- Google Cloud Load Balancing:本サービスのフロントエンドおよび API へのトラフィックは、Google のグローバルロードバランサーを経由して終端させ、HTTPS の終端処理および負荷分散を行います
- Google Cloud Armor:Web Application Firewall(WAF)として、SQL インジェクション、クロスサイトスクリプティング(XSS)等の OWASP Top 10 に類する攻撃に対する標準的な保護、および DDoS 攻撃の緩和を実施します
- ログの取得・監視
- Cloud Logging 等を用いたアクセスログ・操作ログ・認証ログ・管理操作ログの取得
- 不正アクセスや異常挙動の検知のための定期的なログ確認、必要に応じたアラート設定
- アプリケーション・脆弱性対策
- 依存ライブラリのバージョン管理および既知脆弱性(CVE)に対するパッチ適用
- セキュアコーディングの実践(入力値検証、出力エスケープ、認可チェック等)
- 機微情報(API キー、認証情報等)のソースコードへの直接記載の禁止、Secret Manager 等の利用
-
委託先の監督 - 本ポリシー第6条および第7条に記載の委託先・外部サービスについて、当社は、それぞれが適切な安全管理体制を備えていることを、各社のセキュリティ認証(ISO/IEC 27001、SOC 2 Type II 等)、プライバシーポリシーまたは契約条件に基づき確認しています
-
インシデント対応 - 個人情報の漏洩、滅失、毀損その他の事故が発生し、またはそのおそれが認められた場合に、速やかに事実関係を調査し、影響範囲の特定、ユーザーおよび関係当局への通知、再発防止策の実施を行うための体制を整備します - 個人情報保護法に基づく個人情報保護委員会への報告および本人への通知が必要となる事象が発生した場合、同法および関連ガイドラインに従い適切に対応します
なお、安全管理措置に関する具体的な内容についてご質問がある場合は、第15条に定める問い合わせ窓口までご連絡ください。
第14条(プライバシーポリシーの変更)
- 当社は、法令の改正、本サービスの内容変更その他必要と判断した場合に、本ポリシーを変更することができるものとします。
- 本ポリシーの変更を行う場合、当社は、変更後の本ポリシーの内容および効力発生時期を、本サービス上または当社ウェブサイト上に掲載することにより周知するものとします。
- 個人情報の利用目的の変更その他のユーザーまたはユーザー顧客に重要な影響を及ぼす変更を行う場合は、前項の方法に加え、メール、本サービス内通知その他の合理的な方法により事前に告知するものとします。
- 変更後の本ポリシーは、当該効力発生時期から適用されるものとし、当該時期以降にユーザーが本サービスを利用した場合、変更後の本ポリシーに同意したものとみなします。
第15条(お問い合わせ窓口)
本ポリシーに関するお問い合わせ、または個人情報の開示・訂正・利用停止等に関する請求は、下記までご連絡ください。
- 事業者名:株式会社Arealinks
- 所在地:東京都中央区晴海5-1-17-1821
- お問い合わせ窓口:https://forms.gle/rZW6RLRXpWMCPNdE6
- 個人情報保護管理者:代表取締役 髙橋司
制定日:2026年5月6日 最終改定日:2026年5月6日
株式会社Arealinks