sora-papa プライバシーポリシー

最終改定日: 2026-04-28（v0.1.0-DRAFT） 適用開始日: 2026-05-11（β 公開と同時） 発効バージョン: v0.1.0-DRAFT

本ポリシーはドラフト版です。 2026-05-08 弁護士相談（Q14: APPI 28 条適合性 / Q16: Sentry の APPI 取扱い）の結果を反映し、v1.0.0 として確定します。確定版公開時に登録メールアドレス宛に通知します。

sora-papa（以下「本サービス」）の運営者は、利用者の個人情報を、個人情報の保護に関する法律（以下「APPI」）および本ポリシーに従い適切に取扱います。

第 1 条（取得する個人情報）

本サービスは、利用者から以下の個人情報を取得します。

(1) 本人申告情報: 氏名、メールアドレス、決済情報（決済処理事業者経由）

(2) 申請書作成情報: 利用者が事業計画書のドラフト生成のために入力する事業情報、財務情報、業務課題等

(3) 自動取得情報: IP アドレス、ユーザーエージェント、アクセス日時、リファラ、Cookie 識別子、Web Vitals メトリクス

(4) 承諾ログ: 5 段階承諾ゲートでの承諾日時、ハッシュチェーン値、ステップ番号、利用者識別子

第 2 条（取得方法）

第 1 条 (1) は利用者の任意入力により、(2) (3) は本サービス Web アプリケーションの操作によって取得します。(4) は承諾フロー UI 上の操作ログを自動取得します。

第 3 条（利用目的）

本サービスは、取得した個人情報を以下の目的でのみ利用します。

(1) サービス提供: 補助金申請書のドラフト生成、入力フォームの状態保存、生成物のダウンロード提供

(2) 本人確認: ログイン認証、二要素認証、アカウント不正利用検知

(3) 決済処理: 決済処理事業者を通じた料金決済、領収書発行、返金処理

(4) サポート対応: お問い合わせへの返信、不具合報告対応

(5) 改善・分析: 匿名化されたアクセスログの統計分析、Web Vitals メトリクスのパフォーマンス改善

(6) 法令遵守: 改正行政書士法・APPI・特商法・景表法の遵守確認、関係官庁への照会対応

(7) 不正対策: アカウント不正利用、不正アクセス、規約違反行為の検知・防止

第 4 条（個人情報の保管）

(1) 本サービスは、利用者の個人情報を国内サーバーまたは個人情報保護法上適切な保護水準を確保した外国サーバー（後述第 7 条参照）に保管します。

(2) 承諾ログは、改正行政書士法第 19 条違反の刑事公訴時効（懲役刑相当の場合 7 年）と民事不法行為損害賠償の長期消滅時効（不法行為時から 20 年）を踏まえ、サービス利用期間中および利用終了後 10 年間保存します。

(3) サービス利用と無関係になった個人情報は、利用目的達成後 1 年以内を目安に消去または匿名化します。

第 5 条（第三者提供）

(1) 本サービスは、利用者の同意なく個人情報を第三者に提供しません。ただし、以下の場合を除きます。

a. 法令に基づく場合（捜査機関からの照会、訴訟手続等）
b. 人の生命、身体または財産の保護のために必要な場合
c. 公衆衛生・児童の健全育成上特に必要な場合
d. 国の機関または地方公共団体への協力の必要がある場合

(2) 本サービスは、決済処理および本人確認に必要な範囲で、決済処理事業者（Stripe Inc.、米国）にメールアドレス・決済情報を提供します。

(3) 本サービスは、技術的なエラー検知のため、エラーログから個人特定情報をフィルタした上で、エラー監視サービス（Functional Software, Inc. — Sentry、米国）に提供します。

第 6 条（個人情報の取扱委託）

本サービスは、第 3 条の利用目的の範囲内で、以下の業務を外部事業者に委託する場合があります。

(1) AI 推論処理: 事業計画書ドラフトの生成のため、利用者が入力した事業情報を Anthropic, PBC（米国）の Claude API に送信し、AI 推論結果を受領します。Anthropic は同社の商用 API 利用規約上、API 経由で受信した入力データをモデル学習目的で利用しません。

(2) ホスティング: Web アプリケーションの配信のため、Vercel Inc.（米国）のインフラを利用します。

(3) データベース・認証: 利用者データの保存および認証のため、Supabase Inc.（米国）のサービスを利用します。

(4) アクセス解析: 匿名化されたアクセスログ統計のため、Vercel Analytics（Vercel Inc., 米国）を利用します。

(5) パフォーマンス監視: Web Vitals メトリクス収集のため、Vercel Speed Insights（Vercel Inc., 米国）を利用します。

(6) エラー監視: 技術的エラーの検知のため、Sentry（Functional Software, Inc., 米国）を利用します。利用者の入力プロンプト・PII は beforeSend フックで [FILTERED] にマスキングしてから送信します。

第 7 条（外国にある第三者への個人情報の提供 — APPI 第 28 条）

(1) 本サービスは、第 5 条および第 6 条で説明した通り、以下の外国（米国）の第三者に個人情報を提供します。利用者は、本サービスの利用を開始する時点で、これらの提供に同意するものとみなします。

(2) 米国は、APPI 第 28 条第 1 項にいう「個人の権利利益の保護に関する制度」が我が国と同等の水準にあると認められる外国として個人情報保護委員会が指定した国には該当しません。本サービスは、各委託先と APPI 第 28 条第 2 項に基づく適切かつ合理的な方法（標準契約条項相当の合意、または同等の保護措置）により、個人情報の保護に関する措置を継続的に確認します。

(3) 利用者は、本サービスの提供開始前に、上記委託先への個人情報提供に同意する必要があります。同意は、利用規約への同意フローおよびアカウント作成時のチェックボックスにより取得されます。

(4) 利用者は、APPI 第 28 条第 3 項に基づき、当該外国の名称・個人情報保護制度・委託先における個人情報保護のための措置について、本サービスへの照会により情報提供を受けることができます。

第 8 条（個人情報の安全管理）

本サービスは、個人情報の漏えい、滅失、毀損を防止するため、以下の措置を講じます。

(1) 通信の暗号化（TLS による暗号化通信）

(2) サーバーアクセスの認証・認可制御

(3) 個人情報を含むエラーログの PII フィルタリング（Sentry beforeSend フックで [FILTERED] マスキング）

(4) 承諾ログの HMAC-SHA-256 ハッシュチェーンによる改ざん検知

(5) アクセス権限の最小化原則

(6) 委託先との情報セキュリティ要件の合意

第 9 条（漏えい等発生時の対応）

(1) APPI 第 26 条第 1 項に該当する漏えい・滅失・毀損が発生した場合、本サービスは、個人情報保護委員会への報告（速報 3-5 日以内、確報 30 日以内）、および本人への通知を行います。

(2) 本人通知は、登録メールアドレス宛または本サービス公式サイトでの公表により行います。

第 10 条（利用者の権利）

(1) 利用者は、本サービスに対し、自己の個人情報について以下の請求を行うことができます。

a. 開示請求（APPI 第 33 条）
b. 訂正、追加、削除請求（APPI 第 34 条）
c. 利用停止、消去、第三者提供停止請求（APPI 第 35 条）
d. 第三者提供記録の開示請求（APPI 第 33 条第 5 項）

(2) 請求は、本ポリシー末尾の問合せ先メールアドレスから本人確認手続を経て行います。本サービスは、合理的な範囲で対応し、原則として 2 週間以内に回答します。

第 11 条（クッキー（Cookie）の利用）

(1) 本サービスは、ログイン状態の維持、CSRF 対策、不正アクセス検知のため必要最小限の Cookie を利用します。

(2) 本サービスは、Vercel Analytics による匿名化されたアクセス統計のため、必要に応じて Cookie を利用する場合があります。

(3) 利用者は、ブラウザ設定により Cookie を無効化できますが、無効化により本サービスの一部機能が利用できなくなる場合があります。

第 12 条（プライバシーポリシーの改定）

(1) 本サービスは、法令改正、サービス内容の変更、その他合理的な必要がある場合、本ポリシーを改定することができます。

(2) 改定後のポリシーは、本サービス公式サイト上に改定日を明示して掲載した時点から効力を生じます。重要な変更の場合は、登録利用者に対し登録メールアドレス宛に通知します。

第 13 条（問合せ先）

本ポリシーまたは個人情報の取扱に関する問合せは、以下宛にお願いします。

問合せ先メールアドレス: support@sora-papa.com

販売事業者の氏名・住所・電話番号は、特定商取引法に基づく表記（/legal/tokushou）の記載に従い、ご請求に応じて原則として 5 営業日以内に開示します。

改定履歴