メインコンテンツにスキップ
SVDY Logo

プライバシーポリシー

svdy が個人データをどのように収集、使用、共有、保護するか —— GDPR 第 13/14 条の開示基準に沿い、CCPA/CPRA とも整合させて作成しています。平易な言葉、具体的なコミットメント、その背景となる実装メカニズムへのリンクを提供します。

最終更新:2026 年 5 月 24 日

1. 収集する情報

当社が収集する個人データは以下の 3 種類です:

• ご提供いただくアカウントデータ:氏名、業務用メールアドレス、組織名、役職、電話番号(任意)、請求担当者。お客様または貴組織の管理者から登録時に提供されます。

• 利用に伴って生成される運用データ:勤怠記録(打刻のタイムスタンプ + ジオフェンス有効時の GPS 座標)、シフト、休暇申請、プロセスフォーム送信、アプリ内メッセージ、管理者操作の監査ログ。

• 技術テレメトリ:IP アドレス、ブラウザ/デバイス種別、セッションのタイムスタンプ、エラーのトレース(サンプリング)。セキュリティ監視と製品の信頼性向上にのみ使用し、広告ターゲティングには使用しません。

当社はデータブローカーから個人データを購入せず、第三者広告ネットワークとデータを共有する分析 SDK を稼働させず、CCPA §1798.140(t) の定義に該当する「個人情報」を販売しません。

2. データの利用目的

当社は以下の目的に限り個人データを処理します:

• サービス提供 —— 貴組織が契約した勤怠、シフト、ワークフロー機能の運用。GDPR 第 6(1)(b) 条「契約の履行」に基づきます。

• サービス改善 —— 集計済みかつ匿名化された利用統計に基づく性能ボトルネックや機能要望の特定。従業員個人への再識別はできません。GDPR 第 6(1)(f) 条「正当な利益」に基づきます。

• セキュリティと不正対策 —— 不正アクセス、悪用パターン、プラットフォームへの攻撃の検知。GDPR 第 6(1)(f) 条「正当な利益」に基づき、データ最小化と短い保持期間によりお客様のプライバシーとのバランスを保ちます。

• 法令遵守 —— 召喚状、裁判所の命令、合法な規制当局からの要請への対応。GDPR 第 6(1)(c) 条に基づきます。

• コミュニケーション —— サービスに関するお知らせ(常時)、トライアル中のご案内(トライアル期間中のみ)、製品アップデート(通知設定でオプトアウト可)。

当社はお客様データを大規模言語モデルの学習には使用せず、広告ネットワークと共有せず、外部ソースで従業員データを充実化することもありません。

3. データ保護の仕組み

現在運用されている具体的なセキュリティコントロール:

• 保管時の暗号化:すべての顧客データを AES-256 で暗号化保存(RDS / S3 / EBS)。

• 転送時の暗号化:お客様向けエンドポイントおよび内部のサービス間通信すべてで TLS 1.2+ を使用。

• アクセス制御:アプリケーション層でロールベースアクセス制御、インフラ層で AWS IAM 最小権限の原則、従業員の管理アクセスには多要素認証を必須とします。

• 監査ログ:すべての管理操作について、操作者・タイムスタンプ・対象を記録します。保持期間:7 日(Free)/ 1 年(Starter 以上)/ 3 年(Pro 以上)。

• ネットワーク:AWS us-east-1 でのマルチ AZ 配置、データベースのパブリックエンドポイントなし、セキュリティグループのインバウンドはロードバランサーに限定。

• 機密情報管理:本番環境の認証情報は AWS Secrets Manager に保管。環境変数やソースコードには絶対に置きません。

最新のセキュリティアーキテクチャと SOC 2 のスケジュールは /trust および /trust/soc2 をご覧ください。

4. お客様の権利

居住地を問わず、お客様は個人データに関し以下の権利を有します:

• アクセス権 —— 当社が保持する情報のコピーを取得できます。アカウント設定からエクスポート可能で、直接のご請求には 30 日以内に対応します。

• 訂正権 —— 不正確な個人データを訂正できます。アカウント設定でセルフサービス、またはメールでご連絡ください。

• 削除権(「忘れられる権利」) —— 保持する正当な業務上の理由がない場合にデータの削除を求められます。なお、貴組織(管理者・データコントローラー)は労働法令遵守のために勤怠記録を保持する場合があります。当社はデータプロセッサーとしてその指示に従います。

• 処理制限権 —— 紛争解決中、当社にデータの利用を一時停止させることができます。

• データポータビリティ権 —— 機械可読形式(CSV / JSON)でデータを取得できます。

• 異議申立権 —— サービス改善分析のような「正当な利益」に基づく処理からオプトアウトできます。

• 同意撤回権 —— 顔認証打刻(GDPR 第 9(2)(a) 条)など、同意を根拠とするすべての処理について撤回できます。

• 苦情申立権 —— 居住地のデータ保護当局へ苦情を申し立てられます。EU 居住者:各国の DPA。英国居住者:ICO。カリフォルニア州居住者:カリフォルニアプライバシー保護機関(CPPA)。

いずれかの権利を行使するには legal@svdy.com にメールしてください。5 営業日以内に応答し、GDPR 第 12(3) 条に基づき 30 日以内に完全対応します。

5. クッキー及び類似技術

当社が使用するクッキーは最小限に留めます。第三者広告クッキー、ピクセルトラッカー、フィンガープリント技術は一切使用しません。

• 厳密に必要なクッキー(オプトアウト不可、追跡目的なし):認証用セッション ID、セキュリティ用 CSRF トークン。

• 機能性クッキー(ブラウザで無効化可):言語設定、ダッシュボードのレイアウト設定。

• 分析クッキー:お客様向けテナントのサブドメイン(qutime.com / pureoa.com)では一切使用しません。svdy.com(本マーケティングサイト)も現時点で分析 SDK は稼働させていません。今後の分析機能はクッキー不要(サーバーサイド集計のみ)で、第三者アドテックを使わない方針を維持します。

クッキーはファーストパーティドメイン(svdy.com / qutime.com / pureoa.com / id.svdy.com)に限定されます。追跡クッキーを読み込む第三者 iframe は埋め込みません。

6. 連絡先、漏えい通知、ポリシー更新

データ保護担当窓口:legal@svdy.com —— 米国の営業時間中に対応。一般的なご質問は 5 営業日以内、緊急の事案(件名に「urgent」または「breach」を含む)は 24 時間以内に応答します。

漏えい通知:お客様の個人データに影響するセキュリティ事案が発生した場合、貴組織が指定する DPO 連絡先に対して、認知から 72 時間以内に通知します(GDPR 第 33(1) 条)。範囲、推定原因、是正措置、お客様が取るべき対応を明記します。

副次処理者:データの共有先は /trust/sub-processors に掲載した第三者サービスのみです(AWS、Stripe、Amazon SES、Expo、Cloudflare DNS)。各社は同ページから参照できる DPA に従って運営されます。副次処理者の追加・除外は 30 日前にお知らせします。

国際移転:お客様データは AWS us-east-1(米国)に保管します。EU から米国への移転は /trust/dpa に含まれる EU 標準契約条項(SCCs、2021 年版)で対応します。英国からの移転は SCCs に対する UK Addendum を追加します。

本ポリシーの更新:重要な変更は施行日の 30 日前に公表し、ページ上部に変更履歴を掲載します。最終更新日は上記のとおりです。最新版は常に svdy.com/privacy にあります。

当社のデータ取り扱いに関するご質問、または GDPR/CCPA の権利(アクセス、削除、ポータビリティ)を行使されたい方は legal@svdy.com までメールでご連絡ください —— 5 営業日以内にご返信します。