プライバシーポリシー
(座席表作成・手書きメモOCRシステム)
最終更新日・施行日: 2026年7月2日
株式会社Shining Revo(以下「当社」)は、当社が提供する「D-AIジョブ|座席表作成 & 手書きメモOCR文字起こし」(以下「本サービス」)における個人情報および個人データの取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。当社は、個人情報の保護に関する法律(以下「個人情報保護法」)その他の関係法令およびガイドラインを遵守し、個人情報の適正な取扱いに努めます。
本サービスは事業者向け(B2B)のSaaSです。本サービスに登録される入居者・利用者等の個人データ(要配慮個人情報を含む)については、契約者(介護施設等の運営事業者)が個人情報取扱事業者(委託元)、当社が委託先となります。当該個人データの取扱いに関する契約者との権利義務関係は、本ポリシーのほか、別途定める「利用規約」および「データ処理契約(DPA)」によるものとします。
本ポリシーは、当社が本サービスの運営を通じて取り扱う次の個人情報を対象とします。
- 契約者・利用者(施設の管理者・職員等)の個人情報(当社が個人情報取扱事業者として自ら取得・利用するもの)
- 入居者等の個人データ(当社が契約者の委託先として、契約者の指示および利用目的の範囲内で取り扱うもの)
第1条(事業者情報および問い合わせ窓口)
1. 本ポリシーにおける個人情報の取扱いに関する事業者は、以下のとおりです。
- 会社名: 株式会社Shining Revo
- 代表者: 草野俊二
- 所在地: 〒862-0976 熊本県熊本市中央区九品寺5丁目11-1豊永ビル201
- お問い合わせ窓口(個人情報相談窓口): info@shining-revo.com
2. 個人情報の取扱いに関するお問い合わせ、開示等の請求、その他のご相談は、前項の問い合わせ窓口までご連絡ください。
第2条(用語の定義)
本ポリシーにおいて使用する用語の定義は、本ポリシーに別段の定めがある場合を除き、利用規約の定めるところによります。主な用語は以下のとおりです。
1. 「契約者」 とは、当社との間で本サービスの利用契約を締結した法人、団体または個人事業主をいいます。
2. 「利用者」 とは、契約者が本サービスの利用を許諾した者(施設の管理者・職員・従業者等)をいいます。
3. 「入居者等」 とは、契約者が運営する施設の入居者、通所者その他のサービス提供対象者をいい、本サービスに登録される入居者等の個人データの本人を含みます。
4. 「利用者データ」 とは、契約者および利用者が本サービスに登録・入力・アップロード・保存したデータ(手書きメモ等の原本画像、OCR・AIによる文字起こし結果、座席配置、入居者等の個人データ、要配慮個人情報を含む)をいいます。
5. 「要配慮個人情報」 とは、個人情報保護法に定める要配慮個人情報をいい、入居者等の健康状態、要介護度、病歴、心身の状況に関する記録等を含みます。
6. 「AI・OCR機能」 とは、外部の人工知能(AI)・光学的文字認識(OCR)サービスを利用して、画像の文字起こし、文書の読み取り、分類、レイアウト解析、文章の下書き生成等を行う機能をいいます。
第3条(取得する個人情報の項目)
当社は、本サービスの提供にあたり、以下の個人情報を取得します。
1. 契約者・利用者に関する情報(当社が個人情報取扱事業者として取得するもの)
- (1) 氏名、所属(施設名・部署等)、役職
- (2) メールアドレス、電話番号その他の連絡先
- (3) ログインID、パスワード(ハッシュ化して保存)、認証情報
- (4) 権限・ロール等のアカウント設定情報
- (5) 本サービスの操作ログ、アクセスログ、ログイン履歴、ログイン失敗記録、IPアドレス、端末・ブラウザ情報
- (6) 課金・利用量に関する情報(AI・OCR機能の利用量、課金同意の記録等)
- (7) お問い合わせ、サポート対応の履歴
2. 入居者等に関する個人データ(当社が契約者の委託先として取り扱うもの)
- (1) 氏名(本サービス内で呼称化される場合があります)、識別子
- (2) 座席配置・レイアウト上の位置情報
- (3) 手書きメモ等の原本画像、アップロードされた資料(PDF・画像等)
- (4) OCR・AIによる文字起こし結果、抽出・分類・要約等の解析結果
- (5) 要配慮個人情報(入居者等の健康状態、要介護度、病歴、心身の状況に関する記録等)
3. 入居者等の個人データは、契約者および利用者が本サービスに入力・アップロードすることにより当社が取得します。当社は、これらを契約者からの委託に基づき、契約者の指示および利用目的の範囲内でのみ取り扱います。当該個人データの本人(入居者等)に対する利用目的の特定・通知・公表、要配慮個人情報の取得同意、外国にある第三者への提供に関する同意その他の適法な取得手続は、委託元である契約者がその責任において行うものとします。
第4条(個人情報の利用目的)
当社は、取得した個人情報を、以下の目的の範囲内で利用します。
1. 契約者・利用者に関する情報の利用目的
- (1) 本サービスの提供、運営、維持および契約者・利用者の認証・本人確認のため
- (2) 利用契約の締結・管理、利用料金(従量課金を含む)の計算・請求・入金管理のため
- (3) 本サービスに関する連絡、通知、案内、サポートおよびお問い合わせへの対応のため
- (4) 本サービスの不正利用の防止、セキュリティの確保、監査ログの記録・分析のため
- (5) 本サービスの品質向上、新機能の開発、利用状況の分析・統計作成のため
- (6) 本サービスに関する重要なお知らせ、規約・ポリシーの変更等の通知のため
- (7) 法令の遵守および紛争・請求への対応のため
2. 入居者等に関する個人データの利用目的(委託の範囲)
- (1) 契約者による座席表の作成・編集・管理を可能とするため
- (2) 手書きメモ等の画像のOCR文字起こし、アップロード資料の読み取り・抽出を行うため
- (3) 記録の分類・整理、計画書等の下書き生成等のAI解析を行うため
- (4) 上記処理結果を契約者に提供・表示するため
- (5) 上記に付随して、システムの稼働・保守・障害対応・バックアップを行うため
3. 当社は、入居者等の個人データを、前項に定める委託の目的の範囲を超えて、当社自身の目的のために利用しません。
第5条(第三者提供の考え方)
1. 当社は、個人情報保護法その他の法令に定める場合を除き、あらかじめ本人の同意(入居者等の個人データについては委託元である契約者を通じて取得される同意を含む)を得ることなく、個人データを第三者に提供しません。
2. 前項にかかわらず、当社は、以下の場合には本人の同意を要することなく個人データを提供することがあります。
- (1) 法令に基づく場合
- (2) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
3. 次条に定める委託先および再委託先への提供、ならびに第7条に定める事業の承継に伴う提供は、本条の第三者提供には該当しません。
4. 入居者等の個人データは、契約者の委託に基づき当社が取り扱うものであり、当社は契約者の指示によらず第三者に提供しません。
第6条(委託および委託先の管理)
1. 当社は、利用目的の達成に必要な範囲において、個人データの取扱いの全部または一部を外部サービス提供者に委託(再委託を含む)することがあります。委託する主な外部サービスおよび処理地は、第7条の一覧のとおりです。
2. 当社は、委託先の選定にあたり、個人データの安全管理措置が適切に講じられている事業者を選定し、委託契約(データ処理契約・利用約款等)において、安全管理措置、秘密保持、再委託の条件、目的外利用の禁止その他の個人データの適正な取扱いに関する事項を定めるとともに、委託先に対する必要かつ適切な監督を行います。
3. 入居者等の個人データについて、当社は契約者からの委託先であると同時に、前項の外部サービス提供者を再委託先として利用します。当該再委託の実施および再委託先の管理に関する当社の責任は、契約者との間で別途定めるデータ処理契約(DPA)によるものとします。
第7条(外国にある第三者への提供)
1. 当社は、本サービスの提供(特にAI・OCR機能およびクラウドインフラの利用)のため、以下の外部サービスに個人データの取扱いを委託しており、その一部は外国にある第三者に該当します。当社は、これらの外国にある第三者への提供について、個人情報保護法第28条に基づき、あらかじめ本人(入居者等の個人データについては委託元である契約者を通じて取得される本人)の同意を得るものとし、または同法に定める基準に適合する体制を整備した者への提供として取り扱います。
2. 当社が利用する主な外部サービス(委託先・再委託先)、処理される情報および処理地は以下のとおりです。
| 事業者・サービス | 役割 | 主に取り扱う情報 | 処理地/提供先の国 |
|---|---|---|---|
| Supabase(Supabase, Inc.) | データベース・ストレージ(利用者データの保管) | アカウント情報、座席配置、OCR・AI処理結果、手書きメモ等の原本画像、要配慮個人情報 | 米国(外国) |
| Vercel(Vercel, Inc.) | アプリケーションのホスティング・配信 | アクセス時に送受信されるデータ、操作に伴うデータ | 米国(外国) |
| Google Cloud Vision(Google LLC) | OCR(画像の文字認識) | 手書きメモ等の原本画像、アップロード資料 | 日本(東京リージョン)。ただし提供先事業者は外国(米国)の法人であり、外国にある第三者への提供に該当し得ます。 |
| Vertex AI(Gemini・Google LLC) | AI解析(分類・要約・下書き生成等) | OCR結果その他のテキスト、アップロード資料(マスキング後) | 日本(東京リージョン|asia-northeast1)。ただし提供先事業者は外国(米国)の法人であり、外国にある第三者への提供に該当し得ます。 |
3. 提供先の国の名称: 米国(アメリカ合衆国)。Google Cloud Vision および Vertex AI(Gemini)は、当社の設定により原則として日本(東京リージョン)で処理されますが、その提供先である Google LLC は米国に所在する事業者です。
4. 当該外国の個人情報の保護に関する制度: 米国は、個人情報保護について包括的な連邦法を有しておらず、分野別の法律および州法(カリフォルニア州消費者プライバシー法(CCPA/CPRA)等)により規律されるなど、日本の個人情報保護法と異なる制度を採用しています。各国の制度の概要については、個人情報保護委員会が公表する「外国における個人情報の保護に関する制度等の調査」を参照することができます。
5. 提供先が講ずる個人情報保護のための措置の概要: 上記各事業者は、いずれも OECD プライバシーガイドライン8原則に対応する水準の管理体制を整備し、標準契約条項(SCC)その他の適切な契約上の保護措置、アクセス制御、暗号化等の技術的・組織的安全管理措置を講じています。当社は、これらの事業者との間で、個人データの適正な取扱いに関する契約(データ処理条項を含む)を締結しています。
6. 契約者は、入居者等の要配慮個人情報を含む利用者データを本サービスに入力・アップロードするにあたり、対象となる入居者等またはその家族から、外国にある第三者(米国等)への情報の移転を含む取扱いについて、あらかじめ必要な同意を取得し、これを記録・保管する責任を負います。
7. 外国にある第三者への提供に関する詳細な情報の提供を求める場合は、第1条の問い合わせ窓口までご連絡ください。
第8条(要配慮個人情報の取扱い)
1. 本サービスは、その性質上、入居者等の健康状態、要介護度、病歴、心身の状況に関する記録等の要配慮個人情報を取り扱います。
2. 要配慮個人情報の取得(本人からの取得同意を含む)は、委託元である契約者がその責任において適法に行うものとし、当社は、契約者からの委託に基づき、契約者の指示および利用目的の範囲内でのみ要配慮個人情報を取り扱います。
3. 当社は、AI・OCR機能において外部サービスに送信する情報を必要最小限とするため、氏名の呼称化、電話番号・郵便番号・メールアドレス等の識別子の自動マスキング等の措置を講じます。ただし、契約者および利用者は、入力・アップロード前に、処理に不要な氏名・住所その他の個人情報を可能な限り除去するものとします。
4. 当社は、要配慮個人情報について、第9条に定める安全管理措置に加え、アクセス権限の限定等の追加的な管理措置を講じます。
第9条(保有期間および消去)
1. 当社は、個人情報を利用目的の達成に必要な期間に限り保有し、当該期間を経過した個人情報または利用目的を達成した個人情報は、遅滞なく消去または匿名化するよう努めます。ただし、法令により保存が義務付けられている場合は、当該法令に定める期間保有します。
2. 手書きメモ等の原本画像は、既定では30日間の保存期間の経過後に自動的に削除されます。 OCR・AIによる文字起こし結果その他のテキストデータおよびその紐付けは、契約者が削除しない限り保持されます。保存期間は当社の裁量により変更されることがあり、変更する場合は本サービス上での掲示等により通知します。
3. 利用契約が終了した場合の利用者データの取扱い(データエクスポート期間および削除)は、利用規約の定めるところによります。当社は、利用契約終了後、利用規約に定める期間の経過後に、残存する原本画像、OCR・AI処理結果を含む利用者データを完全に削除します。
4. 前各項にかかわらず、法令により保存が義務付けられている情報、匿名化・統計化されたデータ、および監査ログ・セキュリティイベントの記録については、当社が必要な範囲で引き続き保持することがあります。
第10条(安全管理措置)
当社は、取り扱う個人情報の漏えい、滅失または毀損の防止その他の個人情報の安全管理のため、以下の措置を講じます。
1. 組織的安全管理措置
- (1) 個人情報の取扱いに関する責任者を定め、取扱い状況を管理します。
- (2) 個人情報の取扱いに関する規程を整備し、これに基づき運用します。
- (3) 漏えい等の事案の発生に備え、報告・連絡体制および対応手順を整備します。
2. 人的安全管理措置
- (1) 個人情報の取扱いに関する留意事項について、従業者に周知・教育を行います。
- (2) 従業者との間で秘密保持に関する取決めを行います。
3. 物理的安全管理措置
- (1) 個人データを取り扱う機器・電子媒体等の管理を行います。
- (2) 本サービスの個人データは、アクセス制御の施されたクラウド環境(Supabase・Vercel 等)に保管し、物理的なサーバー設備は各クラウド事業者のデータセンターにおいて管理されます。
4. 技術的安全管理措置
- (1) アカウントごとのアクセス権限管理(ロールベースアクセス制御)およびマルチテナントによるデータ分離を行います。
- (2) 通信経路の暗号化(TLS)および保管データの適切な保護を行います。
- (3) 多要素認証(MFA)、ログイン失敗の記録、監査ログの取得等により、不正アクセスを防止・検知します。
- (4) エラーログ・監視ログにおいて、個人情報・秘密情報を伏字化(マスキング)する措置を講じます。
- (5) AI・OCR機能への送信情報について、氏名の呼称化・識別子の自動マスキング等を行います。
第11条(開示・訂正・利用停止等の請求手続)
1. 本人は、当社に対し、当社が保有する自己の保有個人データについて、利用目的の通知、開示(第三者提供記録の開示を含む)、内容の訂正・追加・削除、利用の停止・消去または第三者への提供の停止(以下「開示等」)を請求することができます。
2. 請求先: 開示等の請求は、第1条に定める問い合わせ窓口(info@shining-revo.com)にて受け付けます。
3. 本人確認: 当社は、開示等の請求が本人(または法令上の代理人)からのものであることを確認するため、氏名・連絡先その他当社が必要と認める本人確認情報の提示を求めることがあります。代理人による請求の場合は、代理権を証する書面の提示を求めます。
4. 対応期間: 当社は、本人確認の完了後、法令に従い、遅滞なく(原則として請求受領後おおむね2週間以内を目安に)対応し、その結果を通知します。ただし、調査等に時間を要する場合は、その旨および見込み期間を通知したうえで、対応期間を延長することがあります。
5. 手数料: 利用目的の通知および開示の請求については、1件あたり1,000円(税込)の手数料を申し受けることがあります。手数料の支払方法は、請求受付時に案内します。訂正・追加・削除および利用停止等の請求については、原則として手数料を申し受けません。
6. 入居者等の個人データに関する請求: 入居者等の個人データは、当社が委託元である契約者の指示に基づき取り扱うものです。入居者等ご本人またはその代理人からの開示等の請求は、原則として個人情報取扱事業者である契約者(利用施設)が窓口となります。当社が入居者等ご本人から直接請求を受けた場合は、当社は契約者に取り次ぐか、契約者の指示に従って対応します。
7. 法令に定める事由に該当する場合(本人・第三者の生命・身体・財産・権利利益を害するおそれがある場合、当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合、他の法令に違反することとなる場合等)には、開示等の請求の全部または一部にお応えできないことがあります。この場合、当社はその旨および理由を通知します。
第12条(Cookie およびアクセス解析)
1. 本サービスは、ログインセッションの維持、利用者の認証、利便性の向上および本サービスの利用状況の把握のために、Cookie およびこれに類する技術(ローカルストレージ等)を使用することがあります。
2. 利用者は、ブラウザの設定により Cookie の使用を制限・拒否することができます。ただし、Cookie を無効にした場合、本サービスの一部の機能(ログイン等)が正常に利用できないことがあります。
3. 当社は、本サービスの品質向上・利用状況分析のためにアクセス解析ツールを利用することがあります。当該ツールを利用する場合、その事業者名および取得される情報の概要は、本条または第13条に記載し、または本サービス上で別途明示します。
第13条(外部送信規律に関する事項)
1. 電気通信事業法に定める外部送信規律に基づき、本サービスの利用に際して利用者の端末から外部の事業者のサーバー等へ送信される情報について、以下のとおり情報を提供します。
2. 本サービスは、その提供に必要な範囲で、次の外部事業者に対し情報を送信することがあります。
- (1) ホスティング・配信(Vercel, Inc.|米国): 本サービスの表示・動作に必要なアクセス情報(IPアドレス、端末・ブラウザ情報、リクエスト情報等)。目的=本サービスの配信・稼働・セキュリティ確保。
- (2) データベース・ストレージ(Supabase, Inc.|米国): 利用者が入力・保存するデータおよびアカウント情報。目的=データの保管・提供。
- (3) OCR・AI解析(Google LLC|Google Cloud Vision/Vertex AI(Gemini)・東京リージョン): AI・OCR機能の処理対象となる画像・テキスト(マスキング後)。目的=文字認識・AI解析結果の生成。
3. 前項のほか、アクセス解析ツール等を利用する場合は、送信先事業者名、送信される情報および利用目的を本サービス上で明示します。
4. 利用者は、ブラウザの設定等により一部の外部送信を制限できる場合がありますが、その場合、本サービスの一部機能が利用できないことがあります。
第14条(漏えい等発生時の対応)
1. 当社は、その取り扱う個人データの漏えい、滅失、毀損その他の個人の権利利益を害するおそれが大きい事態(以下「漏えい等」)が発生し、または発生したおそれがある場合、個人情報保護法およびガイドラインに従い、個人情報保護委員会への報告および本人への通知を行います。
2. 入居者等の個人データについて漏えい等が発生した場合、当社は委託先として、委託元である契約者に対し速やかにその旨を報告し、契約者による個人情報保護委員会への報告および本人への通知に必要な協力を行います。個人情報保護委員会への報告および本人への通知の主たる義務者は、原則として個人情報取扱事業者である契約者となります。
3. 当社は、漏えい等の事態が発生した場合、被害の拡大防止、原因の調査、再発防止策の策定その他の必要な措置を速やかに講じます。
第15条(本ポリシーの改定)
1. 当社は、法令の改正、本サービスの内容の変更その他の必要が生じた場合、本ポリシーを変更することがあります。
2. 本ポリシーを変更する場合、当社は、変更後の本ポリシーの内容および効力発生日を、本サービス上での掲示、メールの送信その他合理的な方法により周知します。本人(契約者・利用者)の権利義務に重大な影響を及ぼす変更を行う場合は、相当な予告期間をもって周知します。
3. 変更後の本ポリシーは、本ポリシーに別段の定めがある場合または法令に定める場合を除き、当社が定め周知した効力発生日から効力を生じます。
第16条(改定履歴)
| 版 | 日付 | 内容 |
|---|---|---|
| 初版 | 2026年7月2日 | 初版作成 |
事業者の表示
- 会社名: 株式会社Shining Revo
- 所在地: 〒862-0976 熊本県熊本市中央区九品寺5丁目11-1豊永ビル201
- お問い合わせ: info@shining-revo.com