Sapis プライバシーポリシー
コグニティブ・デジタルツイン技術における個人情報保護方針
最終更新日: 2025年8月1日
1. 基本方針
ete Holdings株式会社(以下「当社」)は、Sapisエンジンによるコグニティブ・デジタルツイン(CDT)サービスの提供において、
お客様の個人情報及び認知データの保護を最重要事項と位置付け、以下の方針に基づき適切な取り扱いを実施いたします。
当社のコミットメント:
- 日本デジタルツインコンソーシアムにて検討集のCDT-J(コグニティブ・デジタル・ツイン生成基準)レベル2-3準拠
- 国際標準規格への部分的準拠
- 透明性の高いデータガバナンス
- 継続的なセキュリティ強化
2. 準拠法令・国際基準
2.1 日本国内法令
- 個人情報の保護に関する法律(令和4年改正対応)
- 次世代医療基盤法(医療データ利用時)
- 特定デジタルプラットフォーム透明化法
2.2 国際基準・規格
- EU一般データ保護規則(GDPR)- 部分的準拠
- カリフォルニア州消費者プライバシー法(CCPA)- 部分的準拠
- ISO/IEC 29100 プライバシーフレームワーク- 部分的準拠
- ISO/IEC 27001 情報セキュリティマネジメント- 部分的準拠
- ISO/IEC 23894 AIリスク管理- 部分的準拠
- IEEE P7001 透明性基準- 部分的準拠
- EU AI Act High Risk カテゴリー対応- 部分的準拠
3. 取得・処理するデータ種別
3.1 基本情報(レベル0相当)
- 氏名、連絡先、所属組織等の基本属性
- サービス利用に必要な登録情報
3.2 行動データ(レベル1相当)
- アプリケーション利用履歴
- コンテンツ閲覧パターン
- インタラクションログ
3.3 認知・心理データ(レベル2-3相当)【要配慮個人情報】
特別な配慮を要するデータ:
- 意思決定パターン・認知特性
- 学習スタイル・問題解決アプローチ
- 感情状態推定データ(明示的同意必須)
- パーソナリティモデル(ビッグファイブやMBTIベースのSapis独自フレームワーク使用)
4. データ利用目的と法的根拠
| 利用目的 | 処理内容 | 法的根拠 |
|---|---|---|
| パーソナライズドサービス提供 | 認知パターン分析・最適化 | 明示的同意(GDPR第6条1項a) |
| AI学習・精度向上 | 匿名化データでの機械学習 | 正当な利益(GDPR第6条1項f) |
| 研究開発 | 仮名加工情報での分析 | 個人情報保護法第41条準拠 |
| セキュリティ確保 | 不正アクセス検知・防止 | 法的義務の履行 |
5. セキュリティ対策
5.1 技術的保護措置(プロジェクト毎に適宜策定)
- エンドツーエンド暗号化(AES-256)
- ゼロトラストセキュリティアーキテクチャ
- 差分プライバシー技術の実装
- 連合学習による分散処理
- ブロックチェーンベースの監査ログ
5.2 組織的保護措置
- 定期的なセキュリティ監査(年2回)
- 従業員への継続的教育プログラム
- インシデント対応体制
5.3 物理的保護措置
- ISO 27001認証データセンター利用
- 生体認証による入退室管理(ローカルSapisサーバー社内設置分)
- 冗長化されたバックアップシステム
6. お客様の権利
GDPR及び個人情報保護法に基づく権利:
- アクセス権:保有個人データの開示請求
- 訂正権:不正確なデータの修正要求
- 削除権(忘れられる権利):データ削除要求
- 処理制限権:データ処理の一時停止要求
- データポータビリティ権:構造化形式でのデータ受領
- 異議申立権:プロファイリングへの異議
- 自動処理拒否権:完全自動化された意思決定の拒否
権利行使は下記連絡先より承ります。本人確認後、30日以内に対応いたします。
7. データ保存期間(プロジェクト毎に変更あり)
| データ種別 | 保存期間 | 削除方法 |
|---|---|---|
| 基本登録情報 | サービス利用終了後、別途記述がない場合5年 | 完全削除 |
| 行動ログデータ | 最終利用から、別途記述がない場合2年 |
匿名化後統計利用 |
| 認知モデルデータ | 明示的同意期間内 | 即時完全削除 |
| 要配慮個人情報 | 利用目的達成後即時 | 復元不可能な削除 |
8. 国際データ移転
EEA域外へのデータ移転時は、以下のいずれかの保護措置を実施します:
- 十分性認定を受けた国・地域への移転
- 標準契約条項(SCC)の締結
- 拘束的企業準則(BCR)の適用
- 明示的な同意の取得
9. AI倫理とアルゴリズムの透明性
9.1 説明可能AI(XAI)の実装
- 意思決定プロセスの可視化
- 重要度スコアの提供
- 処理ロジックの開示(企業秘密を除く)
9.2 バイアス防止措置
- 定期的な公平性監査
- 多様性を考慮したデータセット
- アルゴリズム影響評価の実施
9.3 ヒューマンインザループ
- 重要な意思決定における人間の関与
- オーバーライド機能の実装
- 継続的なモニタリング体制
10. 未成年者の保護
16歳未満の未成年者からのデータ収集には、親権者または法定代理人の同意を必須とします。
教育目的での利用においては、文部科学省ガイドラインに準拠した特別な配慮を実施します。
11. インシデント対応
データ侵害発生時の対応:
- 72時間以内の監督機関への通知(海外事業:GDPR要件準拠)
- 影響を受ける個人への迅速な連絡
- 個人情報保護委員会への報告
- 再発防止策の策定と公表
12. お問い合わせ窓口
ete Holdings株式会社 プライバシー保護担当
- Email: info@sapis.ai
本ポリシーは定期的に見直しを行い、必要に応じて改定いたします。重要な変更がある場合は、サービス上でお知らせいたします。