プライバシーポリシー

1. はじめに

ZEI STOCK（税ストック）（以下「本サービス」といいます）は、個人事業主・フリーランスおよび税理士向けの税務書類管理SaaSです。本サービスを運営するZEI STOCK運営（以下「当社」といいます）は、お客様の個人情報の保護を重要な責務と認識し、個人情報の保護に関する法律（以下「個人情報保護法」といいます）およびその他の関連法令を遵守し、以下のとおりプライバシーポリシー（以下「本ポリシー」といいます）を定めます。

2. 収集する情報

本サービスでは、以下の情報を収集します。

2.1 アカウント情報

• Googleアカウントのメールアドレス
• Googleアカウントの表示名
• Google UID（一意識別子）
• ユーザーロール（クライアント、税理士、管理者）

2.2 認証情報

• Google OAuth 2.0アクセストークンおよびリフレッシュトークン（Google Driveへのファイル保存に必要）
• JWT認証トークン（セッション管理用、24時間有効）

2.3 アップロードデータ

• お客様がアップロードした税務書類の画像・PDFファイル（領収書、控除証明書、明細書等）
• ファイル名、ファイル形式、ファイルサイズ

2.4 OCR・AI処理により抽出されるデータ

• OCR（光学文字認識）により抽出されたテキスト
• AIにより自動検出された金額、取引先名、日付
• 書類のカテゴリ分類結果および信頼度スコア
• 勘定科目、支払方法、税区分、摘要（お客様による手動入力分を含む）

2.5 利用状況データ

• 月間の書類処理ページ数
• バッチ処理の履歴（ステータス、処理日時）
• サブスクリプション情報（プラン名、ステータス、課金期間）

2.6 決済情報

クレジットカード番号等の決済情報は、当社が直接収集・保存することはありません。決済処理はすべてStripe, Inc.が提供する決済プラットフォームを通じて行われ、当社はStripeが発行する顧客ID（stripe_customer_id）およびサブスクリプションIDのみを保持します。

2.7 Webhook通知設定

• お客様が設定したWebhook URL（Slack、Chatwork、Microsoft Teams、Google Chat、Outlook向け）
• 通知対象イベントの設定内容

2.8 プッシュ通知情報

• ブラウザのプッシュ通知機能を利用するために、お客様の同意のもとで取得するプッシュ通知用サブスクリプション情報（エンドポイントURL、暗号鍵）
• これらの情報はお客様のアカウントに紐付けて当社サーバーに保存され、書類処理の完了・失敗通知の送信にのみ使用されます。
• お客様は設定画面からいつでもプッシュ通知を無効化でき、無効化時にサブスクリプション情報は削除されます。

3. 情報の利用目的

当社は、収集した情報を以下の目的で利用します。

• 本サービスの提供・運営:ユーザー認証、書類のアップロード・OCR処理・AI分類・Google Driveへの保存
• 課金・決済処理:サブスクリプション管理、利用量に基づくクォータ管理、Stripeを通じた決済処理
• 税理士機能の提供:クライアント書類のレビュー・承認、書類提出ルール管理、アラート通知
• 通知機能:お客様が設定したWebhookを通じた処理完了通知、アラート通知
• サービスの改善・維持:利用状況の分析、不具合の修正、セキュリティの確保
• 法令遵守・権利保護:法令に基づく対応、当社の権利・財産の保護

4. 外部サービスとの連携（第三者提供）

本サービスは、以下の外部サービスと連携しており、サービス提供に必要な範囲で情報を共有します。

上記以外の第三者に対して、法令に基づく場合を除き、お客様の同意なく個人情報を提供することはありません。

5. Google APIサービスの利用について

本サービスは、Google APIサービスを利用しています。Google APIから取得した情報の利用および他サービスへの転送は、Google API サービスのユーザーデータポリシー（制限使用の要件を含む）に準拠します。

• Google Driveへのアクセスは、drive.fileスコープを使用し、本サービスが作成したファイルのみにアクセスします。お客様のDrive上の他のファイルにはアクセスしません。
• Googleアカウント情報は、本サービスの認証およびGoogle Drive連携の目的にのみ使用します。

6. 決済情報の取扱い

本サービスの有料プラン（スタンダードプラン: ¥1,200/クライアント/月）の決済は、Stripe, Inc.が提供する決済基盤を通じて処理されます。

• クレジットカード番号、有効期限、セキュリティコード等の決済情報は、Stripeのサーバーで直接処理・保管され、当社のサーバーには保存されません。
• StripeはPCI DSS Level 1に準拠した決済サービスプロバイダーです。
• 当社が保持するのは、Stripeの顧客識別子（Customer ID）およびサブスクリプション識別子のみです。
• 決済に関するお問い合わせは、当社を通じてStripeと連携して対応いたします。

7. データの保管・セキュリティ

当社は、お客様の情報を適切に保護するため、以下のセキュリティ対策を実施しています。

• 通信の暗号化:すべての通信はHTTPS（TLS）により暗号化されます。
• 認証・認可:JWT認証（HS256アルゴリズム）およびロールベースのアクセス制御（RBAC）を採用しています。
• アクセス制御:お客様は自身のデータのみにアクセスでき、税理士はアクティブな顧問関係にあるクライアントのデータのみにアクセスできます。
• Webhook URLの保護:WebhookはHTTPS URLのみ許可しています。
• Stripe Webhook検証:Stripeからの通知は署名検証により真正性を確認しています。
• 一時ファイルの管理:アップロードされたファイルは処理完了後にサーバーから削除されます。処理後の書類はお客様のGoogle Driveに保存されます。

8. データの保存期間

• アカウント情報:アカウントが有効な間、保存されます。
• ドキュメント処理データ:アカウントが有効な間、データベースに処理結果（分類情報、抽出データ等）を保存します。
• アップロードファイル:OCR・AI処理が完了し、Google Driveへの保存が完了次第、当社サーバーから削除されます。
• 利用状況データ:課金管理のため、月間の利用記録を保存します。
• 認証トークン:JWTトークンは24時間で失効します。GoogleトークンはGoogle側の有効期限に準じます。

9. お客様の権利

お客様は、個人情報保護法に基づき、以下の権利を有します。

• 開示請求:当社が保有するお客様の個人情報の開示を請求できます。
• 訂正・追加・削除:個人情報の内容が事実でない場合、訂正・追加・削除を請求できます。
• 利用停止・消去:個人情報が利用目的の範囲を超えて利用されている場合等、利用停止・消去を請求できます。
• アカウント削除:アカウントの削除を希望される場合は、下記のお問い合わせ先までご連絡ください。アカウント削除時には、関連する個人情報を速やかに削除いたします。
• Google連携の解除:Googleアカウントの設定画面より、本サービスへのアクセス権限をいつでも取り消すことができます。

10. Cookieの使用

本サービスでは、認証状態を維持するためにCookieを使用します。具体的には、ログイン時に発行されるJWT認証トークンをCookie（zeistock_token、有効期間1日）に保存します。このCookieはサービスの利用に不可欠であり、トラッキングや広告目的では使用しません。

11. 未成年者の利用について

本サービスは、個人事業主・フリーランスおよび税理士を対象としたビジネス向けサービスです。18歳未満の方は、保護者の同意を得た上でご利用ください。

12. プライバシーポリシーの変更

当社は、法令の改正やサービス内容の変更等に伴い、本ポリシーを変更することがあります。重要な変更がある場合は、本サービス上での通知またはメール等の適切な方法でお知らせします。変更後のプライバシーポリシーは、本ページに掲載した時点で効力を生じます。

13. お問い合わせ

個人情報の取扱いに関するお問い合わせ、開示等のご請求は、以下の窓口までご連絡ください。