当社は本サービスの提供にあたり、以下のとおり外国にある第三者 (委託先) を利用する場合があります。利用者は、本プライバシーポリシーに同意することで、APPI 第28条第1項 (外国にある第三者への提供の同意) および同条第2項 (同意取得時の参考情報の提供) に基づき、当該提供に同意するものとします。本項 (1) (2) (3) は、第28条第2項に基づき同意取得時に提供する参考情報を兼ねます。
(1) 移転先の名称・所在国: ① Functional Software, Inc. (Sentry) — 提供国はアメリカ合衆国 (米国)。② Microsoft Corporation のグローバル基盤 (Azure OpenAI のリージョン外部の管理・障害対応機能) — 主たる処理国は米国です。なお、Microsoft のグローバルデータセンターは継続的に拡張・再配置されるため、個別の処理国を当社で事前に網羅的に特定することは困難です。最新の所在国一覧は Microsoft が公開する https://datacenters.microsoft.com を参照ください。③ Vercel Inc. (CDN・グローバルエッジ) — 主たる処理国は米国です。Vercel のエッジロケーションも継続的に変動するため、個別ロケーションの事前特定は困難です。最新の所在国一覧は https://vercel.com/docs/edge-network/regions を参照ください。
(2) 当該外国の個人情報保護制度の概要: 米国には日本の APPI 又は EU の GDPR に相当する包括的な連邦個人情報保護法は存在せず、業種別 (HIPAA、GLBA 等) および州別 (CCPA / CPRA 等) の規制ならびに連邦取引委員会 (FTC) の不公正・欺瞞的行為禁止 (FTC Act 第5条) によるエンフォースメントが行われています。個人情報保護委員会が公表する「外国における個人情報の保護に関する制度等の調査」 (米国) を参照してください。Microsoft / Vercel の処理国に米国以外が含まれる場合、その国の制度概要は当該データセンター所在国に応じて変動しますが、いずれも各事業者の DPA に基づき米国又は EU 水準の保護を契約上維持することを当社は確認しています。
(3) 移転先が講ずる安全管理措置の概要: 当社が確認している範囲では、Functional Software, Inc. は SOC 2 Type II、Microsoft Corporation は SOC 2 Type II / ISO/IEC 27001 / ISO/IEC 27018、Vercel Inc. は SOC 2 Type II 等の第三者認証を取得しています。当社は各社との間で Data Processing Agreement (DPA) の締結またはそれに準ずる契約条項の受諾を行い、暗号化・アクセス管理・監査・データ漏洩通知・サブプロセッサ管理等の安全管理措置を契約上確保するよう努めています。各認証および契約条件の最新ステータスは各事業者の公開資料に従い、当社で随時確認します。
なお、Sentry 連携では `sendDefaultPii:false` と scrub hook により request body・cookie・sensitive query・span URL を送信前に除去または mask します。また、任意の例外 message / extra に利用者が登録した文書本文・チャットクエリ・回答本文・token を含めない実装規約を適用します。詳細は本ポリシー末尾の「お問い合わせ窓口」までご請求ください。