SD 補助金 プライバシーポリシー
最終更新日: 2026-XX-XX バージョン: 1.0.0 (consent_version = 1)
ストラテジーデザイン株式会社 (以下「当社」といいます) は、SD 補助金 (以下「本サービス」といいます) における個人情報の取扱いについて、本プライバシーポリシー (以下「本ポリシー」といいます) を定めます。本ポリシーは個人情報保護法 (2022/4 改正) および関連法令に準拠し、デフォルトの中粒度 (B) 記載に加え、画面上の <Disclosure> トグル展開で高粒度 (C) の詳細を確認できる段階的開示パターンを採用します。
1. 取得する個人情報の項目
本サービスは以下のカテゴリの個人情報を取得します (中粒度 B)。
- 基本情報: 氏名、メールアドレス、所属組織 (org_id および組織名)、Platform SSO 経由の認証 ID
- 事業情報: 業種、従業員数、所在地 (都道府県・市区町村レベル)、設立年数、法人形態
- ヒアリング回答: ユーザーが LINE 風モバイルチャット UI で入力する Q1〜Q12 および自由記述 2 箇所の回答
- 利用ログ: アクセス日時、IP アドレス、User-Agent、画面遷移ログ、マッチング履歴、お気に入り
2. 利用目的
取得した個人情報は以下の目的の範囲内でのみ利用します (中粒度 B)。
- 補助金・助成金のマッチング (Stage 1 ルールベース + Stage 2 Anthropic Claude API 判定)
- 申請に向けた骨子 (章構成・観点・問いかけの要点メモ) の提示
- お問い合わせ・削除リクエスト等への対応
- 露出ポイント A / B / E (SD Cloud Suite 関連プロダクトの自然な導線) の品質改善
- 不正利用の防止、サービスの維持・改善
3. 第三者提供
中粒度 (B): 当社は、法令に基づく場合を除き、ユーザーの同意なく個人情報を第三者に提供しません。以下の事業者は「業務委託先」であり、第三者提供には該当しません。
- Anthropic, PBC (米国): マッチング Stage 2 および骨子提示の AI 推論委託 (Claude API)
- Supabase, Inc. (米国): データベース・認証・ストレージ・Edge Function の SaaS 提供
- Vercel, Inc. (米国): フロントエンドのホスティングおよび CDN
- ストラテジーデザイン株式会社 (Platform): SD Cloud Platform SSO による認証ハブ
4. 保存期間
中粒度 (B): データ種別ごとの保存期間は以下のとおりです。
- 会員ユーザーのデータ: 退会の申し入れがあるまで保存。退会後は本ポリシー第 5 項に従い 30 日以内に削除します。
- ゲストユーザーのデータ (GUEST-02 関連): 最終アクセスから 7 日後に Edge Function (
pg_cronまたは Vercel Cron) で自動削除されます。 - 補助金マスタ DB: 公募終了から 1 年間は履歴目的で保存。1 年経過後はアーカイブテーブルへ移動。
- アクセスログ: 90 日経過後に集計値のみを残し、個別ログは削除します。
5. 開示請求・削除リクエスト窓口
中粒度 (B): ユーザーは、当社が保有する個人情報の開示・訂正・削除・利用停止を請求できます。窓口は以下のとおりです。
- 暫定窓口メールアドレス:
legal@strategy-design.jp(Phase 0 期間中。本番ドメイン確定後に最終確認のうえ更新予定) - 専用フォーム URL:
/contact?type=privacy-disclosure(Phase 3 で実装。Phase 1 ではパス予約のみ) - Anthropic 側のデータ削除フロー: Anthropic Claude API は zero data retention (ZDR) 設定のもと、API 応答後にプロンプト本文および出力本文を Anthropic 社のサーバーに保持しません。ただし Anthropic Trust & Safety classifier の判定結果は不正利用検出のため Anthropic 社が一定期間保持する場合があります。この classifier 結果に関する削除リクエストは、当社を窓口として Anthropic 社へ取り次ぎます。
- 削除リクエストへの応答 SLA: 営業日 10 日以内に一次回答、30 日以内に削除完了 (退会フローと統合)
削除リクエスト の対象: 上記 1. のすべての項目。ただし、不正利用防止に必要な最小限のログ (法的義務に基づく保管対象を含む) は除きます。
6. Cookie の利用
中粒度 (B): 本サービスは以下のカテゴリの Cookie を利用します。
- 認証 Cookie: Platform SSO セッション維持のための HMAC 署名付き cookie
- 計測 Cookie: 画面遷移・ファネル CV を計測する Vercel Analytics または自前テーブルへのトラッキング
- 設定 Cookie: ユーザーの UI 設定 (ダッシュボードの表示順、
<Disclosure>トグル状態の URL ハッシュ反映等) の保持
7. 安全管理措置
中粒度 (B): 当社は、個人情報の漏えい・滅失・毀損を防止するため、以下の安全管理措置を実施します。
- 技術的措置:
- 通信の暗号化: TLS 1.2 以上を強制
- データベースアクセス制御: Supabase Row Level Security (RLS) を全テーブルで有効化。組織内データの分離は
USING(org_id = (auth.jwt()->>'org_id')::uuid)パターンで強制 (USING(true)禁止) - 認証: SD Cloud Platform SSO (HMAC cookie +
org_idは JWT から動的解決) を経由 - AI 推論時の保護: Anthropic Claude API に対し zero data retention (ZDR) 契約を組織単位で有効化
- 組織的措置:
- 個人情報を取り扱う従業員の最小化 (Phase 0 期間中はストラテジーデザインの担当者のみ)
- アクセスログの定期点検 (90 日サイクル)
- インシデント発生時のエスカレーション窓口 (
legal@strategy-design.jp)
8. 改定通知
中粒度 (B): 当社は、本ポリシーを改定することがあります。改定の重要度に応じて以下の通知を行います (D-G4-06 改定通知マトリクス)。
- 中粒度 (B) のみの軽微改定:
consent_versionを据え置き、画面上のお知らせは省略する場合があります。 - 高粒度 (C) のみの改定:
consent_versionを据え置き、ログイン後にバナー通知を表示します (再同意は不要)。 - 重要事項変更 (収集項目追加・送信先変更・採択判定方針変更等):
consent_versionをインクリメントし、ログイン後に再同意モーダルを表示します。再同意がない場合、本サービスの主要機能は利用できません。
詳細な改定履歴は content/legal/CHANGELOG.md (および Phase 3 以降の /legal/changelog 公開ページ) を参照してください。
最終更新日: 2026-XX-XX バージョン: 1.0.0 (consent_version = 1)
本ドラフトは Plan 02 (Phase 1 / 法務基盤) の成果物であり、Plan 05 (弁護士第 1 段階レビュー) の入力です。レビュー後 status を
reviewed-stage-1に、本番公開時にpublishedに更新します。