プライバシーポリシー
最終更新日:2026年6月20日
運営:SynqOS合同会社
第1条(定義)
本プライバシーポリシー(以下「本ポリシー」)において、以下の用語は次の意味を持ちます。
- 「本サービス」:SynqOS合同会社が提供する飲食店向けクラウドサービス「AXpress飲食」(経費・売上・FL原価管理・シフト管理・予約管理等)。
- 「当社」:SynqOS合同会社。
- 「利用店舗」:本サービスを利用する飲食店の経営者・運営法人およびその従業者。本サービスにおける一次的な個人情報取扱事業者。
- 「予約客」:利用店舗に予約をした顧客等で、その個人情報が利用店舗により本サービスへ入力・取込される者。
- 「個人情報」:個人情報保護法第2条に定める個人情報。
第2条(取得する情報と取得元)
本サービスでは、以下の情報を取得します。情報には、(A)利用店舗自身に関する情報と、(B)利用店舗が本サービスへ入力・取込する第三者(予約客・従業員)に関する情報が含まれます。両者の立て付けの違いは第6条・第7条に定めます。
(A) 利用店舗が入力・登録する情報
| 情報の種類 | 取得場面 | 用途(概要) |
|---|---|---|
| メールアドレス | 会員登録・ログイン | 認証・通知 |
| 氏名・店舗名・屋号 | 会員登録・プロフィール設定 | サービス管理・本人確認 |
| 店舗の所在地・連絡先 | 会員登録・店舗設定 | サービス管理・お問い合わせ対応 |
| レシート・領収書の画像、および記載内容(日付・店名・金額・税区分・勘定科目等) | レシート撮影・経費登録(AI読取) | 経費の記録・分類・集計・可視化 |
| 売上・仕入・原価データ | 売上入力・FL原価ダッシュボード | 経営指標(FL比率等)の集計・表示 |
| 決済関連情報(プラン・課金状況) | 有料プラン契約(将来有料化時) | プラン管理・料金請求(カード番号は決済代行事業者が処理し当社は保持しません) |
(B) 利用店舗が第三者の情報として入力・取込する情報
| 情報の種類 | 取得場面・取得元 | 個人情報該当性 |
|---|---|---|
| 予約客の氏名・電話番号(任意項目・空でも利用可) | 利用店舗の手入力/利用店舗が受信した予約通知メール本文の貼り付け、または利用店舗が専用アドレスへ転送した予約通知メールの受信と、そこからのAI抽出 | ○ 個人情報 |
| 予約日時・人数・席・予約経路・予約番号・備考 | 同上 | 単体では非該当でも、氏名等と容易に照合して個人を識別でき個人情報となりうる |
| 従業員のシフト情報(氏名・勤務日時・時給等) | 利用店舗によるシフト作成・人件費管理 | ○ 個人情報(従業員) |
自動的に取得する情報
- アクセスログ(IPアドレス・ブラウザ情報・アクセス日時)
- 利用状況データ(機能の使用頻度・エラーログ)
要配慮個人情報は取得しない設計です。 アレルギー・病歴・信条等を入力する所定項目は設けていません。予約の備考欄その他の自由入力欄に、要配慮個人情報(要配慮個人情報の取得には原則として本人同意が必要です)を入力しないよう、利用店舗にお願いします(第6条・利用規約参照)。
第3条(利用目的)
取得した情報は、以下の目的の範囲でのみ利用します。
- 本サービスの提供・運営・保守・改善
- レシート・領収書の読取(AIによるデータ化・勘定科目/税区分のサジェスト)および経費・売上・FL原価の集計・表示
- 予約台帳の管理(予約一覧の表示・編集・キャンセル管理)、および利用店舗が貼り付けた予約通知メール本文からの予約情報の構造化(AIによる転記補助)
- シフト作成の支援および人件費の集計・FL原価への反映
- 利用店舗へのサポート対応・お問い合わせ対応
- 料金請求・契約管理(将来有料化時)
- 重要なお知らせの送付
- 不正利用の検知・防止、セキュリティの確保
- 当社は、上記目的を超えて、当社自身のマーケティング等の目的で予約客・従業員の個人データを取り扱いません。
- 当社は、予約客に対し、当社から直接の連絡・営業を行いません。
第4条(AI処理に伴う外部送信・委託)
本サービスの一部機能は、外部の事業者に処理を委託しています。とくにAIによるデータ化・抽出は、入力された内容を外部の事業者のサーバーへ送信して処理します。
委託先一覧
| 委託先 | 取扱う内容 | 役割 |
|---|---|---|
| Anthropic, PBC | レシート・領収書画像/その記載内容、および予約通知メール本文(予約客の氏名・電話を含みうる)を送信し、データ化・構造化抽出を行う(AI解析) | AI解析処理 |
| Supabase Inc. | 経費・売上・予約・シフト等のデータの保管、認証、データベース | データ保管・認証・基盤 |
| (決済代行事業者・ホスティング事業者等) | 将来有料化時の決済処理・配信基盤 | 課金・配信(導入時に本一覧へ追記) |
- AIへ送信される範囲:レシート機能では撮影・登録された画像とその記載内容、予約機能では利用店舗が貼り付けた予約通知メール本文の範囲全体が送信されます。メール本文には氏名・電話以外の情報が含まれうるため、利用店舗には、送信前に不要な個人情報を削るようお願いします。
- AI学習への不使用・保持期間:AI解析の委託先(Anthropic, PBC)は、その商用API規約上、既定で入力・出力をAIモデルの学習に利用しません。送信されたデータは委託先において既定で受領から30日以内に自動削除されます(同社規約への違反が検知された場合等を除く)。
- データの保管場所:経費・売上・予約・シフト等のデータベースは、保管基盤(Supabase)の東京リージョン(日本国内)に保管されます。ただし運営事業者は米国法人であり、ログ等の一部のサブプロセッサを通じて外国(米国等)での取扱いが生じる場合があります(第5条参照)。
- 委託先の監督:当社は、個人情報保護法第25条に基づき、委託先に対し必要かつ適切な監督を行います。各委託先との間で、安全管理および利用範囲に関する条件を確認します。
- AI出力の性質:AIによるデータ化・抽出結果はサジェスト(下書き・転記補助)であり、その正確性・完全性を保証するものではありません。最終的な内容の確認・確定は利用店舗が行います(利用規約参照)。
第5条(外国にある第三者への提供)
前条の委託先のうち一部は、外国(米国等)に所在する事業者であり、または個人データが外国のサーバー・リージョンで取り扱われる場合があります。この場合、個人情報保護法第28条に基づく「外国にある第三者への提供」に該当しうるため、以下の情報を提供します。
| 移転先(事業者) | 移転先の国 | 当該国の制度に関する情報 | 講じている保護措置 |
|---|---|---|---|
| Anthropic, PBC | 米国(本社:カリフォルニア州サンフランシスコ) | 米国には日本のような包括的な個人情報保護法制はなく、分野別の法制によります(詳細は個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」の米国の項を参照)。 | 委託契約(DPA)の締結/SOC 2 Type II・ISO 27001・ISO 42001 の取得/既定でAIモデル学習に不使用かつ受領から30日以内に削除 |
| Supabase Inc.(データ保管) | データの主たる保管は日本国内(東京リージョン)。ただし運営事業者は米国法人であり、ログ等の一部サブプロセッサを通じて外国(米国等)での取扱いが生じる場合があります。 | 上記(米国部分)につき同欄を参照 | 委託契約(DPA)の締結/SOC 2 Type II・ISO 27001/AWS東京リージョンでの国内保管/移転影響評価(TIA)の公開 |
第6条(第三者提供)
当社は、以下の場合を除き、利用店舗・予約客・従業員の個人情報を第三者に提供しません。
- 本人または利用店舗の同意がある場合
- 法令に基づく場合(裁判所・捜査機関等からの適法な開示要請)
- 人の生命・身体・財産の保護のために必要であり、本人の同意取得が困難な場合
- 第4条に定める委託(保管・AI解析)は、利用店舗から当社への業務委託(個人情報保護法第27条第5項第1号)であり、本条の第三者提供には該当しません。
- 当社は、予約客の個人データを当社自身の目的のために第三者へ提供・販売しません。
第7条(予約客・従業員の個人情報の立て付け)
予約客・従業員の個人情報については、以下の役割分担に基づき取り扱います。
| 主体 | 役割 | 立場 |
|---|---|---|
| 利用店舗 | 自店の予約客・従業員の情報を本サービスへ入力・保管・利用する | 当該本人に対する一次的な個人情報取扱事業者(管理者) |
| 当社 | 利用店舗にシステム(保管・AI解析)を提供する | 利用店舗からの委託を受ける者(受託者) |
- 当社は予約客・従業員から直接情報を取得しません。 これらの情報は、利用店舗自身が入力・取込します。
- したがって、予約客・従業員に対する利用目的の通知・適正取得・本人への説明等は、一次的に利用店舗が責任を負います。当社は、利用店舗がこれらの責任を果たせるよう、本ポリシーの内容を開示します。
第8条(保管期間)
- 利用店舗に関するデータおよび利用店舗が入力・取込したデータは、利用店舗による削除、または解約後30日以内に消去します(バックアップを含みます)。
- 利用契約終了時、当社は利用店舗の指示に従い、当該店舗の個人データを消去または返還します。
- バックアップ上のデータも、解約後30日以内のバックアップ・ローテーション周期に従って消去されます。
- 利用店舗または本人からの手動の削除請求には、本人確認のうえ速やかに対応します。
第9条(安全管理措置)
当社は、個人データの漏えい・滅失・毀損の防止その他の安全管理のため、以下の措置を講じます。
- 会社単位の分離(行レベルセキュリティ/RLS):利用店舗ごとにデータを論理的に分離し、他店舗のデータへの参照・書込を技術的に遮断します。
- アクセス制御・認証:機能の利用には認証を要し、未認証のアクセスを拒否します。シークレット(接続キー等)は環境変数で管理し、外部に開示しません。
- 通信の暗号化:SSL/TLSによる暗号化通信を使用します。
- AI解析の非断定設計:読み取れない項目は推測で補わず「要確認」とし、保存は利用店舗の確認・確定を経るものとします(誤情報の固定化防止)。
- 組織的措置:個人情報保護責任者の設置、従業者の監督、委託先の監督。
第10条(開示等の請求)
利用店舗による請求
利用店舗は、当社が保有する自社に関する保有個人データについて、開示・訂正・追加・削除・利用停止・第三者提供の停止等を請求できます。請求先は第12条のとおりです。
予約客・従業員(本人)による請求
予約客・従業員の本人からの開示・訂正・削除等の請求は、一次的には当該情報を管理する利用店舗が窓口となります。当社は、利用店舗からの指示に基づき、システム上での該当データの開示用エクスポート・訂正・削除に技術的に協力します。
第11条(本ポリシーの変更)
本ポリシーを変更する場合は、変更後の内容を本サービス上に掲示し、または利用店舗へ通知します。重要な変更の場合は、相当な周知期間を設け、必要に応じて再同意を求めることがあります。
第12条(事業者情報・お問い合わせ)
個人情報の取り扱いに関するご質問・ご意見、開示等の請求は下記までご連絡ください。
SynqOS合同会社
代表社員:萩原 洋介
個人情報保護責任者:萩原 洋介
メール:support@axpress-inshoku.jp
受付時間:平日 10:00〜18:00
本ポリシーは個人情報保護法(令和2年改正)に基づき策定しています。