プライバシーポリシー

1. 基本方針

StainedGlass 人材管理システム（以下「本サービス」）は、外国人人材の受入・雇用管理に特化したクラウドサービスとして、 個人情報の重要性を深く理解し、個人情報保護法その他関連法令を遵守して、 お客様の個人情報を適切に取り扱います。

本サービスは外国人従業員の機密性の高い情報（ビザ情報、在留資格、パスポート情報等）を扱うため、 特に厳格なセキュリティ基準を適用しています。

2. 収集する情報

2.1 アカウント情報

• メールアドレス、パスワード（暗号化済み）
• 会社名・組織名（テナント情報）
• ユーザーロール・権限情報

2.2 外国人従業員の個人情報

• 基本情報: 氏名（日本語・ローマ字）、生年月日、性別、国籍、住所、連絡先
• 身分証明書: パスポート番号・有効期限
• ビザ・在留資格情報: 在留資格の種類、許可期間、更新履歴、在留カード番号
• 雇用情報: 雇用形態、職種、部署、入社日、来日日
• 在留資格申請情報: 在留資格認定証明書（COE）の交付申請に必要な申請関連データ
• 定期報告情報: 特定技能 年次報告・面談報告に関するデータ

2.3 利用状況データ

• ログイン履歴、アクセス日時
• IPアドレス、デバイス情報、ブラウザ情報
• システム利用状況、機能使用統計
• 在留手続申請APIの操作ログ（監査目的）

3. 情報の利用目的

3.1 サービス提供

• 外国人従業員の雇用・労務管理
• 在留資格・ビザ期限の管理
• 在留資格申請・在留手続申請の処理
• 特定技能 定期報告書の作成・出力

3.2 法的義務の履行

• 出入国在留管理庁への各種届出・報告
• 労働基準監督署への報告義務
• 厚生労働省への雇用状況報告

3.3 サービス改善

• システムの機能向上・最適化
• 新機能の開発・提供
• セキュリティの向上
• カスタマーサポートの提供

4. 情報へのアクセス権限

4.1 ユーザー権限レベル

4.2 技術的アクセス

• システム管理者: メンテナンス・障害対応時のみアクセス
• 開発者: 本番データには一切アクセス不可
• サポートチーム: お客様の明示的許可がある場合のみ

5. 情報の共有・提供

5.1 法的要請による提供

• 出入国在留管理庁への届出・報告
• 労働基準監督署、税務署等行政機関への報告
• 裁判所命令、捜査機関からの要請

5.2 第三者との共有制限

以下の場合を除き、お客様の個人情報を第三者と共有することはありません：

• お客様の明示的な同意がある場合
• 法的義務の履行に必要な場合
• 生命、身体の安全保護のために必要な場合

5.3 外部サービスへの連携

• Supabase: 認証・データベース（日本リージョン）
• Stripe: 決済処理（カード情報は当社で保持しません）
• マイナポータル（在留手続API）: 在留手続申請時のみ必要な情報を送信
• Vercel: アプリケーションホスティング

6. セキュリティ対策

6.1 技術的対策

• SSL/TLS暗号化通信
• Supabase Row Level Security（RLS）によるデータ分離
• マルチテナント分離（テナントIDによるデータスコープ）
• アクセスログの記録・監視
• 在留手続API通信の署名検証（RSA-SHA256）

6.2 組織的対策

• アクセス権限の最小権限の原則
• 定期的な権限見直し
• インシデント対応手順の整備

7. データの保存期間・削除

7.1 保存期間

• 雇用中: サービス利用期間中
• 退職後: 法定保存期間（通常5年間）
• 税務関連: 7年間
• ビザ関連: 在留期限後5年間

7.2 削除・匿名化

• 法定保存期間経過後の自動削除
• お客様からの削除要請への対応
• 退会時のデータ削除（法定保存義務除く）

8. お客様の権利

• 開示請求: 保有個人データの開示を請求する権利
• 訂正・削除: 間違った情報の訂正・削除を請求する権利
• 利用停止: 個人情報の利用停止を請求する権利
• データポータビリティ: データの移行を請求する権利

9. お問い合わせ窓口

10. プライバシーポリシーの改定

本プライバシーポリシーは、法令の改正やサービスの変更に伴い改定される場合があります。 重要な変更については、サービス内通知またはメールにてお客様にお知らせいたします。 継続的なサービスご利用により、改定されたプライバシーポリシーに同意したものとみなされます。