※ 本文書は 2026 年 5 月時点の暫定版です。販売開始前に弁護士レビューを受け、 最終版を公開します。記載されている運営者情報・連絡先は最終確認後に確定します。

プライバシーポリシー (個人情報保護方針)

最終更新日: 2026-05-05

合同会社HALL (以下「当社」) は、当社が提供する施工管理サービス「HALLIO」 (以下「本サービス」) におけるユーザーおよびユーザーの従業員・取引先等の 個人情報の取扱いについて、個人情報の保護に関する法律 (以下「個人情報 保護法」) その他関連法令を遵守し、以下のとおりプライバシーポリシーを 定めます。

1. 取得する個人情報

当社は、本サービスの提供にあたり以下の個人情報を取得します。

1.1 ユーザーから直接取得する情報

• アカウント情報: 氏名、メールアドレス、所属会社名、ロール、所属法人の 代表者氏名、所在地、電話番号、インボイス登録番号
• 利用履歴: ログイン履歴、操作履歴 (AuditLog)、IP アドレス、UserAgent、 デバイス識別子
• 業務データに含まれる個人情報: ユーザーが本サービス上に登録する顧客 (個人事業主・施主等) の氏名、連絡先、住所、案件履歴等

1.2 第三者から取得する情報

• 決済情報: クレジットカード情報は Stripe, Inc. が直接取得し、当社は 保持しません。当社は Stripe Customer ID および請求金額のみ保持します。

1.3 自動取得する情報

• Cookie、ローカルストレージ、Service Worker による設定情報
• アクセスログ (タイムスタンプ、エンドポイント、レスポンスコード等)

2. 利用目的

当社は取得した個人情報を以下の目的で利用します。

1. 本サービスの提供、運営、改善および新機能の開発
2. ユーザーの本人確認、不正利用の防止、セキュリティ確保
3. 利用料金の請求、回収、領収書の発行
4. 本サービスに関する案内、お知らせ、利用規約の変更通知の送信
5. ユーザーからのお問い合わせ、要望、苦情への対応
6. 法令上の義務 (電子帳簿保存法に基づく取引データ 7 年保存、 特定商取引法、個人情報保護法等) の履行
7. 本サービスの利用統計の集計および分析 (個人を特定できない形での 集計に限る)

当社は、取得した個人情報を、本サービスを通じた第三者の AI モデルの 学習データとして提供しません。本サービス内の AI 機能 (見積生成、週次 サマリー等) において Anthropic PBC の API を呼び出す際は、Anthropic との 契約により学習データへの転用が禁止されています。

3. 第三者提供および委託

3.1 第三者提供

当社は法令に定める場合を除き、ユーザーの同意なく個人情報を第三者に提供 しません。

3.2 業務委託

当社は、本サービスの提供のため、以下の業務委託先に対して必要最小限の 範囲で個人情報を取り扱わせます。委託にあたっては、各委託先と適切な 契約 (秘密保持契約またはデータ処理契約 / DPA) を締結し、安全管理措置を 求めています。

3.3 外国にある第三者への提供 (個人情報保護法第28条)

上記委託先のうち、外国にある事業者に個人情報の取扱いを委託する場合、 個人情報保護法第28条に基づきユーザーの同意を取得します。当社は本サービス の利用契約成立時に、本ポリシーへの同意をもって本項に基づく同意を取得 したものとして扱います。

各国における個人情報保護制度に関する情報は以下のとおりです。

米国

• 個人情報の保護に関する包括的な連邦法は存在しないが、州法 (例: California Consumer Privacy Act / CCPA) により一定の保護が図られている。
• 当社は委託先と Standard Contractual Clauses (SCC) または同等のデータ 処理契約を締結し、適切な安全管理措置を確保しています。
• 米国政府による情報アクセス要請 (CLOUD Act 等) が制度上存在することを ユーザーに開示します。

英国

• UK GDPR (一般データ保護規則) により、EU GDPR に準じた保護水準が法律で 規定されています。
• 日本との間で十分性認定が相互に行われており、適切な保護水準が確保されて います。

外国にある第三者への提供に関する詳細情報を希望される場合は、本ポリシー 末尾のお問い合わせ窓口までご連絡ください。

4. 安全管理措置

当社は、個人情報保護法第23条に基づき、個人情報の漏洩、滅失または毀損の 防止、その他の個人情報の安全管理のために必要かつ適切な措置を講じます。

4.1 技術的安全管理措置

• 通信の暗号化 (TLS 1.3 以上)
• 保存データの暗号化 (AES-256-GCM、API キー、OAuth リフレッシュトークン等)
• アクセス制御 (Role-based: ADMIN / MANAGER / WORKER / CLIENT / PARTNER)
• 操作ログの記録 (AuditLog で全操作の事後追跡可能、7 年保存)
• 脆弱性管理および定期的なセキュリティアップデートの適用

4.2 組織的・人的安全管理措置

• 個人情報取扱責任者の任命
• 従業員に対する個人情報保護に関する教育の実施
• 業務委託先の選定および監督

4.3 物理的安全管理措置

• 委託先のデータセンター (Supabase 東京、AWS 東京) における物理的な 入退室管理は、各委託先の安全管理措置によります。

5. 保存期間

利用契約終了後 90 日経過後、当社は業務データおよびアカウント情報を 適切に削除します。ただし、AuditLog 等の永久保存対象情報、法令により 保存が義務付けられている情報、および個人を特定できない形に加工した 統計情報は、引き続き保有することがあります。

6. 開示・訂正・削除等の請求 (個人情報保護法第32条以下)

ユーザーは、当社に対して以下の請求を行うことができます。

1. 保有個人データの開示
2. 保有個人データの内容の訂正、追加または削除
3. 保有個人データの利用の停止または消去
4. 保有個人データの第三者提供の停止
5. 第三者提供記録の開示

6.1 請求方法

請求は、本ポリシー末尾のお問い合わせ窓口宛に、以下の事項を記載した 書面 (電子メール可) を送付してください。

• 請求者の氏名、住所、連絡先
• 請求の対象となる個人データの特定に必要な情報
• 請求の内容 (上記1〜5のいずれか)
• 本人確認書類のコピー (運転免許証、マイナンバーカード等)

6.2 対応期間

当社は、請求受領後、遅滞なく (原則として 14 日以内に) 対応の可否および 対応内容をユーザーに通知します。

6.3 手数料

開示請求については、1 件あたり 1,000 円 (税込) の手数料を申し受ける場合 があります。訂正・削除・利用停止・第三者提供停止の請求については手数料は 発生しません。

7. Cookie およびローカルストレージの利用

本サービスは、ユーザー認証およびサービスの利便性向上のため、Cookie および ブラウザのローカルストレージを使用します。これらの技術により、以下の情報を 保存・取得します。

• セッション識別子 (NextAuth セッション cookie、SameSite=Lax)
• ユーザーの設定 (言語、テーマ等)
• Service Worker によるオフライン対応のためのキャッシュ

ユーザーはブラウザの設定により Cookie の受け入れを拒否できますが、その場合、 本サービスの一部機能が利用できなくなることがあります。

8. 未成年者の個人情報

本サービスは法人および個人事業主向けのサービスであり、18 歳未満の利用は 想定していません。

9. お問い合わせ窓口

合同会社HALL 個人情報取扱責任者 (兼 個人情報保護管理者)

10. 改訂

本ポリシーを改訂する場合は、変更後のポリシーの効力発生日の 30 日前までに 本サービス上または当社ウェブサイトにて公表するものとします。改訂内容が ユーザーの権利に重大な影響を与える場合は、改めて同意を求めることがあります。

合同会社HALL 代表者: 河合 晶成 (かわい まさあき) 法人番号: [国税庁公表分を最終化]