U-Lab

プライバシーポリシー

制定日: 2025年7月1日

株式会社Neurify(以下、「当社」)は、当社が提供する日程調整サービス「U-Lab」(以下、「本サービス」)において取り扱う個人情報について、以下のとおりプライバシーポリシー(以下、「本ポリシー」)を定めます。本サービスをご利用いただく前に必ずご確認ください。

1. 運営主体

本サービスは 株式会社Neurify 内の U-Lab オペレーションセンターが企画・運用します。当社の運用スタッフが、お客様企業向けに予約フォームの設計や保守を行います。

2. 取得する情報(Data Accessed)

当社は本サービスの提供に必要な範囲で、次の情報を取得します。Google ユーザーデータのアクセスは、ユーザーが OAuth 認可画面で明示的に許可したスコープに限定されます。

(1) 予約フォーム経由で利用者が提供する情報

  • 氏名、メールアドレス、会社名、役職・ロール
  • 希望日時、希望する商談内容・目的、事前質問、自由入力欄の内容
  • 電話番号など、お客様が任意で追加したカスタム項目の回答

(2) Google Calendar API 経由で取得する Google ユーザーデータ

  • 連携先 Google カレンダーの一覧と各カレンダーのメタデータ(カレンダー ID、名称、説明、タイムゾーン)
  • 予約確定時に作成・更新するカレンダーイベント(日時、タイトル、説明、場所、招待者メールアドレス、Google Meet URL 等)
  • 空き状況判定のために必要な既存イベントの開催日時・ステータス(`busy`/`free`)と重複防止に必要な識別子
  • OAuth 認可で発行されるアクセストークン、リフレッシュトークン、認証済みアカウントのメールアドレス

※ 取得範囲は Google API Services User Data Policy の Limited Use 要件に準拠する最小限のスコープ(例: `https://www.googleapis.com/auth/calendar.events` および `https://www.googleapis.com/auth/calendar.readonly`。既存連携では `https://www.googleapis.com/auth/calendar` を含む場合があります)に限定しています。

(3) システム利用ログ

  • アクセス日時、IP アドレス、ブラウザ情報などの技術ログ
  • 管理画面での操作内容、対象となった予約・顧客情報、操作したスタッフの識別情報
  • 通知送信の成否、再送履歴、監視アラートなどの運用ログ

3. 利用目的(Data Usage)

取得した情報は、以下の目的のために利用します。

  • 本サービス上での予約希望内容の受け付け、空き枠案内、予約確定の実施
  • 予約確定通知、リマインダー、運用者アラートなどのメールおよび Slack 配信
  • 設定内容の保守、障害対応、問い合わせ対応および運用ログの確認
  • 機能改善や品質向上のための統計的分析(個人を特定しない形で実施)
  • 不正アクセス検知、スパム対策、セキュリティインシデント発生時の調査

4. Google ユーザーデータの利用・共有・保護(Data Usage / Sharing / Storage & Protection)

(1) データの利用方法

  • 予約空き枠の算出や重複防止のため、連携先カレンダーの予定を参照します。
  • 予約確定時に必要な参加者、会議室、オンライン会議情報を含むイベントを作成・更新します。
  • 予約確定・リマインダー通知の本文生成や、運用者向けダッシュボード表示に活用します。
  • システム障害の調査や不正利用検知のために操作ログと突合します。

広告配信、個人プロファイリング、第三者販売等の目的では一切利用しません。

(2) データの共有

Google ユーザーデータを第三者に販売・共有することはありません。当社がデータを共有する場合は、以下に限定されます。

  • Next.js アプリのホスティング基盤である Vercel(実行環境での一時的な処理のみ。データ永続化は行いません)
  • データベース・ストレージ・認証を提供する Supabase(Row Level Security によりテナントごとにアクセス制限)
  • 予約メールを配信する Resend、および運用通知を投稿する Slack Webhook(必要最小限の宛先情報とメッセージのみ送信)
  • 導入支援・カスタマーサクセス・サポートデスクなど、契約に基づき当社の管理下で業務を遂行するパートナー企業
  • 法令に基づく開示請求、または人命・財産保護が必要で本人同意が困難な場合

(3) データの保管と保護

  • Supabase(Postgres + Storage)にて暗号化されたデータベース/ストレージへ保管し、TLS/HTTPS による通信暗号化を行います。
  • OAuth リフレッシュトークンは AES-256-GCM で暗号化した値のみを Supabase に保存し、暗号鍵は Vercel / Supabase Secrets Manager で分離保護します。
  • Row Level Security とロールベースアクセス制御により、Neurify 管理チームと自動同期プロセスのみが Google ユーザーデータへアクセスできます。
  • ICS ファイルは Supabase Storage の限定公開バケットに保存し、署名付き URL の有効期限を 48 時間に制限します。
  • 操作履歴と監査ログを保存し、異常検知・インシデント対応に備えています。

当社は Google API Services User Data Policy(特に Limited Use 要件)および Google APIs Terms of Service を遵守します。

(4) 連携解除とアクセス制御

利用者は Google アカウントのセキュリティ設定ページからいつでも連携を解除できます。解除後はアクセストークンを即時失効させ、連携カレンダーへのアクセスを停止します。また、連携解除の通知を受領した時点で関連する同期ジョブを停止し、残存データを所定の手続きで削除します。

5. データの保管期間・削除手続き(Data Retention & Deletion)

取得したデータは、利用目的の達成に必要な期間のみ保管し、不要になったデータは安全な方法で削除または匿名化します。

  • 予約情報・連絡先情報: ご契約の継続期間中および利用目的達成に必要な期間保管します。契約終了時または削除依頼を受領した場合は、30 日以内を目安に削除または匿名化します。
  • Google カレンダー連携トークン: 連携継続期間中のみ保持し、解除後は自動ジョブで即時失効させたうえで削除します。
  • カレンダー招待ファイル (ICS): 予約確定後に暗号化ストレージへ保存し、共有リンクは 48 時間で失効、その後おおむね 3 日以内に削除します。
  • 操作ログ・通知ログ: セキュリティおよび法令遵守のために最長 13 か月保管し、目的を達したものから順次削除または統計化します。

利用者がデータの削除を希望する場合は、system@u-lab.tech 宛にご連絡ください。本人確認と契約者の承認後、合理的な期間内(原則 30 日以内)に削除または匿名化処理を完了し、結果をご報告します。Google アカウントの連携解除のみで削除されないデータについても、同様にリクエストを受け付けます。

6. セキュリティ対策

  • 利用目的に応じたアクセス権限を細かく設定し、予約データへの不正アクセスを防止します。
  • 通信と保管の両方で暗号化を実施し、機密性の高い情報を安全に管理します。
  • 操作履歴や通知履歴を保存し、万が一のトラブル時に原因を確認できる体制を整備します。
  • 定期的な監視と脆弱性診断、障害時の復旧手順を文書化し、迅速な対応を可能にします。
  • スタッフ教育と運用チェックリストにより、ヒューマンエラーの発生を抑制します。

7. 利用者の権利

利用者は、ご自身の個人情報について、開示・訂正・削除・利用停止をご請求いただけます。請求の際は、本人確認のうえ、合理的な期間内に対応します。ただし、法令上削除できない情報や、ご契約に基づき保管義務がある情報については対応できない場合があります。

8. お問い合わせ窓口

本ポリシーおよび個人情報の取り扱いに関するお問い合わせは、以下の窓口までご連絡ください。

U-Lab オペレーションセンター(個人情報保護担当)

E-mail: system@u-lab.tech

受付時間: 平日 10:00〜18:00(祝日・年末年始を除く)

9. ポリシーの改定

当社は必要に応じて本ポリシーを改定することがあります。改定内容は本ページへの掲載および必要に応じた通知方法で告知します。重大な変更を行う場合は、事前に合理的な期間を設けて周知します。