1. はじめに
本プライバシーポリシーは、東京都中央区銀座1-22-11に本社を置くZelfium Inc.(以下「Zelfium」「当社」又は「弊社」といいます。)が、当社のパーソナリティ診断プラットフォームzelfium.com 及びこれに関連するすべてのサービス(Zelfium Affinia(相性診断)並びにZelfium Libra(キャリアパス診断)を含みます。)をご利用いただく際に、当社がお客様の個人情報をどのように収集、利用、保管及び保護するかについて説明するものです。
個人情報取扱事業者:Zelfium Inc.(東京都中央区銀座1-22-11)
お問い合わせ先: contact@zelfium.com
施行日:2026年3月31日
アカウントを作成し、又は当社のサービスを利用することにより、お客様は本プライバシーポリシーを読み、その内容を理解したものとみなされます。本ポリシーは、世界中のすべてのユーザーに適用され、GDPR(EU一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)、個人情報の保護に関する法律(個人情報保護法)、その他の適用されるデータ保護法に基づく義務に対応しています。
本プライバシーポリシーは、当社の 利用規約、 Cookieポリシー、 利用規程、 データ処理契約(DPA)、 B2B利用規約、及び 特定商取引法に基づく表記と併せてお読みください。
2. 収集するデータ
当社は、お客様が当社のサービスを利用される際に、以下のカテゴリの個人情報を収集します。
2.1 アカウントデータ
- メールアドレス(必須)
- 姓名(必須)
- ニックネーム(任意)
- 電話番号(任意)
2.2 認証データ
- パスワード(保存前に暗号学的にハッシュ化され、平文で保存されることはありません。)
- Google、Microsoft又はAppleを通じてサインインする際のOAuthトークン(認証目的のみに使用され、当社はこれらのプロバイダーからお客様の連絡先、カレンダー、その他のアカウントデータにアクセスすることはありません。)
2.3 診断データ
- 当社の77問のリッカート尺度パーソナリティ診断質問に対するお客様の回答(0から6の範囲の値)
- 各質問に対する回答時間の記録
2.4 診断結果データ
- 8つの主要尺度スコア:外向性/内向性(E/I)、直観/感覚(N/S)、思考/感情(T/F)、判断/知覚(J/P)、協調/独立(C/M)、調和/決断(H/D)、定型/革新(R/O)、切迫/寛容(U/L)
- 16の下位尺度スコア
- 41のコンポーネントスコア
- パーソナリティタイプの分類
2.5 AIチャットデータ
- 当社のAIチャット機能に送信されるメッセージ
- AIが生成した応答
- 会話履歴及びメタデータ
2.6 決済データ
すべての決済処理はStripeによって行われます。Zelfiumは、お客様のクレジットカード番号、デビットカード番号又は銀行口座の詳細を保存、処理又はアクセスすることは一切ありません。当社が受け取るのは、取引識別子、決済ステータス、金額、及び表示目的のカード下4桁のみです。
2.7 技術データ
- IPアドレス
- ブラウザの種類及びバージョン
- デバイスの種類及びオペレーティングシステム
- アクセスのタイムスタンプ
- リファラーURL
2.8 Cookie
当社は機能的なCookieのみを使用しています。広告、トラッキング又はアナリティクス目的のCookieは使用しておりません。当社が設定するCookieは以下のとおりです。
| Cookie名 | 種類 | 有効期間 | 目的 |
|---|---|---|---|
zelfium_access_token | HTTP-only, Secure | 約15分 | セッション認証 |
zelfium_refresh_token | HTTP-only, Secure | 7日間 | セッション更新 |
| Supabaseセッションcookie | HTTP-only, Secure | セッションベース | 認証プロバイダーのセッション管理 |
詳細については、当社の Cookieポリシーをご覧ください。
3. 要配慮個人情報
お客様のパーソナリティ診断データ—質問への回答、尺度スコア、下位尺度スコア、コンポーネントスコア及びパーソナリティタイプの分類を含みます—は、GDPR(EU一般データ保護規則)第9条に基づく心理的プロファイリングに関する要配慮個人情報に該当する場合があります。
当社は、以下の根拠に基づきこのデータを処理します。
- 明示的な同意(GDPR第9条第2項(a)):診断を開始する前に、当社は明確な同意メカニズムを通じて、お客様の明示的かつ十分な情報に基づく自由意思による同意を取得します。お客様はいつでもこの同意を撤回することができます。
追加の保護措置
- 診断データは、業界標準の暗号化プロトコルを使用して、保存時及び転送時に暗号化されます。
- 生の診断データへのアクセスは、サービス提供に必要な権限を持つ担当者及び自動化システムに厳格に制限されます。
- 診断データが第三者の独自の目的のために共有されることはありません。
- 当社は、診断処理活動に対するデータ保護影響評価(DPIA)を定期的に実施しています。
自動プロファイリング及び自動意思決定(GDPR第22条)
Zelfiumは、お客様の診断回答からパーソナリティプロファイルを生成するために自動プロファイリングを使用しています。また、Zelfium Libraは、お客様のパーソナリティの次元に基づいて自動的にキャリアパスの推奨を提供します。
Zelfiumは、お客様に対して法的効果又はこれに類する重大な影響を及ぼす意思決定を自動処理のみに基づいて行うことはありません。当社の診断及びキャリア推奨は、お客様の個人的な利用のための情報提供を目的としたインサイトです。お客様の診断結果に基づいて、Zelfiumが雇用に関する決定、信用に関する決定、保険に関する決定、その他の法的に重大な判断を行うことはありません。
GDPR第22条に基づき、お客様は以下の権利を有します。
- 法的効果又はこれに類する重大な影響を及ぼすプロファイリングを含む自動処理のみに基づく決定に服さない権利
- 自動化された診断又は推奨に対して人間の介入を要請する権利
- 自動化された決定又はプロファイルについて自己の見解を表明し、異議を申し立てる権利
- 営業秘密の開示を損なわない範囲で、自動プロファイリングに用いられるロジックの説明を要請する権利
人間による監視メカニズムは、ご要望に応じて利用可能です。これらの権利を行使される場合は、 contact@zelfium.com までご連絡ください。
4. データの利用目的
当社は、以下の目的でお客様の個人情報を利用します。
4.1 サービスの提供
- パーソナリティ診断の実施及び結果の生成
- 相性分析(Zelfium Affinia)及びキャリアパスに関するインサイト(Zelfium Libra)の提供
- 結果、スコア及びパーソナリティプロファイルの表示
4.2 AI機能
- 診断結果の理解と探索を支援するAIチャット機能の提供
- AIを活用した会話を通じたパーソナライズされたインサイト及びレコメンデーションの提供
4.3 アカウント管理
- ユーザーアカウントの作成及び維持
- サインイン時の本人認証
- アカウントの設定及び環境設定の管理
4.4 決済処理
- サブスクリプション決済及び一回払いの処理
- 請求書、インボイス及び返金の管理
4.5 サービスの改善
- プラットフォームの利用体験を向上させるための集計済み・匿名加工済みの利用パターンの分析
- システムのパフォーマンス、稼働時間及びエラー率の監視
- 明示的な同意なしに、個人を特定できるデータをサービス改善の目的で使用することはありません。
4.6 研究(オプトインのみ)
- お客様が任意で当社のリサーチデータプログラム(第10条参照)に参加された場合、不可逆的に匿名加工された診断データが学術研究及び科学研究に使用されることがあります。
4.7 法的義務
- 適用される法令、規則及び法的手続への準拠
- 税務及び監査目的で必要な記録の保持
4.8 コミュニケーション
- トランザクションメール(アカウント確認、パスワードリセット、決済領収書)の送信
- 当社のサービス、規約又はポリシーの重要な変更に関する通知
- サポートに関するお問い合わせ及びフィードバックへの対応
5. 処理の法的根拠(GDPR)
欧州経済領域(EEA)及び英国のユーザーについては、当社はGDPR(EU一般データ保護規則)に基づく以下の法的根拠に依拠します。
| 法的根拠 | 処理活動 |
|---|---|
| 明示的な同意(第6条第1項(a)及び第9条第2項(a)) | パーソナリティ診断データの収集及び処理、診断データを参照するAIチャット機能、リサーチデータプログラムへの参加 |
| 契約の履行(第6条第1項(b)) | アカウントの作成及び管理、コアサービスの提供(診断の実施、結果の表示、相性診断及びキャリア機能)、決済処理 |
| 正当な利益(第6条第1項(f)) | プラットフォームのセキュリティ及び不正防止、サービス改善のための集計分析、システム信頼性のための技術的ログ |
| 法的義務(第6条第1項(c)) | 税務記録の保持、財務監査への準拠、適法な政府要請への対応 |
当社が同意に依拠する場合、お客様は contact@zelfium.com へのご連絡又はアカウント設定を通じて、いつでも同意を撤回することができます。同意の撤回は、撤回前に行われた処理の適法性に影響を及ぼしません。
6. 第三者へのデータ共有
当社は、プラットフォームの運営を支援する信頼できる第三者のサービスプロバイダー(「データ処理者」)とのみ個人情報を共有します。各処理者は、データ処理契約(DPA)に基づき、当社の指示に従い、かつ適用されるデータ保護法に準拠してのみお客様のデータを処理することが義務づけられています。
| プロバイダー | 所在地 | 目的 | 共有されるデータ | 保護措置 |
|---|---|---|---|---|
| Supabase Inc. | 米国サンフランシスコ | データベースホスティング及び認証 | アカウントデータ、認証トークン、診断データ及び結果、AIチャットデータ | SOC 2、保存時及び転送時の暗号化、SCC |
| Stripe Inc. | 米国サンフランシスコ | 決済処理 | 氏名、メールアドレス、決済手段の詳細(Stripeが直接処理) | PCI DSS Level 1、SOC 2、SCC |
| OpenAI LLC | 米国サンフランシスコ | AI推論(GPT-4o) | リクエストごとに送信されるチャットメッセージ及び関連する診断コンテキスト。OpenAIはゼロリテンションAPIポリシーに基づき運営されており、当社のデータをモデルの学習に使用することはありません。 | ゼロリテンションAPI、SOC 2、SCC |
| Vercel Inc. | 米国サンフランシスコ | フロントエンドホスティング及びCDN | 標準的なウェブホスティングの一環としての技術データ(IPアドレス、リクエストメタデータ) | SOC 2、エッジ暗号化、SCC |
| Google / Microsoft / Apple | 米国 | OAuth認証のみ | サインイン時にお客様が許可した認証トークン及び基本的なプロフィール情報(氏名、メールアドレス) | SOC 2、SCC |
法人(B2B)のお客様については、副処理者に関する追加的な義務及び制限が当社の データ処理契約(DPA)及び B2B利用規約に規定されています。
当社が行わないこと
- 当社は、お客様の個人情報を第三者に一切販売しません。
- 当社は、お客様のデータを広告主又は広告ネットワークと共有しません。
- 当社は、第三者がお客様のデータを独自の目的で使用することを許可しません。
- 当社は、データブローカーとしての活動を行わず、個人情報をデータアグリゲーターに提供することはありません。
7. 国際的なデータ移転
Zelfium Inc.は日本に本拠地を置いています。当社の第三者データ処理者はすべて米国に所在しています。そのため、お客様の個人情報は米国に移転、保管及び処理される場合があります。
7.1 EU/EEAユーザーに対する保護措置
- 当社は、EU/EEAから米国へのデータ移転について、欧州委員会が承認した標準契約条項(SCC)に基づき、適切な保護を確保しています。
- 日本は欧州委員会から十分性認定を受けており、EUから日本へのデータ移転は十分な水準のデータ保護を提供するものとして認められています。
- 当社は、継続的な準拠を確保するため、すべての処理者のデータ保護慣行を評価し監視しています。
7.2 日本のユーザーに対する保護措置(個人情報保護法第28条)
個人情報保護法第28条に基づき、当社は各第三者処理者への越境データ移転について、以下の情報を提供いたします。
- Supabase Inc.(米国) — 米国は個人情報保護法上の十分性認定を受けていません。Zelfiumは、契約上の保護措置(DPA/SCC)を通じて同等の保護を確保し、SupabaseがSOC 2認証及び暗号化基準を維持していることを確認しています。
- Stripe Inc.(米国) — 契約上の保護措置(DPA/SCC)、PCI DSS Level 1準拠、及びSOC 2認証を通じて保護を確保しています。
- OpenAI LLC(米国) — 契約上の保護措置(DPA/SCC)、ゼロリテンションAPIポリシー、及びSOC 2認証を通じて保護を確保しています。処理後にOpenAIが個人情報を保持することはありません。
- Vercel Inc.(米国) — 契約上の保護措置(DPA/SCC)、SOC 2認証、及びエッジ暗号化を通じて保護を確保しています。
移転先国の個人情報保護制度に関する情報は、 contact@zelfium.com までご連絡いただくことで提供いたします。
8. データの保持
当社は、本ポリシーに記載された目的を達成するために必要な期間、又は法令により求められる期間に限り、お客様の個人情報を保持します。
| データカテゴリ | 保持期間 | 根拠 |
|---|---|---|
| アカウントデータ | アカウントが有効な期間 + 削除後30日間 | サービス提供のため。30日間の猶予期間はアカウントの復旧を可能にします。 |
| 診断データ及び結果 | アカウントが有効な期間 | パーソナリティプロファイル、相性診断及びキャリアパス機能の提供に必要なため |
| AIチャットデータ | 作成日から90日間 | 会話履歴の提供のため。90日後に自動的に削除されます。 |
| 決済記録 | 7年間 | 税務及び財務監査への準拠(法的義務) |
| 監査ログ | 1年間 | セキュリティ監視及びインシデント調査 |
| 匿名加工された研究データ | 無期限 | 不可逆的に匿名加工されており、もはや個人情報に該当しません。継続的な研究に使用されます。 |
お客様がアカウントを削除された場合、当社は上記の期間内にお客様の個人情報を削除又は匿名加工します。ただし、法令により保持が義務づけられている場合を除きます。
9. お客様の権利
お客様の所在地及び適用法令に応じて、お客様は自己の個人情報に関して以下の権利を有します。
9.1 GDPR(EU一般データ保護規則)に基づく権利(EU/EEA/UK)
GDPR第15条から第22条に基づき、お客様は以下の権利を有します。
- アクセス権(第15条):当社が保有するお客様の個人情報の写しの提供を請求する権利。
- 訂正権(第16条):不正確又は不完全な個人情報の訂正を請求する権利。
- 消去権(第17条):法的保持義務を条件として、お客様の個人情報の削除(「忘れられる権利」)を請求する権利。
- 処理の制限権(第18条):一定の状況下において、お客様のデータの処理の制限を請求する権利。
- データポータビリティ権(第20条):お客様の個人情報を構造化された、一般的に使用される機械可読形式で受け取る権利。
- 異議申立権(第21条):正当な利益に基づく処理に異議を申し立てる権利。
- 同意の撤回(第7条第3項):以前に付与した同意を、過去の処理の適法性に影響を及ぼすことなく、いつでも撤回する権利。
- 自動意思決定に関する権利(第22条):法的効果又はこれに類する重大な影響を及ぼす自動処理のみに基づく決定に服さない権利。Zelfiumはパーソナリティ診断及びキャリア推奨のために自動プロファイリングを使用していますが、自動処理のみに基づいて法的に重大な決定を行うことはありません。人間の介入の要請、見解の表明、及び自動化された決定への異議申立てが可能です。詳細は 第3条をご参照ください。
9.2 CCPA(カリフォルニア州消費者プライバシー法)に基づく権利(米国カリフォルニア州)
- 知る権利:当社が収集したお客様の個人情報のカテゴリ及び具体的な内容の開示を請求する権利。
- 削除する権利:一定の例外を条件として、お客様の個人情報の削除を請求する権利。
- 販売のオプトアウト権:Zelfiumは個人情報を販売しないため、この権利は適用されません。ただし、そのようなリクエストを提出することは可能であり、当社は非販売の方針を確認いたします。
- 差別を受けない権利:当社は、お客様がCCPAに基づく権利を行使したことを理由として、お客様を差別的に扱うことはありません。
9.3 個人情報保護法に基づく権利(日本)
- 開示:当社が保有するお客様の個人情報及びその利用目的の開示を請求する権利。
- 訂正等:不正確な個人情報の訂正、追加又は削除を請求する権利。
- 利用停止等:不正に取得された場合又は必要がなくなった場合に、個人情報の利用の停止又は削除を請求する権利。
- 第三者提供の停止:お客様の個人情報の第三者への提供の停止を請求する権利。
9.4 権利の行使方法
上記の権利を行使されたい場合は、件名に「Privacy Rights Request」と記載のうえ、contact@zelfium.com までご連絡ください。以下の情報をご記載ください。
- お客様のフルネーム及びアカウントに関連付けられたメールアドレス
- 行使を希望される具体的な権利
- データの特定に役立つその他の詳細情報
9.5 回答期限
- GDPRに基づくリクエスト:リクエストの受領後30日以内に回答いたします。複雑さ又は件数により追加の時間が必要な場合は、最初の30日以内に延長(最大60日間の追加)をお知らせいたします。
- CCPAに基づくリクエスト:リクエストの受領後45日以内に回答いたします。追加の時間が必要な場合は、延長(最大45日間の追加)をお知らせいたします。
- 個人情報保護法に基づくリクエスト:適用される法令に従い、遅滞なく回答いたします。
9.6 本人確認
お客様のプライバシーを保護するため、リクエストの処理前に本人確認が必要となる場合があります。アカウントに関連する情報の確認をお願いすることがあります。厳密に必要かつ相当な場合を除き、政府発行の身分証明書等の機微な情報の提出をお願いすることはありません。
10. リサーチデータプログラム
Zelfiumは、お客様の匿名加工された診断データをパーソナリティ科学の研究に提供できる任意参加型のリサーチデータプログラムを提供しています。
10.1 オプトインのみ
参加は完全に任意であり、オプトイン方式です。自動的に登録されることはありません。アカウント設定を通じて、いつでもオプトイン又はオプトアウトを選択できます。
10.2 不可逆的な匿名加工
データが研究データセットに含まれる前に、不可逆的な匿名加工が行われます。匿名加工されたデータは、Zelfiumを含む何人もお客様に紐づけて追跡し、又は再識別することができません。
10.3 含まれるデータ
- 主要尺度スコア(8尺度)
- 下位尺度及びコンポーネントスコアのパターン
- お客様が提供された基本的な人口統計情報(例:年齢層、おおまかな所在地)(該当する場合)
- 集計された回答パターン
10.4 含まれないデータ
- 氏名、メールアドレス、又はその他の直接的な識別情報
- お客様に紐づけられ得る個別の質問レベルの回答
- IPアドレス又はデバイス識別子
- 合理的にお客様の再識別に使用され得るデータ
10.5 参加の撤回
お客様はいつでもリサーチデータプログラムからの参加を撤回することができます。撤回後は、新たなデータの提供は行われません。ただし、過去に提供されたデータは不可逆的に匿名加工されているため、既存の研究データセットから特定又は除去することはできません。撤回は将来の提供分にのみ適用されます。
10.6 公表に関する方針
匿名加工データセットから得られた研究成果は、学術雑誌、学会発表又は公開レポートに掲載されることがあります。すべての公表は集計統計のみを使用し、個人の結果が公表されることはありません。
10.7 商業的販売の禁止
匿名加工された研究データが第三者に販売されることはありません。パーソナリティ心理学の理解を深めるための科学的及び学術的目的にのみ使用されます。
11. 児童のデータ
Zelfiumは児童を対象としたサービスではなく、当社は児童の個人情報を故意に収集することはありません。
- GDPR(EU一般データ保護規則)に基づき、当社は保護者又は後見人の同意なしに16歳未満の個人の個人情報を故意に処理することはありません。
- COPPA(児童オンラインプライバシー保護法、米国)に基づき、当社は13歳未満の児童の個人情報を故意に収集することはありません。
年齢確認
アカウント登録時に、ユーザーは適用される最低年齢要件を満たしていることを確認する必要があります。当社は、必要に応じて追加の年齢確認措置を実施することがあります。
保護者の同意
13歳から16歳(又は該当する管轄地域における同意年齢)のユーザーが当社のサービスを利用することを希望する場合、当社はそのユーザーの個人情報を処理する前に、保護者又は後見人の検証可能な同意を求めます。
未成年者のデータの発見
適切な同意を得ずに、適用される年齢基準を下回る児童の個人情報を不注意により収集したことが判明した場合、当社はそのデータの削除及び関連アカウントの停止のための迅速な措置を講じます。児童のデータが収集されたと考えられる場合は、直ちに contact@zelfium.com までご連絡ください。
12. データセキュリティ
当社は、お客様の個人情報を不正なアクセス、改ざん、開示又は破壊から保護するために、適切な技術的及び組織的措置を講じています。
12.1 暗号化
- 転送時:お客様のブラウザと当社のサーバー間で送受信されるすべてのデータは、TLS 1.2以上を使用して暗号化されます。
- 保存時:当社のデータベースに保存される個人情報は、AES-256又はこれに相当する暗号化標準を使用して暗号化されます。
12.2 アクセス制御
- 個人情報へのアクセスは、最小権限の原則に従い、必要な場合に限り付与されます。
- 認証資格情報(パスワード)は、ソルトを伴う業界標準の暗号学的ハッシュアルゴリズムを使用して保存されます。
- 管理者のアクセスには多要素認証が必要です。
12.3 定期的なレビュー
- 当社は、システム及びインフラストラクチャに対するセキュリティレビュー及び脆弱性評価を定期的に実施しています。
- 不正アクセスの試み及びセキュリティ上の異常を監視しています。
- 第三者処理者のセキュリティコンプライアンスは、契約前及び継続的に評価されます。
12.4 侵害の通知
お客様の権利及び自由に対するリスクをもたらす可能性のある個人情報の漏えいが発生した場合:
- GDPR第33条の規定に従い、漏えいを認識してから72時間以内に、関連する監督機関に通知いたします。
- 漏えいがお客様の権利及び自由に高いリスクをもたらす可能性がある場合、GDPR第34条に基づき、不当な遅延なくお客様に直接通知いたします。
- 通知の基準を満たすか否かにかかわらず、すべての漏えい、その影響及び講じた是正措置を文書化します。
13. データ保護に関するお問い合わせ先
13.1 プライバシーに関するお問い合わせ
お客様の個人情報又は本プライバシーポリシーに関するご質問、ご懸念又はリクエストがございましたら、以下までご連絡ください。
Zelfium Inc.
メール: contact@zelfium.com
件名:「Privacy Inquiry」
13.2 EU域内代理人
GDPR第27条に基づき、ZelfiumがEU域内に拠点を有さないがEU居住者の個人情報を処理する場合、当社はEU域内代理人を選任し、その連絡先をここに公開いたします。最新の代理人情報については、 contact@zelfium.com までお問い合わせください。
13.3 監督機関
EU/EEA又は英国にお住まいの方で、当社による個人情報の処理が適用されるデータ保護法に違反すると考えられる場合、お客様の所在地のデータ保護監督機関に苦情を申し立てる権利を有します。EU監督機関の一覧は https://edpb.europa.eu/about-edpb/about-edpb/members_en でご確認いただけます。
日本にお住まいの方で苦情の申立てを希望される場合は、個人情報保護委員会(PPC)にお問い合わせいただけます。 https://www.ppc.go.jp/en/
14. 本ポリシーの変更
当社は、当社の慣行、技術、法的要件又はその他の要因の変化を反映するために、本プライバシーポリシーを随時更新することがあります。
14.1 通知プロセス
- 非重要な変更(明確化、書式の変更、誤字の修正):本ポリシーの冒頭に記載の施行日を更新いたします。更新後にサービスを継続してご利用いただくことにより、変更を承諾したものとみなされます。
- 重要な変更(新たなデータカテゴリ、新たな第三者、お客様の権利の変更、データ保持期間の変更):変更が発効する少なくとも30日前までに、以下の方法でお知らせいたします。
- お客様のアカウントに関連付けられたメールアドレスへのメール
- Zelfiumプラットフォーム内での目立つ形での通知
14.2 重要な変更
以下の種類の変更は重要な変更とみなされます。
- 収集される個人情報の新たなカテゴリ
- お客様の個人情報を受領する新たな第三者処理者
- データ保持期間の変更
- 処理の法的根拠の変更
- お客様の権利又はその行使方法に影響を及ぼす変更
- 国際的なデータ移転メカニズムの変更
重要な変更にお客様の同意が必要な場合(要配慮個人情報の新たな処理等)、当社は変更を実施する前にお客様の明示的な同意を取得いたします。お客様が同意されない場合、既存のデータには従前のバージョンのポリシーが引き続き適用されます。
14.3 過去のバージョン
本プライバシーポリシーの過去のバージョンは、 contact@zelfium.com までご連絡いただくことで入手いただけます。