最終更新日: 2026年5月22日
NamiFlow(以下「当社」)は、当社が提供するサービス「ES 5秒アンサー」(以下「本サービス」)における個人情報の取扱いについて、個人情報の保護に関する法律(以下「個人情報保護法」)その他の関連法令および個人情報保護委員会のガイドラインを遵守し、以下のとおりプライバシーポリシー(以下「本ポリシー」)を定めます。
1. 個人情報保護管理者
当社は、本サービスにおける個人情報の取扱いを適切に管理するため、個人情報保護管理者を以下のとおり定めます。
2. 取得する個人情報
本サービスでは、以下の個人情報を取得します。
2.1 管理者(採用企業の担当者)に関する情報
- 氏名、所属組織名・部署、メールアドレス
- ログイン用認証情報(パスワードは一方向ハッシュ化して保存)
- 組織の法人番号(13桁。同名組織検出時の本人確認に使用)
- 決済関連情報(クレジットカード情報は当社では保有せず、決済代行会社(Stripe)が直接取得・管理します)
- サービス利用履歴、操作ログ
2.2 受験者(候補者)に関する情報
- 氏名、メールアドレス
- 学校名・学部等の学歴情報(管理者が登録した場合)
- エントリーシート(ES)の内容
- クイズの回答内容・スコア・回答所要時間
- 受験中の行動ログ(タブ移動、ウィンドウ切替、右クリック、開発者ツール起動の検知記録)
※ 受験者の個人情報は、管理者が採用選考の目的で取得・登録するものであり、当社は管理者の指示に基づき保管・処理を行います(個人情報保護法第27条第5項第1号に基づく委託に該当)。
2.3 自動的に取得する情報
- IPアドレス、ブラウザ種別、OS情報、リファラ
- アクセス日時、ページ閲覧履歴
- Cookie および類似技術により取得される情報(第8項参照)
3. 利用目的
取得した個人情報は、以下の目的の範囲内で利用します。
- 本サービスの提供・運営(アカウント認証、ES内容に基づくAIクイズ生成、受験URL発行、結果集計・表示)
- 受験者の本人理解度確認(ES内容に関するクイズの自動生成と受験)
- 利用料金の請求および決済処理
- お問い合わせ・サポート対応
- 本サービスの改善・新機能の開発、品質向上のための分析(個人を特定できない形での統計利用を含む)
- 重要なお知らせ・利用規約変更等の通知
- 不正利用の検知・防止、規約違反への対応
- 法令に基づく対応
AI生成への利用について: 受験者の ES 内容は、AIクイズ生成のために Google LLC が提供する Gemini API へ送信されます。当社は、当該情報を AI モデルの再学習に利用させないため、データ保持を最小化する設定(zero-data-retention相当)で API を利用するよう努めます。詳細は第7項(外部サービスの利用と越境移転)をご参照ください。
4. 第三者提供
当社は、以下のいずれかに該当する場合を除き、ご本人の同意なく個人情報を第三者に提供しません。
- ご本人の同意を得た場合
- 法令に基づく場合(裁判所・捜査機関等からの法的な要請を含む)
- 人の生命、身体または財産の保護のために必要があり、ご本人の同意を得ることが困難な場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、ご本人の同意を得ることが困難な場合
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があり、ご本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがある場合
- 合併その他の事由による事業承継に伴い個人情報が提供される場合
管理者が登録した受験者の個人情報は、当該管理者(採用企業)に対し、本サービスの利用目的の範囲内で開示されます。これは個人情報保護法第27条第5項第1号に基づく委託の範囲内の取扱いであり、第三者提供には該当しません。
5. 業務委託
当社は、利用目的の達成に必要な範囲内で、個人情報の取扱いの全部または一部を外部の事業者に委託することがあります。委託先には、個人情報を適切に管理する体制を有することを条件として選定し、契約により秘密保持・適正管理を義務付け、定期的に取扱状況を確認します。委託先における個人情報の取扱いの責任は当社が負います。
当社が現在利用している主要な委託先・外部サービスは、第7項(外部サービスの利用と越境移転)に記載のとおりです。
6. 安全管理措置
当社は、取得した個人情報の漏えい、滅失または毀損を防止するため、以下の安全管理措置を講じます。
6.1 組織的安全管理措置
- 個人情報保護管理者を設置し、責任体制を明確化
- 個人情報の取扱状況を定期的に点検・見直し
- 個人情報の取扱いに関する規程・手順を整備
- 個人情報の漏えい等の事故が発生した場合の対応手順を整備
6.2 人的安全管理措置
- 個人情報を取り扱う者に対し、秘密保持義務を課しています
- 個人情報保護に関する最新の動向・法令改正の継続的なキャッチアップ
6.3 物理的安全管理措置
- 個人情報を取り扱う端末・媒体の盗難・紛失防止策の実施
- 個人情報の取扱いに使用する端末は、画面ロック・ディスク暗号化を適用
6.4 技術的安全管理措置
- 本サービスとの通信はすべて SSL/TLS(HTTPS)により暗号化
- データベースに保存される認証情報(パスワード)は一方向ハッシュ化
- 本サービスのデータ保管はクラウド事業者(Supabase)の Row Level Security (RLS)機能を用いた論理的アクセス制御を実施
- 不正アクセス検知のためのログ監視
- OS・ライブラリの脆弱性対策(定期的なアップデート適用)
6.5 外的環境の把握
当社は、外国において個人情報を取り扱う場合、当該外国の個人情報保護制度を把握した上で、安全管理措置を実施します。具体的な移転先国・サービス・適用される制度は、第7項に記載のとおりです。
7. 外部サービスの利用と越境移転
本サービスは、その提供・運営のため、以下の外部サービスを利用しています。これらの一部は日本国外にデータが移転されるものを含むため、個人情報保護法第28条(外国にある第三者への提供)に基づき、移転先国の制度および当社が講じている保護措置を明示します。
| サービス | 用途 | 所在国 | 当該国の個人情報保護制度 |
|---|
| Supabase | データベース・認証基盤 | 日本(東京リージョン)/米国(運営会社) | 主要データは日本国内に保管。米国本社(Supabase Inc.)が運営管理にアクセスする可能性あり。米国には包括的な個人情報保護連邦法は存在せず、分野別の連邦法および州法(CCPA等)により規律。 |
| Vercel | ホスティング・サーバーレス実行基盤 | 米国 | 米国には包括的な個人情報保護連邦法は存在せず、分野別の連邦法および州法により規律。 |
| Google Gemini API | AIによるクイズ自動生成 | 米国 | 同上。Google LLC の Vertex AI / Gemini API は、データ保持・モデル再学習に関するエンタープライズ設定を提供。 |
| Stripe | 決済処理 | 米国/アイルランド/日本 | 米国制度は同上。アイルランドは GDPR 適用国(個人情報保護委員会による十分性認定済み)。日本拠点としてストライプジャパン株式会社が国内決済を取り扱い。 |
| Resend | メール送信 | 米国 | 米国制度は同上。 |
| Cloudflare | CDN・DDoS対策(Supabase経由) | 米国(グローバルCDN) | 米国制度は同上。データは通信経路を通過するのみで原則として保存されない。 |
講じている保護措置:
- 各事業者が提供する標準的なデータ処理契約(DPA: Data Processing Agreement)または同等の利用規約に基づき、個人情報の取扱いに関する義務を担保
- 通信経路の暗号化(SSL/TLS)
- API キー・認証情報の厳格な管理
- Gemini API については、入力データを AI モデルの再学習に利用させない設定で利用するよう努めます
移転先国の個人情報保護制度の詳細は、個人情報保護委員会のウェブサイト(https://www.ppc.go.jp/)でもご確認いただけます。
8. Cookie および類似技術
本サービスは、以下の目的で Cookie および類似技術を使用します。
- 必須 Cookie: ログイン状態の維持、セッション管理、CSRF(クロスサイトリクエストフォージェリ)対策など、本サービスの機能提供に不可欠なもの
- 機能 Cookie: 言語設定・UI 設定の保持等、利便性向上のためのもの
- 分析 Cookie: アクセス状況の分析(個人を識別しない統計情報)
ブラウザの設定により Cookie を無効化することができますが、必須 Cookie を無効化された場合、本サービスの一部機能が利用できなくなる場合があります。
9. 保有期間
個人情報の保有期間は、以下のとおりです。
- アカウント情報: アカウントが有効である期間、および解約・削除請求から30日間(誤削除復旧期間)
- エントリーシート・クイズ・受験結果: 管理者が手動で削除するまで、または管理者のアカウント解約・削除請求から30日経過するまで。なお、チケットの最終購入から180日経過し、かつ一定期間ログイン等の利用がない場合、関連データは自動的に削除されることがあります。
- アクセスログ・操作ログ: 取得から最大1年間
- 決済関連情報(請求書・領収書等の会計記録): 関連法令(法人税法・会社法等)の定める保存期間(最大10年間)
- お問い合わせ履歴: 対応完了から最大3年間
保有期間を経過した個人情報は、当社が定める手順に従い、復元できない方法により削除または匿名化します。
10. 受験者の個人情報の取扱い
受験者の個人情報(氏名、メールアドレス、ES 内容、受験結果等)は、管理者(採用企業)が採用選考の目的で取得・登録するものです。
- 当社は、管理者の指示に基づき、データの保管・処理を行います(個人情報保護法第27条第5項第1号に基づく委託)
- 受験者からの開示・訂正・利用停止請求は、まず登録した管理者(採用企業)にお問い合わせください
- 当社に直接お問い合わせいただいた場合、当社は管理者に通知の上、管理者と協力して対応します
- 管理者は、受験者からあらかじめ同意を取得した上で受験者の個人情報を本サービスに登録する義務を負います(利用規約第4条参照)
11. 開示・訂正・利用停止等の請求
ご本人は、当社が保有する個人情報について、個人情報保護法に基づき、以下の請求を行うことができます。
- 利用目的の通知
- 開示(電磁的記録による開示を含む)
- 訂正・追加・削除
- 利用の停止または消去
- 第三者提供の停止
- 第三者提供記録の開示
11.1 請求方法
- 本サービスのお問い合わせフォームまたは support-esscreen@namiflow.jp 宛にメールでご連絡ください
- 件名に「個人情報に関する請求」と明記し、本文に①請求の種類、②氏名、③ご連絡先、④請求の対象となる情報を特定するための情報をご記載ください
- 本人確認のため、追加で情報のご提供をお願いする場合があります
11.2 対応期間
請求受領後、原則として2週間以内に回答します(内容により延長する場合があります)。
11.3 手数料
本人確認のための実費を除き、原則として無料で対応します。
受験者の方からの請求については、原則として登録した管理者(採用企業)にまずお問い合わせいただくようお願いします(第10項参照)。
12. 仮名加工情報・匿名加工情報
当社は、本サービスの改善や統計分析のため、取得した個人情報を、特定の個人を識別できないように加工した上で利用することがあります。
- 仮名加工情報を作成する場合は、削除した記述等・個人識別符号・加工方法に関する情報を漏えいさせないための安全管理措置を講じます
- 匿名加工情報を作成する場合は、個人情報保護委員会規則で定める基準に従って加工し、第三者に提供する際は加工方法等に関する情報の項目を公表します
- これらの加工情報を、元の個人情報と照合する行為は行いません
13. 漏えい等の事故が発生した場合の対応
当社は、個人情報の漏えい、滅失または毀損が発生し、もしくはそのおそれがあると判断した場合、個人情報保護法第26条に基づき、速やかに個人情報保護委員会への報告および本人への通知を行います。
14. プライバシーポリシーの変更
- 当社は、法令の改正、本サービスの内容変更、その他必要に応じて本ポリシーを変更することがあります。
- 本ポリシーを変更する場合、変更の効力発生日の14日前までに、変更後の内容および効力発生日を本サービス上への掲示またはメール送信等の方法により利用者に通知します。ただし、軽微な変更(誤字脱字の修正、表現の明確化等、利用者の権利義務に実質的な影響を及ぼさない変更)については、事前の通知を省略する場合があります。
- 利用者が効力発生日以降に本サービスを利用した場合、変更後の本ポリシーに同意したものとみなします。
15. お問い合わせ窓口
本ポリシーに関するお問い合わせ、および個人情報の取扱いに関する苦情・相談は、以下までご連絡ください。
認定個人情報保護団体・行政の窓口
当社の対応にご納得いただけない場合は、個人情報保護委員会(PPC)にもご相談いただけます。
以上
制定日: 2026年1月1日 / 最終改定: 2026年5月22日