法務

·English →

プライバシーポリシー

最終更新日:2026年4月19日

⚠️ 非公式参考翻訳 / Unofficial Reference Translation

本書面は参考用の日本語訳です。英語版(anvilhk.com/privacy)との間に相違がある場合、英語版が優先します。日本国内で利用される場合は、現地弁護士へのご相談をお勧めします。

本プライバシーポリシーは、Hong Kong Anvil Ltd.(以下「Anvil」「当社」といいます) が、AI を活用したリードジェネレーションおよび顧客関係管理ソフトウェア(以下「本サービス」といいます。anvilhk.com にて提供) に関連して、どのように個人情報を収集、利用、開示、保護するかを説明するものです。 本サービスをご利用いただくことで、本ポリシーに記載された取扱いにご同意いただいたものとみなされます。

当社は、日本の 個人情報の保護に関する法律(APPI)香港個人資料(私隱)条例(PDPO)中華人民共和国個人情報保護法(PIPL)EU 一般データ保護規則(GDPR)英国 UK GDPRカリフォルニア州 CCPA/CPRAなど、適用ある法令を遵守いたします。

1. 当社について

Hong Kong Anvil Ltd. は、香港特別行政区において登記された会社です (商業登記番号は公告準備中)。登記住所は香港会社登記所に届け出ております。 データ保護責任者(DPO)へのご連絡は、738888@proton.me または電話(+852 4748 1911)までお願いいたします。

EU 一般データ保護規則(GDPR)、英国 UK GDPR および日本の APPI の目的上、Anvil は以下のように行動します。

  • データ管理者(個人情報取扱事業者) — Anvil アカウント保有者(お客様) およびお客様が承認したエンドユーザーの個人データに関して。
  • データ処理者(委託先) — お客様が本サービスを通じてアップロード または収集する顧客記録、メッセージ、見込み客情報に関して ― これらのデータに対するデータ管理者はお客様のままとなります。

2. 収集する情報

2.1 お客様からご提供いただく情報

  • アカウント情報 ― 氏名、メールアドレス、パスワード(bcrypt または argon2 でハッシュ化)、 電話番号、プロフィール写真、会社名、役職、ワークスペース(テナント)名。
  • 認証情報 ― Google または Apple でサインインされた場合、 当該 ID プロバイダーからメールアドレス、氏名、サブジェクト識別子が送信されます。 プロバイダーのパスワードを受領することは一切ありません。
  • 課金情報 ― 請求先住所、税番号、および支払カードの下 4 桁 (完全なカード番号は Stripe が保持し、当社は閲覧いたしません)。
  • お客様が作成するコンテンツ ― 連絡先、リード、パイプライン、 メモ、メールテンプレート、ドリップシーケンス、クロールタスク、ディールルーム、 ワークフロー、アップロードされたファイル(ロゴ、添付ファイル、録音等)。
  • 連携アカウントの認証情報 ― SMTP パスワード、Google カレンダー / Gmail の OAuth リフレッシュトークン、WhatsApp Business アクセストークン、 その他お客様が接続を選択された第三者 API キー。これらは AES-256-GCM により保存時に暗号化されます。

2.2 自動的に収集する情報

  • 利用状況データ ― 閲覧ページ、利用機能、クリックイベント、 セッション時間、IP から推定される概略位置情報。
  • デバイス情報 ― ブラウザの種類、OS、デバイス識別子、言語、タイムゾーン。
  • ログデータ ― IP アドレス、リクエストメソッド、URL、 タイムスタンプ、HTTP ステータス、リクエスト ID、エラートレース。
  • Cookie および類似技術 ― 第 10 条をご参照ください。

2.3 第三者から取得する情報

  • お客様がサインインに利用する ID プロバイダー(Google、Apple)。
  • 決済処理事業者(Stripe)― 取引メタデータ、返金状況、リスクスコア。
  • お客様の指示により当社がスクレイピングを行う公開情報源 ― 見込み客データの取扱いについては第 5 条をご参照ください。

3. 情報の利用目的

当社は、以下の目的で個人データを利用いたします。

  • 本サービスの提供、運営、認証、保守。
  • サブスクリプションの処理および取引関連通知の送信 (請求書、パスワードリセット、セキュリティ警告、プロダクト通知)。
  • お客様が有効化された機能をお客様のデータ上で実行すること ― 例として、受信返信の分類、パーソナライズされたメールの下書き作成、 ワークスペースに追加されたリードの適合度スコアの算出。
  • 利用状況の監視、不正利用の検出、詐欺の防止、アカウントの保護。
  • 法的義務の遵守および契約の履行。
  • お客様の明示的な同意に基づき、プロダクト最新情報やマーケティングメールを送信。 すべてのマーケティングメールに含まれる配信停止リンクから、いつでもご解除いただけます。

当社は、お客様のコンテンツ ― 作成されたメール、アップロードされたリード、 見込み客との会話 ― を、他のお客様と共有される AI モデルの学習用に利用いたしません。 匿名化された集計的な利用統計は、本サービスの改善のために利用する場合があります。

5. 見込み客およびビジネス連絡先データ

Anvil は、ユーザーが潜在的な B2B 顧客を発見し、連絡を取ることを支援します。 これらの見込み客に関するデータは、以下から収集される場合があります。

  • 公開されているビジネスディレクトリ(OpenStreetMap、Google Maps、 企業ウェブサイト、LinkedIn の公開会社ページ、プレスリリース等)。
  • お客様が明示的に承認された情報源(CSV アップロード、CRM インポート、API フィード)。
  • 見込み客自身の公開ウェブサイト上に表示されているビジネス連絡先フィールド (例:お問い合わせページ上の info@company.com アドレス)。

当社は、この処理について GDPR 第 6 条(1)(f) に基づく正当な利益に依拠します。実務上:

  • 当社は業務上の連絡先情報(職務メールアドレス、会社での役職、業務用電話) のみを収集し、見込み客の職務上の立場と無関係な個人データは一切収集いたしません。
  • スクレイピングのワークフローの前にバランステストを実施し、オプトアウトトークン、 robots.txt 指令、およびソースサイトの明示的な利用規約を技術的に可能な範囲で尊重します。
  • Anvil のユーザーは、適用されるアンチスパム法(CAN-SPAM、CASL、GDPR 第 21 条、 中国 PIPL のダイレクトマーケティング規則、日本の特定電子メール法)を 遵守することが契約上要求されます。
  • Anvil を通じて送信されるすべてのアウトバウンドメールには、機能する配信停止リンクが含まれます。 ワンクリック配信停止は 24 時間以内に尊重され、受信者は同一ユーザーが所有する すべてのワークスペースの抑制リストに追加されます。

見込み客の通知および削除を受ける権利。Anvil の顧客によるアウトリーチのためにデータが収集された見込み客の方は、 当該顧客に対して直接権利を行使することも、738888@proton.me までご連絡いただくこともできます。当社は 30 日以内にご要請を転送または直接対応いたします。

6. サービス提供者および共有

当社は個人情報を 決して販売いたしません。 以下の委託先とは、データ処理契約に基づき限定的なデータを共有しております。

  • クラウドホスティング ― 本サービスが動作するサーバー基盤 (リージョン:香港 / シンガポール / EU、顧客ごとに選択)。
  • Cloudflare Inc.(米国 / グローバル)― CDN、WAF、 DDoS 保護、DNS。
  • Stripe Payments Europe Ltd. ― 決済処理。 カード番号が Anvil に送信されることはありません。
  • Resend Inc.(米国)― トランザクショナルおよびマーケティングメール配信。
  • OpenAI, LLC(米国)― 発見、分析、メッセージ作成のための 任意の AI 推論。OpenAI に送信されるカスタマーコンテンツは、 OpenAI API データ利用ポリシーに基づき、同社のモデル学習に 利用されません
  • Google LLC(米国)― Google OAuth、Calendar、任意の Places API (これらの連携を有効にした場合のみ)。
  • Meta Platforms Ireland Ltd. ― WhatsApp Cloud API (WhatsApp チャネルを接続した場合のみ)。
  • Sentry Inc.(米国)― アプリケーションエラー監視。 PII は送信前にエラーペイロードからスクラブされます。
  • Twilio Inc.(米国)― 電話通信、SMS (音声/SMS 機能を有効にした場合のみ)。
  • ElevenLabs Inc.(米国)― AI 音声合成 (音声機能を有効にした場合のみ)。
  • GitHub Inc.(米国)― ソースコードホスティング。 ここにカスタマーコンテンツは保存されません。

最新の委託先一覧は anvilhk.com/ja/legal/subprocessors にて維持されています。エンタープライズ顧客は、重要な変更について 30 日前に通知を受け取ります。

また、法令により要求される場合(召喚状、裁判所命令、規制当局の要請)、 または当社の権利、財産、安全を保護するために情報を開示することがあります。 過度に広範または違法な要請については、合理的な範囲で異議を申し立てます。

合併、買収、または資産売却の場合、個人データが移転されることがあります。 当該移転の 30 日以上前に、メールおよびアプリ内で通知いたします。

7. データの保存期間

当社は、必要な期間に限り個人データを保持いたします。

  • アカウントおよび課金データ ― アカウント存続期間中および 税務・会計要件を満たすため、その後 7 年間。
  • コンテンツ(CRM、メール、ワークフロー)― サブスクリプションが 有効な期間中。アカウント閉鎖後 30 日以内に削除(延長をご要請いただいた場合を除く)。
  • バックアップ ― 暗号化スナップショットは 30 日サイクルで ローテーションされ、90 日以内に完全に消去されます。
  • アクセスおよび監査ログ ― セキュリティおよびフォレンジック目的で最長 1 年間。
  • 見込み客アウトリーチ抑制リスト ― ワークスペース変更にまたがる 配信停止リクエストを尊重するため、無期限で保持。

8. セキュリティ

  • 転送時は TLS 1.2+。すべての顧客向けドメインで HSTS を強制。
  • オブジェクトストレージ、データベースバックアップ、すべての第三者認証情報フィールド (SMTP パスワード、OAuth トークン)について保存時 AES-256。
  • JWT アクセストークンは HttpOnly、Secure、SameSite-strict Cookie で処理。 リフレッシュトークンは更新ごとにローテーション、失効トークンはブラックリスト化。
  • 多要素認証は全プランで利用可能であり、Business プランのテナントでは OWNER および ADMIN ロールで既定で必須。
  • 最小権限の原則:本番データにアクセスできるのは少数の審査済みスタッフのみで、 ブレイクグラス診断目的に限られ、すべてのアクセスイベントが記録されます。
  • 脆弱性管理:第三者依存関係は毎日監視され、重大度に基づく定義済み SLA でパッチ適用。
  • 確認された個人データ侵害については、GDPR 第 33 条、HK PDPO DPP4、 および APPI 第 26 条(漏えい等報告義務)に従い、判明後 72 時間以内に 影響を受ける顧客および必要に応じて個人情報保護委員会(PPC)に通知いたします。

9. お客様の権利

居住地にかかわらず、以下の権利の全部または一部を有します。

  • アクセス(開示請求) ― 当社が保持するお客様の個人データのコピーを要求。
  • 訂正請求 ― 不正確または不完全なデータの訂正を要求。
  • 消去(忘れられる権利)/ 利用停止請求 ― 法的保存義務の対象となる場合を除き、 データの削除または利用停止を要求。
  • 処理の制限 ― 争議解決中の処理の一時停止を要求。
  • データポータビリティ ― 機械可読形式でのデータのエクスポートを受領。
  • 異議 ― ダイレクトマーケティングを含む、 正当な利益に基づく処理に対する異議申立て。
  • 同意の撤回 ― 処理が同意に基づく場合、いつでも撤回可能。
  • 苦情の申立て ― 現地のデータ保護当局 (例:日本の個人情報保護委員会(PPC)、香港 PCPD、EU 居住者の場合はアイルランド データ保護委員会、カリフォルニア居住者の場合はカリフォルニアプライバシー保護機関)への苦情申立て。

ほとんどの権利は、本サービス内の 設定 → プライバシー から直接行使できます。 または、738888@proton.me 宛にメールでお問い合わせください。30 日以内に回答いたします。

日本在住の方(APPI) には、APPI 第 28 条から第 34 条に基づく 開示請求、訂正請求、利用停止請求、第三者提供停止請求、および利用目的の通知を 受ける権利があります。これらの請求は、上記メールアドレスから行使いただけます。

カリフォルニア州在住の方(CCPA/CPRA) には、 収集、販売、共有される個人情報のカテゴリを知る権利(Anvil は個人情報を販売いたしません)、 削除権、訂正権、クロスコンテキスト行動広告のための共有をオプトアウトする権利、 およびこれらの権利を行使したことによる差別を受けない権利があります。

中国本土在住の方(PIPL) には、 個人情報の知る、決定、アクセス、訂正、コピー、転送、削除および同意撤回の権利があります。 中国本土外への個人情報の移転については、PIPL の定める個人情報越境移転標準契約に依拠します。

10. Cookie とトラッキング

当社は最小限の Cookie を使用します。

  • 必須 ― セッション Cookie(認証)、CSRF トークン、ロケール設定。 無効化することはできません。
  • 設定 ― ダークモード、言語、サイドバーの状態。
  • 分析 ― ファーストパーティの匿名化されたページビュー指標 (既定ではサードパーティトラッカーなし)。

広告やクロスサイトトラッキング Cookie は使用しません。 EU / 英国からの訪問者には、初回訪問時に Cookie バナーを表示し、 非必須 Cookie の同意または拒否を選択いただけます。

11. 国際的なデータ移転

Anvil は香港から運営されています。お客様の居住国以外の国 (米国や欧州連合を含む)でデータが移転・処理される場合があります (第 6 条に記載の委託先の所在地によります)。

EEA、英国、スイスからの移転については、欧州委員会の標準契約条項 (2021/914/EU)、および必要に応じて英国アデンダムに依拠します。 中国本土からの移転については、PIPL の定める個人情報越境移転標準契約に依拠し、 必要な場合は CAC に届出を行います。

APPI 第 28 条に基づく越境移転: 日本にお住まいの方の個人情報を外国にある第三者に提供する場合、 当社は(i)本人の同意の取得、(ii)提供先が日本と同等の保護水準を有する国に所在すること、 または(iii)提供先が個人情報保護委員会規則で定める基準に適合する体制を整備していること のいずれかを確保します。当社は、主要な委託先について、 提供先における個人情報保護措置に関する情報を本ポリシーおよび 委託先一覧ページにて開示しています。

12. 未成年者のプライバシー

本サービスは事業目的での利用を想定しており、16 歳未満の方を対象としておりません。 当社は未成年者から故意に個人情報を収集することはいたしません。 万一そのような事実が判明された場合は、ただちに当社までご連絡ください。直ちに削除いたします。

13. 本ポリシーの変更および連絡先

本プライバシーポリシーは随時更新される場合があります。 重要な変更は、発効日の少なくとも 30 日前までに、 Anvil アカウント保有者にメールで通知いたします。 本ページ上部の「最終更新日」は、常に最新版を反映しています。

プライバシーに関するご質問、データ主体からの請求、苦情申立てについて:

  • メール:738888@proton.me
  • 電話:+852 4748 1911
  • 住所:Hong Kong Anvil Ltd., Hong Kong SAR

当社がお客様の懸念を満足のいく形で解決できない場合、 お客様は所在地の監督当局(日本の場合は個人情報保護委員会 PPC)に 苦情を申し立てる権利を有します。