プライバシーポリシー

travelzProは、日本で設立された株式会社RHYMERSが運営しています。インバウンド旅行代理店向けに、AI支援による旅程の作成・ブランディング・出力を行うソフトウェアを提供しています。

本店所在地：東京都目黒区下目黒１−３−１シーダム目黒３０３

お問い合わせ：desk@travelz.jp

travelzProは、法人向け（B2B）サービスです。お客様は旅行代理店（以下「顧客」）であり、顧客はプラットフォーム上で、自社のエンドクライアント（以下「エンドユーザー」）の個人データをアップロード・処理することがあります。

本ポリシーは、以下の2つのデータカテゴリを対象とします：

• アカウントデータ — 顧客アカウント保有者としてのお客様に関する情報（氏名、業務用メールアドレス、請求先情報など）。
• 顧客コンテンツ — 旅程テキスト、メモ、ブリーフィング資料、および顧客がプラットフォーム上でアップロード・生成したエンドユーザーの個人データ。

アカウントデータ（お客様が直接提供するもの）

• 氏名、業務用メールアドレス、代理店名、役職。
• パスワード — bcryptによりハッシュ化され、平文では保存されません。
• 請求情報 — Stripeにより全処理。Stripeの顧客IDのみを保持し、カード番号は当社サーバーに届きません。

顧客コンテンツ（アップロード・生成されるもの）

• 旅行メモ、クライアントブリーフィング、アップロードファイル。
• AIが生成・手動編集された旅程テキスト。
• コンテンツに含まれるエンドユーザーの個人データ（旅行者名、連絡先、嗜好情報など）。

利用データ（自動収集）

• 閲覧ページ、使用機能、エラーイベント（サーバーログ経由）。
• ブラウザ種別、デバイス種別、IPアドレス（必要に応じてマスキング処理）。

当社は、適切な法的根拠がある場合にのみデータを処理します。取得した個人データは、以下の利用目的の範囲内でのみ取り扱います：

• 契約の履行 — ご契約いただいたtravelzProサービスの提供・維持・サポート（アカウント管理、AI生成、PDF出力、請求処理）。
• 正当な利益 — バグの診断、サービス監視、機能改善、不正防止。お客様のプライバシーへの影響を考慮し、必要な範囲に限定します。
• 同意 — 任意のコミュニケーション（製品アップデート、機能のお知らせ）。同意はいつでも撤回できます。
• 法的義務 — 税務記録要件（Stripe経由）を含む適用法の遵守。

明示的なオプトインなしにマーケティングメールは送信しません。トランザクションメール（アカウント有効化、パスワードリセット、請求書）は契約の履行に基づき送信されます。

GDPR・個人情報保護法（APPI）等の適用法に基づき：

• アカウントデータについては、株式会社RHYMERSがデータ管理者として処理の目的・手段を決定します。
• 顧客コンテンツ（顧客がアップロードしたエンドユーザーの個人データを含む）については、株式会社RHYMERSは顧客に代わってデータ処理者として機能します。当該コンテンツの管理責任は顧客（データ管理者）にあります。

正式なデータ処理契約（DPA）が必要な法人顧客は、desk@travelz.jpまでご請求ください。

お客様のデータでトレーニングは行いません。AI生成のために送信された顧客コンテンツは、旅程出力の生成のみを目的としてAnthropic（Claude API）に送信されます。Anthropicとの契約に基づき、お客様のコンテンツはモデルのトレーニング・改善に使用されません。当社はAIプロバイダーがサービス提供に必要な範囲を超えてお客様のコンテンツを保持・使用することを許可しません。

重要な注意事項：

• AIが生成したコンテンツには不正確な情報が含まれる場合があります。クライアントへの提供前に必ずご確認ください。
• 旅程に厳密に必要な場合を除き、高度に機密性の高い個人データ（パスポート番号、財務記録、医療情報）のアップロードはお控えください。travelzProは機密個人情報の保管庫として設計されていません。
• 顧客は、エンドユーザー（旅行者情報、連絡先、旅行嗜好を含む）の個人データをアップロードするにあたり、必要な権限と同意を取得していることについて責任を負います。

サービス提供のために以下のプロセッサーを使用しています：

• Anthropic（米国）— AI生成。コンテンツは一時的に処理され、トレーニングには使用されません。
• Stripe（米国）— 決済・請求処理。
• Postmark / SendGrid（米国）— トランザクションメール配信。
• Hetzner / Render（EU / 日本）— クラウドインフラ・ホスティング。

お客様のデータを第三者に販売することはありません。サブプロセッサーリストは随時更新される場合があります。重要な変更は、発効の少なくとも14日前にメールでご通知します。

株式会社RHYMERSは日本を拠点としています。一部のサブプロセッサー（AnthropicおよびStripeを含む）は米国を拠点としており、お客様のデータはお客様の居住国外に転送・処理される場合があります。

EU居住者の個人データが移転される場合、欧州委員会が承認した標準契約条項（SCC）等の適切な保護措置を講じます。日本からの移転については、個人情報保護法および関連ガイドラインに従い適切に取り扱います。

ご契約プランに応じて、希望するデータホスティングリージョンを選択できる場合があります。詳細はお問い合わせください。

データの保存期間は以下のとおりです：

• アカウントデータおよび顧客コンテンツ — アカウントが有効な間保存。アカウント削除後、30日以内に完全削除。
• サーバーログおよび利用データ — デバッグ・セキュリティ目的で最大90日間保存後、削除。
• 暗号化バックアップ — インフラ障害からの復旧のため、削除後最大30日間保持後、消去。
• 請求記録 — 税務・財務規制上の要件に従い、Stripeが保持。

アカウント解約前に削除をご希望の場合は、desk@travelz.jpまでご連絡ください。リクエストは30日以内に処理されます。

お客様のデータ保護のため、合理的な技術的・組織的措置を講じています：

• 転送中のデータはHTTPS/TLSで暗号化。
• パスワードはbcryptによりハッシュ化。
• データベースバックアップは保存時に暗号化。
• 本番システムへのアクセスは認可された担当者のみに制限。
• 定期的なセキュリティレビューを実施。

お客様の権利と自由にリスクをもたらす可能性のあるデータ侵害が発生した場合、適用法に従い、速やかに影響を受けるユーザーに通知します。

お客様の所在地に応じて、個人データに関する以下の権利を有する場合があります：

• アクセス — 当社が保持する個人データのコピーを請求。
• 訂正 — 不正確または不完全なデータの修正。
• 削除 — アカウントおよび関連データの削除を請求。
• ポータビリティ — 旅程データを移植可能な形式でエクスポート。
• 制限 — 特定の状況での処理制限を請求。
• 異議申し立て — 正当な利益に基づく処理への異議申し立て。
• 同意の撤回 — 同意に基づく処理について、以前の処理の適法性に影響を与えることなく、いつでも同意を撤回。

これらの権利を行使するには、desk@travelz.jpまでご連絡ください。30日以内に対応します。

EU/EEA在住の方は、各国のデータ保護機関（DPA）に苦情を申し立てる権利があります。日本在住の方は、個人情報保護委員会（PPC）にお問い合わせいただけます。

サービス提供に必要最小限のCookieのみ使用します：

• ログイン状態を維持するためのセッション認証Cookie。

広告Cookie、第三者トラッキングピクセル、GDPRの同意が必要な行動分析ツールは使用していません。永続的なCookieを設定する分析・トラッキングツールは本サイトで稼働していません。変更が生じた場合、本セクションを更新し、必要に応じて同意を求めます。

travelzProは旅行業界のプロ向けB2Bサービスです。18歳未満（適用法により16歳未満の場合も含む）の方から意図的に個人データを収集することはありません。未成年者が個人データを提供したと思われる場合は、ご連絡いただければ速やかに削除します。

サービスの進化や規制の変更に伴い、本ポリシーを更新する場合があります。重要な変更は、発効の少なくとも14日前に登録アカウント保有者にメールでお知らせします。発効日以降もサービスを継続してご利用いただくことで、更新後のポリシーへの同意とみなします。

プライバシーに関するご質問、DPAのご請求、データ主体の権利行使については：desk@travelz.jp