コモサポ プライバシーポリシー
サービス名: コモサポ(KOMOSAPO) / 運営: 株式会社タスプラ
初版策定日: 2026-05-29 / 最終改定日: 2026-05-29 / バージョン: v1.0(ドラフト)
前文
株式会社タスプラ(以下「当社」といいます)は、当社が提供するAIチャットボットサービス「コモサポ(KOMOSAPO)」(以下「本サービス」といいます)における個人情報の取扱いについて、個人情報保護法その他関連法令、政府および業界団体の各種ガイドラインを遵守し、本プライバシーポリシー(以下「本ポリシー」といいます)に従い、適切に取り扱います。
本サービスは、契約事務所(本サービスの利用契約を締結する税理士事務所)が、その顧問先(契約事務所の顧客であるエンドユーザー)に対してAIチャットボットを提供するB2B2C構造のサービスです。本ポリシーは、当社・契約事務所・顧問先の3者関係において、当社が取り扱う個人情報の範囲と取扱方針を定めるものです。
本ポリシーは、本サービスの利用規約と一体として運用されます。
第1条(定義)
本ポリシーにおいて使用する用語の定義は、利用規約第1条と同じものとします。特に重要な用語は以下のとおりです。
- 「当社」または「コモサポ運営者」: 株式会社タスプラ
- 「契約事務所」: 本サービスの利用契約を締結する税理士事務所
- 「顧問先」: 契約事務所の顧客(エンドユーザー)であって、契約事務所のLINE公式アカウントを通じて本サービスを利用する個人または法人
- 「会話履歴」: 顧問先がLINE経由で送信したテキストおよびAIが生成した応答テキストの記録
第2条(取得する個人情報の範囲)
当社は、本サービスの提供に関連して以下の個人情報を取得します。
2-1. 契約事務所に関する情報
| 項目 | 取得方法 | 必須/任意 |
|---|---|---|
| 事務所名称・所長税理士氏名 | 申込フォーム | 必須 |
| 所在地 | 申込フォーム | 必須 |
| 連絡先(電話番号・メールアドレス) | 申込フォーム | 必須 |
| 税理士登録番号 | 申込フォーム | 任意 |
| 請求先情報 | 申込フォーム | 必須 |
| 担当者氏名・連絡先 | 申込フォーム | 任意 |
| ダッシュボードログイン認証情報(メールアドレス・パスワード等) | 申込・利用時 | 必須 |
| 顧問先業種構成(業種特化レイヤー設定用) | 申込・利用時 | 任意 |
2-2. 顧問先(エンドユーザー)に関する情報
| 項目 | 取得方法 | 取得目的 |
|---|---|---|
| LINE User ID(LINE Messaging APIから提供される識別子) | LINE経由のメッセージ受信時 | AIチャットボット応答・契約事務所への利用状況提供 |
| LINE表示名(任意・LINEプロフィール公開設定による) | LINE経由のメッセージ受信時 | 契約事務所向け管理画面表示 |
| 会話履歴(顧問先からの入力テキストおよびAI応答テキスト) | LINE経由の対話時 | AIチャットボット応答生成・契約事務所のL3モード承認フロー・月次レポート集計・サービス品質改善 |
| 業種属性(契約事務所が登録) | 契約事務所ダッシュボード | 業種特化レイヤー適用・月次レポート集計 |
| タイムスタンプ・IPアドレス・端末識別子(LINE経由で提供される範囲) | 自動収集 | サービス障害対応・不正利用検知・統計分析 |
2-3. 自動収集する情報
当社は、本サービス(契約事務所向けダッシュボードを含む)の利用に関連して、以下の情報を自動的に取得することがあります。
| 項目 | 取得目的 |
|---|---|
| アクセスログ(IPアドレス・タイムスタンプ・参照URL等) | サービス障害対応・不正アクセス検知・統計分析 |
| ブラウザ仕様・端末種別・OS情報 | サービス品質改善・互換性確保 |
| Cookie・ローカルストレージ(管理画面のセッション維持目的) | 認証維持・ユーザー設定保存 |
2-4. 入力を禁止している情報(利用規約第6条・第8条に基づく)
契約事務所および顧問先は、本サービス利用時に、以下の情報を入力してはなりません。これらの情報が万一入力された場合でも、当社はこれらを意図的に収集・保持・分析する目的を有しません。
- 氏名(個人名)、法人名、屋号(匿名化必須)
- マイナンバー(個人番号・法人番号)
- 住所、電話番号、メールアドレス
- 銀行口座情報、クレジットカード情報、パスワード
- 具体的な売上金額、申告内容を特定可能な数値
- 要配慮個人情報(病歴、前科、人種、宗教、社会的身分等)
- 第三者から守秘義務を負う情報、営業秘密、M&A・組織再編等を推測させる非公開情報
当社は、上記情報のパターン検知システム(マイナンバーらしき12桁数字・電話番号・メールアドレス等の正規表現検知)を実装し、検知時は警告および処理停止を行います。ただし、当社は当該検知機構の完全性を保証するものではありません。
第3条(利用目的)
当社は、第2条で取得した個人情報を、以下の目的の範囲内で利用します。
3-1. 契約事務所に関する情報の利用目的
- 本サービスの提供、運営、保守、改善
- 利用契約の締結、変更、解約、その他契約管理
- 利用料金の請求、決済、入金確認
- 障害連絡、規約変更、重要なお知らせ等の通知
- 問合せ・サポート対応
- 本サービスに関する案内、新機能・関連サービスの案内(契約事務所がオプトアウトしない範囲)
- 統計分析・サービス改善
- 法令対応、不正利用調査、紛争対応
- 月次レポートの集計・提供
- 当社の業務委託先(決済代行・クラウドインフラ・AI APIプロバイダ等)への必要な範囲での共有
3-2. 顧問先に関する情報の利用目的
- AIチャットボットによる応答生成
- 契約事務所のL3モード(税理士監督モード)におけるドラフト承認フローの提供
- 契約事務所向け月次レポートの集計(個人を特定しない統計データとして集計)
- 本サービスの障害対応・不正利用検知
- ナレッジベース改善のための統計分析(個人を特定しない範囲で実施)
- 法令対応、税務調査等への対応(契約事務所からの要請を含む)
3-3. 利用目的の変更
当社は、利用目的を変更する場合は、変更前後の利用目的の関連性が合理的に認められる範囲で行うものとし、変更内容を契約事務所に通知または本サービス内画面に公表します。
第4条(第三者提供・委託)
4-1. 第三者提供の原則
当社は、契約事務所および顧問先の個人情報を、以下の場合を除き第三者に提供しません。
- 契約事務所または顧問先(本人)の同意がある場合
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難である場合
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合
- 業務委託先に対し、利用目的の達成に必要な範囲内で提供する場合(下記4-2参照)
- 事業の承継に伴って個人情報が提供される場合
- 統計的に処理され個人を識別できない形式に加工して提供する場合
4-2. 業務委託先(委託先カテゴリの開示)
当社は、本サービスの提供のため、以下の業務委託先に対し、必要な範囲で個人情報の取扱いを委託する場合があります。当社は、業務委託先に対し、適切な監督を行うものとします。
| 委託先カテゴリ | 具体的事業者 | 委託する情報 | 所在地 |
|---|---|---|---|
| AI API提供 | Anthropic, PBC | 会話履歴(リアルタイムでAPI送信・回答生成後即時破棄) | 米国 |
| クラウドインフラ(Workers/DB) | Cloudflare, Inc. | 会話履歴、契約事務所情報、ログ | 米国(東京リージョン含む) |
| LINE Messaging API | LINEヤフー株式会社 | LINE User ID、会話履歴の中継 | 日本 |
| 決済代行 | UnivaPay株式会社 | 契約事務所の請求先情報、クレジットカード情報(当社では非保持) | 日本 |
| ダッシュボードホスティング | Vercel Inc. | ダッシュボード認証情報、画面アクセスログ | 米国 |
| 業務改善ツール(問合せ管理・統計分析等) | 当社が追加採用する場合に随時公表 | 必要最小限の範囲 | 国内外 |
4-3. 海外送信に関する開示
本サービスは、Anthropic, PBC(Anthropic社・米国)、Cloudflare, Inc.(米国)、Vercel Inc.(米国)等の日本国外(米国)に所在する事業者に対し、本サービスの提供に必要な範囲で個人情報を含み得るデータを送信します。
契約事務所は、本サービス利用契約の締結により、上記海外送信について同意したものとします。契約事務所は、顧問先に対し、本サービスの利用前に上記海外送信が行われることを事前告知する責務を負います(利用規約第3条第3項に基づく説明義務継承)。
当社は、海外送信先事業者について、個人情報保護委員会が定める基準に適合する体制(契約による保護措置・各社のプライバシーポリシーおよびDPA(Data Processing Agreement)による保護等)を確保するよう努めます。
4-4. 契約事務所への情報提供(B2B2C構造に基づく取扱い)
当社は、契約事務所が運営する顧問先LINE公式アカウント経由で取得した会話履歴、顧問先LINE User ID、月次集計データ等を、当該契約事務所の管理画面・月次レポートを通じて当該契約事務所に提供します。これは利用規約に基づく契約事務所への正規のサービス提供であり、第三者提供ではなく契約事務所自身のサービス運営に必要な情報還元として位置付けられます。
ただし、当該情報は他の契約事務所(他テナント)には一切共有されず、テナント分離設計(契約事務所Aの顧問先データは契約事務所Bからアクセス不可)により技術的に分離されます。
第5条(外部送信に関する開示)
5-1. AIプロバイダ(Anthropic Claude API)への送信
本サービスは、顧問先から受信したテキストおよび関連情報を、AI応答生成のためAnthropic, PBC(米国)のClaude APIに対しリアルタイムで送信します。
| 項目 | 内容 |
|---|---|
| 送信先 | Anthropic, PBC(米国・カリフォルニア州サンフランシスコ) |
| 送信データ | 顧問先入力テキスト・直前の会話履歴(コンテキスト保持目的の範囲)・システムプロンプト・参照ナレッジ |
| 送信目的 | AI応答生成・税務相談AI機能の提供 |
| 送信タイミング | 顧問先からのメッセージ受信時(リアルタイム) |
| 保持期間(送信先側) | 回答生成後即時破棄(Anthropic Zero Data Retention契約に基づく) |
| 機械学習への利用 | 行われない(Anthropic Zero Data Retention契約に基づき、入力データは機械学習に利用されません) |
| 拒否方法 | 本サービスの利用を停止する以外に当該送信を拒否する方法はありません |
Anthropic Zero Data Retention契約の継承: 当社はAnthropic, PBCとの間でZero Data Retention契約相当の運用設定を採用しており、本サービスを通じてAnthropic社に送信された会話データは、AI応答生成のための一時的な処理にのみ使用され、応答完了後すみやかに破棄されます。Anthropic社による機械学習・モデル改善・ログ保存等の用途には利用されません。
5-2. その他外部送信(クラウドインフラ・分析等)
| 送信先 | 送信データの種類 | 送信目的 |
|---|---|---|
| Cloudflare, Inc.(米国・東京リージョン含む) | 全てのリクエスト・会話履歴・ログ | クラウド基盤(Workers・D1・WAF等)の提供 |
| LINEヤフー株式会社(日本) | LINE User ID・メッセージ本文 | LINE Messaging APIによるメッセージ送受信中継 |
| Vercel Inc.(米国) | ダッシュボードアクセスログ・認証セッション | 契約事務所向けダッシュボードのホスティング |
| UnivaPay株式会社(日本) | 請求先情報・クレジットカード情報(当社では非保持) | 決済処理 |
5-3. アクセス解析・マーケティング目的の外部送信(現時点では非導入)
本サービスの初期版(v1.0)では、Google Analytics、広告プラットフォーム(Yahoo! Ads、Microsoft Ads、Facebook Ads、X Ads等)、マーケティングオートメーションツール(HubSpot、Pardot等)による外部送信は導入していません。今後導入する場合は、本ポリシーを改定し30日以上前に契約事務所に通知します。
第6条(保有期間・削除フロー)
6-1. 保有期間
| データ種別 | 保有期間 |
|---|---|
| 契約事務所の事業者情報(申込情報・請求情報等) | 契約期間中および契約終了後5年間(法人税法・消費税法上の帳簿保存義務に準拠) |
| ダッシュボード認証情報(メール・パスワード) | 契約期間中および契約終了後30日間 |
| 顧問先LINE User ID・会話履歴 | 契約期間中および契約終了後30日間 |
| 月次レポート集計データ(個人非識別済) | 契約期間中および契約終了後2年間 |
| アクセスログ・通信ログ | 取得から最低6か月間(訴訟・税務調査対応用の正当な処理立証のため)、最長1年間 |
| L3モード(税理士監督モード)の承認・編集・拒否ログ | 契約期間中および契約終了後3年間(税理士法第41条の2に基づく監督義務遂行立証のため) |
| 会話履歴のAnthropic API送信(送信先側) | 即時破棄(Zero Data Retention) |
6-2. 削除フロー
- 契約終了時の自動削除: 利用契約終了後、上記6-1に定める保有期間が経過した時点で、当社は対象データを論理削除し、その後の合理的な期間内に物理削除します。
- 契約事務所からの個別削除請求: 契約事務所は、ダッシュボード上の操作または当社問合せ窓口への連絡により、特定の顧問先の会話履歴等の削除を請求することができます。
- 顧問先からの削除請求: 顧問先は、第一次的には契約事務所を通じて当社に削除請求を行うものとします(利用規約第3条第5項に基づき、苦情・問合せは第一次的に契約事務所が対応)。直接当社に削除請求がなされた場合、当社は契約事務所に確認の上で対応します。
- 削除請求への対応期限: 当社は、原則として削除請求受領から14日以内に削除対応または対応見込み連絡を行います。
6-3. 法令に基づく保存義務
法令、税務調査、訴訟対応等により保存が義務付けられる情報については、当該義務の終了まで保有を継続することがあります。
第7条(開示請求対応)
7-1. 開示等の請求権
契約事務所および顧問先(個人情報保護法上の本人)は、当社が保有する自己の個人データに関し、以下の請求(以下「開示等の請求」といいます)を行うことができます。
- 利用目的の通知
- 個人データの開示
- 内容の訂正、追加、削除
- 利用の停止、消去
- 第三者への提供の停止
- 個人データの第三者提供記録の開示
7-2. 請求方法
開示等の請求は、本ポリシー末尾に記載の問合せ窓口(電子メール)宛に、以下の事項を記載してご請求ください。
- 請求者の氏名・連絡先
- 請求の内容(上記7-1のいずれか)
- 本人確認のための情報(契約事務所の場合は事業者名+登録メールアドレス、顧問先の場合は契約事務所名+LINE User ID等)
7-3. 顧問先からの請求の取扱い
顧問先からの開示等の請求は、第一次的には契約事務所を通じてご請求いただくものとします。直接当社に請求がなされた場合、当社は契約事務所に確認の上で対応します。これはB2B2C構造において契約事務所が顧問先との関係の一義的窓口を担うことを前提とした取扱いです。
7-4. 対応期限・手数料
- 当社は、開示等の請求受領後、原則として30日以内に対応します。
- 開示請求(7-1第2号)に関しては、本人確認・調査に伴う実費として1請求あたり1,000円(税抜)の手数料をいただく場合があります。詳細は請求受領時に別途案内します。
- 訂正・利用停止・消去等の請求については、原則として手数料は発生しません。
7-5. 開示等の請求に応じられない場合
以下の場合は、開示等の請求に応じられないことがあります。その場合、その理由を通知します。
- 本人確認ができない場合
- 第三者の権利利益を不当に侵害するおそれがある場合
- 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 法令に違反することとなる場合
第8条(Cookie・アクセス解析)
8-1. 契約事務所向けダッシュボード
契約事務所向けダッシュボード(本サービス管理画面)では、認証セッション維持・ユーザー設定保存のためにCookieおよびローカルストレージを使用します。これらの情報は当社サーバーおよびホスティング事業者(Vercel)が保有し、第三者の広告配信・トラッキング目的では使用しません。
ブラウザの設定によりCookieを無効化することができますが、Cookieを無効化した場合、ダッシュボードの一部機能が利用できない場合があります。
8-2. 顧問先LINE経由の利用
顧問先がLINE公式アカウント経由で本サービスを利用する場合、LINEアプリ自体のCookie・トラッキング設定はLINEヤフー株式会社の管理に従います。当社が独自に顧問先のLINEアプリにCookieを設置することはありません。
8-3. アクセス解析
現時点では、当社は本サービスにおいてGoogle Analytics、広告プラットフォーム連携、サードパーティのアクセス解析ツールを導入していません。今後導入する場合は、本ポリシーを改定し30日以上前に契約事務所に通知します。
第9条(個人情報保護管理者・問合せ窓口)
9-1. 個人情報保護管理者
本サービスにおける個人情報保護の責任者は、株式会社タスプラの代表取締役とします。
9-2. 問合せ窓口
個人情報の取扱いに関するご質問、開示等の請求、苦情のお申し出は、以下の窓口までご連絡ください。
9-3. 個人情報保護関連の認証
本サービスの開始時点では、プライバシーマーク・ISMS等の第三者認証は取得していません。事業の進展に応じて、本格的な認証取得を検討します。
第10条(安全管理措置)
当社は、契約事務所および顧問先の個人情報の漏洩、滅失、毀損の防止その他の個人データの安全管理のため、以下の措置を講じます。
10-1. 組織的安全管理措置
- 個人情報保護に関する社内規程の整備および周知
- 個人情報取扱担当者の限定
- 個人情報取扱状況の監査
10-2. 人的安全管理措置
- 個人情報保護に関する従業者教育
- 業務委託先との秘密保持契約の締結
10-3. 物理的安全管理措置
- 個人情報を取り扱う区域の入退室管理
- 個人情報を含む機器・電子媒体・書類等の盗難または紛失等の防止
- 個人情報を含む機器・電子媒体・書類等の廃棄時の対応
10-4. 技術的安全管理措置
- SSL/TLSによる通信暗号化
- Cloudflare WAF(Web Application Firewall)によるアクセス制御
- マルチテナント基盤におけるテナント分離設計(契約事務所Aの顧問先データは契約事務所Bからアクセス不可)
- 不正アクセス検知・遮断
- アクセスログの取得と定期的なレビュー
- 個人情報入力パターン検知(マイナンバー・電話番号・メールアドレス等)による警告・処理停止
- バックアップの暗号化保管
第11条(政府・業界団体ガイドライン準拠)
本ポリシーは、以下の政府・業界団体ガイドラインに準拠して設計・運用されています。
- 個人情報保護法および同法施行規則
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
- 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(2023年6月)
- 経済産業省「AI利活用における民事責任の解釈適用に関する手引き」第1.0版(2026年4月)
- 日本税理士会連合会「税理士業務におけるAI利用ガイドライン」(2026年3月・規定①守秘義務匿名化)
- 国税庁「税理士法基本通達」第2条《税理士業務》関係
特に、個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(2023年6月)で示された生成AI利用者の3要件(利用目的の範囲内の確認・機械学習への非利用の確認・国境を越えた個人データ移転の同意要件)について、本サービスは以下のとおり対応しています。
- 利用目的の範囲内の確認: 第3条で利用目的を明示し、その範囲内で個人情報を取り扱います。
- 機械学習への非利用の確認: Anthropic, PBCとの間でZero Data Retention契約相当の運用設定を採用し、本サービスを通じてAnthropic社に送信された会話データは機械学習に利用されません(第5条第1項)。
- 国境を越えた個人データ移転の同意: 契約事務所は本サービス利用契約の締結により海外送信について同意したものとし、顧問先に対しては契約事務所が事前告知する責務を負います(第4条第3項・利用規約第3条第3項)。なお、本サービスは個人情報の入力を原則禁止する設計のため、個人データの第三国移転には原則として該当しないことを前提としています。万一個人データが混入した場合の海外移転についても、契約事務所が利用契約締結時に同意したものとして取扱います。
第12条(ポリシー変更)
- 当社は、本ポリシーを変更する必要が生じた場合、契約事務所への30日以上前の通知をもって本ポリシーを変更することができます。
- 前項の通知方法は、本サービスの管理画面上の掲示、契約事務所が登録したメールアドレスへの送信、その他当社が適切と判断する方法によります。
- ポリシー変更の効力発生日以降も契約事務所が本サービスの利用を継続した場合、契約事務所は変更後の本ポリシーに同意したものとみなされます。
- 法令対応、軽微な文言修正、契約事務所に不利益を与えない変更については、前項の30日前通知を要しない場合があります。
- 本ポリシーの改定履歴は、当社が保存し、契約事務所からの請求があれば合理的な範囲で開示します。
附則
- 本ポリシーは、有料販売の開始日から施行します。
- 本ポリシーの初版(v1.0)は、有料販売の開始前に弁護士の確認を経て最終化されます。