プライバシーポリシー

Attorlyはデータの種類に応じてGDPRの下で2つの役割を担います。アカウント情報（氏名、メールアドレス、請求情報、使用ログ、サポートメッセージ）については、Getia ASがデータ管理者として処理の目的と手段を決定します。法務業務を遂行するためにアップロードする文書、下書き、その他のコンテンツ（「お客様コンテンツ」）については、Getia ASがお客様または貴組織に代わってデータ処理者として行動します。この関係はデータ処理契約により規定されており、/dpaでご確認いただけます。

当社は以下を収集します：(a) 識別・アカウントデータ（氏名、メールアドレス、パスワードハッシュ、組織、ワークスペースの役割、選択言語）、(b) 請求データ（国、該当する場合はVAT番号、サブスクリプション状況、トライアル状況、請求書履歴 — カードの完全な情報はStripeが保持し、Attorlyは保持しません）、(c) アップロードされたお客様コンテンツ（文書、下書き、メモ、タイムラインイベント、リサーチ）、(d) サービス運営に必要な技術データ（IPアドレス、セッションCookie、重要な操作の監査ログ、通貨選択および不正防止のためのCloudflareによる国レベルの位置情報）、(e) サポートに送信されるコミュニケーション。お客様コンテンツに含まれる場合を除き、機密性の高い特別カテゴリーのデータは収集しません。含まれる場合は、お客様の指示に従ってのみ処理します。

当社はお客様のデータを以下の目的で処理します：(a) サービスの提供（GDPR Art. 6(1)(b)、契約）、(b) 税務・会計などの法的義務の履行（Art. 6(1)(c)）、(c) アカウント、請求、重要なサービスアップデートに関するトランザクションメールの送信（Art. 6(1)(b)および(f)）、(d) サービスの保護および不正利用の防止（Art. 6(1)(f)、正当な利益）、(e) 集計・匿名化された分析によるサービスの改善（Art. 6(1)(f)）、(f) お客様の同意に基づくマーケティングコミュニケーションの送信（Art. 6(1)(a)）。同意はいつでも撤回できます。お客様コンテンツは、お客様が要求した出力を提供するためにのみ、当社のAIサブプロセッサー（サブプロセッサーページに記載）によって処理されます。当社または第三者のAIモデルのトレーニングにお客様コンテンツを使用することはありません。

アカウントデータはアカウントが有効な間保持されます。アカウント閉鎖時には、法律でより長い保持が求められる場合や紛争解決に必要な場合を除き、30日以内にアカウントデータおよびお客様コンテンツを削除します。請求書および支払記録はノルウェー簿記法（bokføringsloven）で定められた期間（現在、会計年度末から5年間）保持されます。支払失敗および不正防止のログは最大12ヶ月間保持されます。管理操作の監査ログは2年間保持されます（Art. 32セキュリティ）。分析データは集計・匿名化された形式で保持されます。完全な保持スケジュールはデータ処理契約に記載されています。

当社は業界標準の暗号化とセキュリティ管理を使用しています。お客様コンテンツおよび機密フィールドは認証付き暗号化（AES-256-GCM）により保存時に暗号化されます。該当するプランではお客様独自の鍵による暗号化（BYOK）をサポートしています。すべてのネットワークトラフィックはTLS 1.2以上で転送時に暗号化されます。本番データへのアクセスは指名されたエンジニアに限定され、多要素認証を経て完全に監査されます。継続的な自動脆弱性スキャンを実施し、責任ある開示手順に従います。セキュリティの問題はsecurity@attorly.aiまでご報告ください。

当社はお客様の個人データを販売することはありません。サービスの提供に必要なサブプロセッサーとのみ、お客様への約束を反映した書面によるデータ処理契約に基づいて共有します。最新のリストは/subprocessorsに公開され、重要な変更の少なくとも30日前に更新されます。EEA外のサブプロセッサーへの移転は、標準契約条項（SCC）、該当する場合はEU・米国データプライバシーフレームワーク、またはその他の適法な移転メカニズムにより、暗号化やアクセス制御などの補完的措置とともにカバーされています（Schrems II）。

GDPRに基づき、お客様は個人データへのアクセス、訂正、削除、移転、処理の制限、正当な利益に基づく処理への異議申立て、および付与した同意の撤回の権利を有します。これらの権利のほとんどはアカウント設定から直接行使できます（データのエクスポート、アカウントの閉鎖）。その他のリクエスト、または当社の対応にご不満がある場合は、privacy@attorly.aiまでご連絡ください — 30日以内に回答いたします。監督機関（ノルウェーデータ保護機関（Datatilsynet）をdatatilsynet.noで含む）に苦情を申し立てる権利があります。

当社は同意を必要としない厳密に必要なCookie（認証セッション、CSRF保護、Cookie同意設定）を使用しています。オプションの分析Cookieは、Cookieバナーからオプトインした場合のみ使用します。サイトフッターのCookie設定リンクからいつでも設定を管理できます。

AttorlyはB2B法務プラットフォームであり、18歳未満の方を対象としていません。未成年者の個人データを意図的に収集することはありません。未成年者が当社に個人データを提供したと思われる場合は、privacy@attorly.aiまでご連絡ください。削除いたします。

当社はこのプライバシーポリシーを更新する場合があります。重要な変更については、変更発効の少なくとも30日前にメールおよび製品内で通知します。明確化、誤字修正、または法律で求められる更新については、即座に更新を行う場合があります。

プライバシーに関するご質問はprivacy@attorly.aiまでお問い合わせください。管理者：Getia AS、オスロ、ノルウェー。通常30日以内に回答いたします。GDPR Art. 37に基づく義務がないため、データ保護責任者は任命しておりませんが、privacy@attorly.aiはGetia ASのデータ保護担当者に届きます。