保有個人データの安全管理のために講じた措置
(外的環境の把握)

当社は、お客様のデータプライバシーを最重要視し、堅牢なセキュリティ体制のもとでサービスを提供しています。本ページでは、Bカート AI-OCR におけるデータ処理の体制と安全管理措置についてご案内します。

AIモデルの学習利用なし

お客様のデータがAIの学習に使われることは一切ありません。

ゼロデータ保持の運用

処理完了後のデータは最大24時間以内に自動破棄。保存・蓄積は行いません。

強固なデータ処理契約

適切な安全管理措置を定めたデータ処理契約（CDPA等）を締結しています。

本ページは、Bカート AI-OCR 利用規約第12条および個人情報の保護に関する法律第23条（安全管理措置）・第25条（委託先の監督）・第32条（保有個人データに関する事項の公表等）に基づき、当社が講じている個人データの安全管理措置および委託先の監督体制の詳細を公表するものです。

本機能における個人データの利用目的

当社は、本機能の提供にあたり、契約者から委託された個人データを以下の目的の範囲内で利用します。

機能提供

AI-OCRによるテキスト抽出処理およびBカート受注情報への登録のため。

サポート

契約者からの本機能に関するお問い合わせ対応、不具合調査のため。

品質改善

本機能の抽出精度向上に向けた研究開発のため。

※個人を識別できない形で統計的に集計・加工した情報に限ります。

データ処理の基本方針と体制

本機能における個人データは、以下の委託構造のもとで処理されます。Bカート利用事業者様（売り手企業様）から当社（株式会社Dai）が個人データの取り扱いの委託を受け、当社はさらにそのテキスト抽出処理を Google LLC（アメリカ合衆国）が提供するエンタープライズ向けクラウドサービスに再委託しています。

当社は、Google LLC との間で、個人情報の保護に関する法律第25条に基づく委託先の監督として、適切な安全管理措置を継続的に講ずることを定めたデータ処理契約（CDPA等）を締結しています。

また、同契約において Google LLC がAIモデルの学習目的等で当該個人データを独自に取り扱わないことを規定するとともに、適切な安全管理措置を講じることを求めています。あわせて、安全管理措置の一環として、データが処理される外国の個人情報保護制度を把握した上で（ガイドライン通則編10-7）、以下の措置を講じています。

データ処理の委託構造と安全管理体制

→ データ委託

→ 法25条委託先監督

→ 個人データの流れ

← 説明責任

買い手企業

発注元
（注文書記載の個人情報の提供元）

→

注文書の送付
（個人データ）

←

データの取扱いに
関する説明

売り手企業

Bカート利用事業者
（個人情報取扱事業者 / 委託元）

→

データ委託
（AI-OCR利用規約）

→

法25条
委託先監督

株式会社Dai

Bカート AI-OCR 提供元
（受託者）

ISMS (ISO 27001)

→

データ委託
（CDPA）

→

法25条
委託先監督

Google Cloud

AI-OCRクラウド基盤
（再受託者）

ISO 27001 / 27017 / 27018 / SOC 2,3

→ 買い手企業 → 売り手企業（注文書・個人データ）

← 売り手企業 → 買い手企業（データの取扱いに関する説明）

→ 売り手企業 → 株式会社Dai（データ委託 / AI-OCR利用規約）

→ 売り手企業 → 株式会社Dai（法25条委託先監督）

→ 株式会社Dai → Google Cloud（データ委託 / CDPA）

→ 株式会社Dai → Google Cloud（法25条委託先監督）

個人データのライフサイクル

注文書の受領
スキャン

買い手企業からの
注文書(FAX等)を
受領・スキャン

Bカートに
アップロード

管理画面から
注文書データを
暗号化通信で送信

TLS 1.2+ AES-256

Google Cloud
テキスト抽出

エンタープライズ向け
クラウドサービスで
テキスト抽出処理
インメモリのみ

ストレージ保存なし AI学習利用なし

受注登録
自動破棄

OCR結果をBカートに
受注データとして登録（国内）
海外の処理データは自動破棄

24h以内に自動破棄監視ログ対象外

OCR結果をBカートに返却 → 受注データとして国内に登録（Google Cloud（海外）にデータは一切残りません）

データ保持方針

ゼロデータ保持

送信データは推論処理および一時的なインメモリキャッシュ（RAM上）としてのみ処理されます。アップロードされたデータはストレージへ保存されず、揮発性の高いインメモリ上でのみ処理が行われます。

当社のエンタープライズ契約に基づくデータ保持ポリシー

当社は有料のエンタープライズ向け請求アカウントを Google LLC と締結しているため、一般的な無料・試用版で実施される不正監視目的のデータ保存（最大30日間）の対象外となっています。処理完了後、最大24時間以内にキャッシュからも自動破棄されます。

AI学習利用の完全禁止

データ処理契約（CDPA等）により、当社から送信された個人データが、Google LLC の提供するAI基盤モデルのトレーニング目的で利用されることは一切ありません。

外的環境の把握（アメリカ合衆国）

個人データの安全管理措置の一環として、処理が行われる外国における個人情報保護制度を以下の通り把握しています。

個人データを取り扱う外国の名称	アメリカ合衆国 ※クラウドサービスのグローバルネットワークの仕様上、データ所在地が非公開ゆえに不明な場合があり、上記の国以外の地域・国でデータが処理される可能性があります。当社が、上記以外の地域・国におけるデータの所在を新たに把握した場合には、速やかに本ページ等で公表を行うものとします。
当該外国の個人情報保護制度の概要	アメリカ合衆国には、連邦レベルでの包括的な個人情報保護法は存在しませんが、カリフォルニア州（CCPA/CPRA）などの州法や分野別の法規制により、個人情報保護の枠組みが構築されています。当社は、同国の法制度が当社の講じる安全管理措置の実施に重大な支障を及ぼすものではないと評価しております。なお、同国において、個人情報の域内保存義務に係る制度や、一般事業者のデータに関して本人の権利利益に重大な影響を及ぼす可能性のある政府の情報収集活動への協力義務は確認されていません。参考：個人情報保護委員会「外国における個人情報の保護に関する制度等の調査（アメリカ合衆国）」

個人データを取り扱う
外国の名称

アメリカ合衆国

※クラウドサービスのグローバルネットワークの仕様上、データ所在地が非公開ゆえに不明な場合があり、上記の国以外の地域・国でデータが処理される可能性があります。当社が、上記以外の地域・国におけるデータの所在を新たに把握した場合には、速やかに本ページ等で公表を行うものとします。

当該外国の
個人情報保護制度の概要

アメリカ合衆国には、連邦レベルでの包括的な個人情報保護法は存在しませんが、カリフォルニア州（CCPA/CPRA）などの州法や分野別の法規制により、個人情報保護の枠組みが構築されています。当社は、同国の法制度が当社の講じる安全管理措置の実施に重大な支障を及ぼすものではないと評価しております。

なお、同国において、個人情報の域内保存義務に係る制度や、一般事業者のデータに関して本人の権利利益に重大な影響を及ぼす可能性のある政府の情報収集活動への協力義務は確認されていません。

参考：個人情報保護委員会「外国における個人情報の保護に関する制度等の調査（アメリカ合衆国）」

リスク評価

客観的事実

上記の通り、個人情報保護委員会の調査によれば、アメリカ合衆国において一般事業者のデータに関して本人の権利利益に重大な影響を及ぼす可能性のある政府の情報収集活動への協力義務は確認されていません。

当社の評価

これを踏まえ、当社は米国の政府機関によるデータアクセス（FISA 702条等）のリスクについて検討を行いました。本機能で取り扱うデータは商取引上の発注書（氏名、住所、電話番号、品番、数量等）に限定されており、国家安全保障上の情報収集の対象となる実質的なリスクは極めて低いと判断しています。

安全管理措置

当社は、高度なセキュリティ基準を満たす Google LLC のエンタープライズ向けクラウドサービスを利用しており、以下の措置を講じています。

①

組織的安全管理措置

Google LLC の監督: 個人情報の保護に関する法律第25条に基づき、適切な安全管理措置を規定したデータ処理契約（CDPA等）を締結し、必要かつ適切な監督を行っています。

委託先の定期評価: 毎年3月に Google LLC の最新の第三者認証（SOC 2/3等）の取得状況および米国法制度の変更有無を確認し、委託先としての安全性を再評価する運用手順（SOP）を確立しています。当社の定めるセキュリティ基準を満たさなくなった場合は、委託の見直しを含めた速やかに適切な措置を講じます。

②

人的安全管理措置

学習利用の完全禁止: 契約に基づき、送信されたデータがAI基盤モデルのトレーニング目的で利用されることは一切ありません。

従業者教育: Google LLC におけるデータアクセス権限を最小化し、機密保持義務を課していることを確認済みです。

③

物理的安全管理措置

堅牢なデータセンター: 物理的アクセス制限が厳格に管理され、ISO/IEC 27001等の国際認証を受けたデータセンターで処理が行われます。

④

技術的安全管理措置

高度な暗号化: 通信経路上のデータはTLS 1.2以上で保護され、システム内で一時的に処理されるデータはAES-256等の標準的な暗号化プロトコルにより保護されています。

国際セキュリティ認証: 当社（株式会社Dai）

ISO/IEC 27001（ISMS）

Google Cloud

ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 SOC 2 / SOC 3

データの国内処理への移行方針について

当社は、お客様のデータプライバシーを最重要視しております。

現在は利用するAI基盤の仕様により上記の通りグローバル環境での処理となっておりますが、今後、クラウドサービスにおいて日本国内リージョンでの同等機能の提供が開始され、国内でのデータ処理が技術的に指定可能となった段階で、速やかに国内リージョンへの移行を実施する予定です。

事業者様向けツール

買い手企業様への回答テンプレート

Bカートをご利用の事業者様が、買い手（顧客）企業様からAI-OCR機能における個人データの取り扱いについてお問い合わせを受けた際にご活用いただけるメール回答のテンプレートです。

本テンプレートは、個人情報の保護に関する法律第32条に基づき、保有個人データに関する事項を「本人の求めに応じて遅滞なく回答」するための文面として構成されています。

〔〕内を貴社の情報に置き換え、適宜調整のうえご送信ください。
セクション7の開示請求手続については、パターンA・Bのいずれかを選択してご利用ください。

件名：当社が利用するAI-OCR機能における個人データの取り扱いに関するご回答拝啓平素より当社のサービスをご利用いただき、誠にありがとうございます。お問い合わせいただきました、AI-OCR機能（Bカート AI-OCR等）における個人データの取り扱いおよびその安全管理体制について、個人情報の保護に関する法律第23条（安全管理措置）および第25条（委託先の監督）に基づき、以下の通りご説明申し上げます。 ■ 当社の情報（個人情報取扱事業者）事業者名：〔貴社名例：株式会社○○〕代表者名：〔代表取締役 ○○ ○○〕所在地：〔〒000-0000 ○○県○○市○○ 0-0-0〕連絡先：〔電話番号 / メールアドレス〕 ■ 1. 個人データの利用目的本機能において、お客様の個人データは以下の目的の範囲内で利用されます。・機能提供： AI-OCRによるテキスト抽出処理および受注情報への登録のため。・サポート：本機能に関するお問い合わせ対応、不具合調査のため。・品質改善：抽出精度向上に向けた研究開発のため（※個人を識別できない形で統計的に集計・加工した情報に限ります）。 ■ 2. 委託先および再委託先の監督体制について当社は、本機能の提供にあたり、システム提供元である株式会社Daiを通じて、再委託先であるクラウド事業者（Google LLC、アメリカ合衆国等※）においてデータ処理を行っております。当該事業者との間では、適切な安全管理措置を継続的に講ずるためのデータ処理契約（CDPA等）を締結しており、法第25条に基づく必要かつ適切な監督体制が整備されていることを確認しております。 ■ 3. データ保持方針・ゼロデータ保持：処理完了後のデータはインメモリキャッシュ（最大24時間）としてのみ処理され、保存・蓄積は行われません。エンタープライズ契約に基づき、不正監視目的のデータ保存の対象外となっております。・AI学習利用の禁止：当社が委託したテキスト抽出処理以外の目的（AIモデルの学習利用等を含む）でのお客様データ利用を一切禁止しております。 ■ 4. 安全管理措置の概要・暗号化：通信経路上のデータはTLS 1.2以上で保護され、システム内で一時的に処理されるデータはAES-256等の暗号化プロトコルにより保護されています。・第三者認証（システム提供元：株式会社Dai）： ISO/IEC 27001（ISMS）を取得しています。・第三者認証（クラウド基盤：Google Cloud）： ISO/IEC 27001、ISO/IEC 27017（クラウドセキュリティ）、ISO/IEC 27018（クラウド個人情報保護）、SOC 2 / SOC 3 等の国際認証を取得した環境で運用されています。・継続的確認：システム提供元は年次でGoogle Cloudの認証取得状況および関連法制度の変更有無を確認し、安全性を再評価しています。 ■ 5. 外的環境の把握（リスク評価）データが処理される米国においては、個人情報保護委員会の調査により、一般事業者のデータに関して本人の権利利益に重大な影響を及ぼす可能性のある政府の情報収集活動への協力義務は確認されていません。また、本機能で取り扱うデータは商取引上の発注書に限定されており、国家安全保障上の情報収集の対象となるリスクは極めて低いと判断されています。 ■ 6. 今後の国内データ処理への移行方針について現在は利用するAI基盤の仕様上、グローバル環境での処理となっておりますが、今後クラウドサービス側で日本国内リージョンでの処理が技術的に指定可能となった段階で、速やかに国内リージョンへの移行を実施する方針をシステム提供元が掲げております。 ■ 7. 保有個人データの開示等のご請求についてお客様は、個人情報の保護に関する法律に基づき、当社が保有するお客様の個人データについて、開示、訂正、追加、削除、利用停止または第三者への提供の停止をご請求いただくことができます。〔以下のパターンA・Bのいずれかを選択し、不要な方を削除してください〕【パターンA：既存のプライバシーポリシーに手続きがある場合】開示等のご請求手続の詳細につきましては、当社プライバシーポリシーをご参照ください。 URL：〔貴社プライバシーポリシーのURL〕【パターンB：直接記載する場合】開示等のご請求は、以下の窓口にて承っております。・受付窓口：〔部署名例：個人情報お問い合わせ窓口〕・連絡先：〔メールアドレス / 電話番号 / 郵送先〕・受付方法：〔書面の郵送 / メール / Webフォーム〕・手数料：〔無料 / ○○円（開示請求の場合）〕 ※ ご請求の際には、ご本人様であることを確認させていただく場合がございます。 ■ 8. 個人情報に関するお問い合わせ・苦情の申出先当社における個人情報の取り扱いに関するお問い合わせ、ご意見、苦情等につきましては、以下の窓口にて承っております。〔貴社名〕〔担当部署名例：個人情報保護管理者 / お客様相談窓口〕所在地：〔〒000-0000 ○○県○○市○○ 0-0-0〕電話番号：〔00-0000-0000〕メール：〔○○@○○.co.jp〕受付時間：〔平日 9:00～17:00（土日祝日・年末年始を除く）〕 ■ 安全管理措置・監督体制のさらに詳しいご説明について当社（および委託元）におけるより詳細な安全管理措置、データ保持方針、継続的な確認方法、および外的環境の把握につきましては、システム提供元が公開している以下の専用ページに準拠して運用しております。あわせてご参照くださいますようお願い申し上げます。【AI-OCR機能における個人データ保護・安全管理措置について】 URL： https://bcart.jp/lp/aiocr_pips 万が一、当該委託先におけるセキュリティ体制が当社の基準を満たさなくなった場合は、速やかに委託を停止する等の措置を講じます。ご不明な点がございましたら、本メールへのご返信にてお気軽にお申し付けください。今後とも何卒よろしくお願い申し上げます。敬具〔貴社名〕〔部署名・担当者名〕