法人購買 (法務部) 向け 1-screen summary
法人購買・法務部 reviewer の稟議 review checklist (実在性 / 規約 / 個人情報 / セキュリティ / SLA / データ source / 法令フェンス / 下請法等関連法令 / AI 利用観点) を 1 page に集約しました。 DPA 個別締結は行いません (約款型 ToS で吸収)。 SOC2 Type II は取得していません (Solo zero-touch、代替表明あり)。
1. 法務 P0 (実在性 / 規約 / 個人情報)
| 項目 | 内容 | 参照 |
|---|---|---|
| 法人番号 + 適格請求書発行事業者 | T8010001213708 (令和7年5月12日登録) | 国税庁公表 → |
| 利用規約 | 2026-04-24 改訂、料金 ¥3.30/unit (税込)、月次後払 (Stripe metered) | /tos.html |
| プライバシー | APPI 準拠、PII at rest = customers.email + api_keys.key_hash の 2 項目のみ | /privacy.html |
| 特商法表記 | 事業者名・所在地・支払方法・返品ポリシー | /tokushoho.html |
| 準拠法 / 管轄 | 日本法 / 東京地裁 (専属的合意管轄) | 利用規約 §12 |
| 下請法・電帳法・電契法 | 下請契約なし / Stripe 電子帳簿 7 年保存 / Stripe Checkout 同意取得 | /tokushoho.html#related-laws |
| 法令フェンス (5 業法 + 36協定) | 触らない 6 業法を 1 page で開示 | /legal-fence.html |
2. セキュリティ P0
| 項目 | 内容 | 参照 |
|---|---|---|
| 暗号化 (in transit) | TLS 1.2+ (Cloudflare → Fly.io / Stripe → Bookyou) | /security/ |
| 暗号化 (at rest) | Fly.io volume AES-256、SQLite WAL | /security/ |
| 副処理者 (Sub-processors) | Stripe Japan / Fly.io / Cloudflare / Postmark / Sentry の 5 社 | /security/#subprocessors |
| PII at rest | customers.email、api_keys.key_hash の 2 項目のみ。退会後 30 日で物理削除 | /privacy.html |
| 国外移転 | 米国 (Fly.io NRT region は東京、CF は世界 PoP)。SOC 2 Type II / GDPR-DPA 公開済の事業者を選定 | /privacy.html §8 |
| 脆弱性開示 | RFC 9116、72h ack / 14d 修正目標、Safe harbour 表明 | /.well-known/security.txt · /security/policy.html |
| Backup / DR | RPO 24h / RTO 4h、R2 weekly + Fly snapshot daily | /security/#backup |
| インシデント通知 | 確認後 24 時間以内に email、7 日以内に postmortem | /security/#incident |
| Dependency audit | pip-audit (週次 GitHub Actions) + bandit + ruff + mypy strict (pre-commit blocking) | /security/#dependency |
| SOC2 / ISO27001 / Pマーク | 取得なし (Solo zero-touch ops)。代替表明: OpenSSF Best Practices Badge / OWASP ASVS L1 / CSA STAR CAIQ (self-assessment) | /security/#attestations |
3. SLA P1 (稼働率 / 遅延 / 通知)
| 項目 | 目標値 | 計測 / 通知 |
|---|---|---|
| 稼働率 (月次) | 99.0% 以上 | live: /sla.html / /v1/health/sla |
| p95 latency | 1500 ms 未満 | live: /sla.html |
| 5xx エラー率 | 0.5% 未満 | live |
| 計画メンテ通知 | 48 時間以上前 | email + status page |
| サービス終了通知 | 90 日以上前 | email + status page (利用規約 §10) |
| 不適合時の credit | tokushoho.md「重大不適合」条項に従い課金返還または減額 | /tokushoho.html |
| 障害履歴 + RSS | 差分発生時に CC BY 4.0 で公開 | /audit-log.html · /audit-log.rss |
4. 個人情報 P1 (APPI 準拠)
| 項目 | 内容 | 参照 |
|---|---|---|
| 個人情報保護管理者 | [email protected] (Bookyou株式会社 代表 梅田 茂利) | /privacy.html §2 |
| 取得項目 | email、API key の hash、決済 token (Stripe)、query log (90 日 rolling、PII redaction 適用) | /privacy.html §3 |
| 利用目的 | 6 項目 (サービス提供 / 課金 / 障害通知 / セキュリティ / 法令対応 / 改善統計) | /privacy.html §5 |
| 保持期間 | email = 退会 30 日後物理削除 / query log = 90 日 rolling / 課金記録 = 7 年 (税法) | /privacy.html §9 |
| Cookie / tracking | 当社発行 Cookie ゼロ。Cloudflare WAF の必要最小限のみ | /privacy.html §11 |
| APPI 第33-35条 対応 | 14 日以内に一次回答、本人確認手順 + template 公開 | /docs/compliance/data_subject_rights/ |
| 国外移転 | 米国 (Fly / CF / Postmark / Sentry)、SOC 2 Type II / GDPR-DPA 公開事業者 | /privacy.html §8 |
5. データ source P1 (jpcite 固有)
| 項目 | 内容 | 参照 |
|---|---|---|
| データソース + license 一覧 | 16 dataset × license × 商用配信可否 × 出典表示要件 | /data-licensing.html |
| 更新頻度 / 鮮度 | 主要データセット中央値 fetched_at を live 表示 | /data-freshness.html |
| アグリゲータ banned | noukaweb / hojyokin-portal / biz.stayway 等を boot 時 hard-fail (INV-04) | /transparency.html |
| 修正履歴 | 過去 90 日の corrections feed | /v1/corrections |
| 再配布禁止 | DB を bulk export して同等 data service を再配布する行為は禁止 (利用規約 §5.2)。 individual query response の社内分析 / 顧客提案利用は OK | 利用規約 §5.2 |
6. 法令フェンス (5 業法 + 36協定)
専門業務に該当する具体的判断は行いません。 全 6 業法の境界線・違反通報先・対応 disclaimer 仕様は /legal-fence.html 参照。
- 税理士法 §52 (税務代理 / 税務書類作成 / 税務相談)
- 弁護士法 §72 (個別法律事務)
- 公認会計士法 §47-2 (監査証明業務)
- 行政書士法 §1 (官公署提出書類作成・提出代行)
- 司法書士法 §3 (登記申請・登記書類作成)
- 社会保険労務士法 §27 (労社諸法令書類作成・申請代行 / 36協定 含む)
API response の _disclaimer field は 11 sensitive tool branch で自動付与 (Wave 30 hardening 済)。
7. 下請法 + 電帳法 + 電契法
| 法令 | 遵守状況 |
|---|---|
| 下請代金支払遅延等防止法 (下請法) | 当社は完全 self-service の従量課金 SaaS。 業務委託・外注を行わず、下請契約は不発生。 該当なし |
| 電子帳簿保存法 (電帳法) | Stripe 経由で発行する適格請求書を電子帳簿として 7 年間保存 (令和 5 年改正対応)。Stripe Invoice 電子保存要件を満たす運用 |
| 電子消費者契約法 (電契法) | 利用規約は site 上で公開、Stripe Checkout 標準 UI で誤発信防止確認画面 + 同意取得 |
| 特定電子メール法 | 送信 email は契約者向け transactional のみ。 広告メール送信なし |
| 景表法 / 消費者契約法 | API response 内 INV-22 で景表法 banned phrase 自動 strip。 利用規約 §7.2 で断言禁止条項あり |
8. AI 利用観点
- サーバ側 LLM 呼び出し: なし。 CI guard
tests/test_no_llm_in_production.pyが anthropic / openai / google.generativeai の import を hard-fail し、本番 deploy 前にブロック - 顧客 AI agent からの利用: RAG / tool use OK。 training data としての利用は禁止 (利用規約 §5.3)
- response 内の出典 traceability: 全 publish row が
source_url+source_fetched_at+license+attribution_textを保持。 顧客は同等明示で license 義務を満たせる - AI 出力の責任: 顧客側 AI agent の出力 (要約・分析・hallucination) は当社責任範囲外。 利用規約 §7.4 (間接損害免責) で吸収
- response 内 disclaimer 継承:
_disclaimerfield は AI agent 経由の出力にも同等付与を推奨
9. 連絡先 / Procurement support
- 一般連絡: [email protected] (24h 受付 / 平日 10:00-17:00 JST 一次回答)
- セキュリティ報告: 同 email (件名先頭に
[security])、72h ack - 営業時間外 P1 障害: /status.html の自動通知 + email
- 機械可読 manifest: /.well-known/trust.json (1 fetch で本 page の構造化要約を取得可能)
10. 個別交渉対象外 (Solo zero-touch 維持のため)
- 対象外 DPA (Data Processing Agreement) 個別締結 — privacy.html + 副処理者一覧 + trust/purchasing.html で吸収
- 対象外 MSA (Master Service Agreement) 個別交渉 — ToS 約款型のまま
- 対象外 Slack Connect / 専用 Teams channel / Zoom kickoff — [email protected] email のみ
- 対象外 SOC2 Type II / ISO27001 / Pマーク 取得 — 代替: OpenSSF Best Practices Badge / OWASP ASVS L1 / CSA STAR CAIQ self-assessment + Cloudflare Trust Hub
- 対象外 個別 SLA 上書き / credit 個別交渉 — tokushoho.md「重大不適合」条項 適用
本 page は法務部 reviewer の稟議準備時間を最小化するための 1-screen summary です。 各リンク先の一次資料 (利用規約 / プライバシー / 特商法 / Security Overview / SLA / 法令フェンス / データソース) が法的拘束力を持つ正本となります。 数値・記述に齟齬を発見した場合は [email protected] までご連絡ください。 機械可読 manifest: /.well-known/trust.json。