プライバシーポリシー

合同会社Smart&Smooth（以下「当社」）は、当社が提供するウェブアプリケーション「経費ログ」（以下「本アプリ」）における個人情報の取り扱いについて、以下の通り定めます。

1. 収集する情報

本アプリは、Googleアカウントによるログインに際し、以下の情報へのアクセス許可を求めます。

情報の種類	用途
メールアドレス	ユーザーの識別・チーム内の管理者権限の判定
Google Drive（アプリが作成したファイルのみ）	初回セットアップ時のスプレッドシート・フォルダ作成

本アプリが利用するOAuthスコープはすべて「非機密スコープ」であり、Googleによるアプリ審査は不要です（詳細は「8. 利用するGoogleのOAuthスコープ」をご参照ください）。

2. データの保存場所とサーバー経由処理

入力した経費データおよび領収書画像は、各チームが管理するGoogleスプレッドシートおよびGoogle Driveフォルダに保存されます。当社のサーバーにデータが永続的に保存されることはありません。

ただし、本アプリは「サービスアカウント（SA）プロキシ」方式を採用しており、経費データの読み書き・領収書のアップロード・AI解析はすべて当社のVercelサーバーを経由します。これはメンバーがスプレッドシートに直接アクセスする権限を不要にし、セキュリティと利便性を高めるための設計です。

ライセンス認証のため、ライセンスキーのみを当社のサーバーに送信します。個人情報・経費情報はライセンス認証には使用されません。

3. サービスアカウント（SA）によるアクセスについて

重要な開示事項：本アプリの運用上、当社のサービスアカウント（keihi-log-proxy@keihi-log.iam.gserviceaccount.com）が各チームのスプレッドシートおよび証票フォルダに「編集者」として共有されています。これにより、当社は技術的にはチームの経費データおよび領収書画像にアクセスできる状態にあります。

当社は以下の方針に基づき、この権限を管理します。

アクセスしない原則：当社はサービスの提供・維持に必要な場合（障害調査・不正利用の確認等）を除き、各チームの経費データに能動的にアクセスしません。
目的外利用の禁止：取得したデータを、サービス提供目的以外（広告・販売・分析等）に利用しません。
第三者への非提供：法令に基づく開示要請がある場合を除き、データを第三者に提供しません。
障害調査時の対応：ユーザーからの問い合わせに基づく障害調査を行う場合は、事前にご連絡し同意を得た上でアクセスします。

なお、このSAアクセスはチームのスプレッドシート・証票フォルダに限定されます。それ以外のGoogleアカウントのデータ（メール・カレンダー・その他のDriveファイル等）には技術的にアクセスできません（SAは明示的に共有されたファイルにのみアクセス可能であり、ユーザーのOAuthトークンも本アプリが作成したファイル以外へのアクセス権を持たない drive.file スコープのみを使用しています）。

4. センシティブデータの保護

通信の暗号化：すべての通信はTLS（HTTPS）により暗号化されます。
アクセストークンの非永続化：GoogleのOAuthアクセストークンはブラウザのメモリ内のみで保持し、当社サーバーへの永続的な保存は行いません。
データの非永続保存：経費データ・領収書画像は当社サーバーを一時的に経由しますが、サーバー上に保存されることはありません（処理完了後即時破棄）。
最小権限の原則：SAは各チームが共有したスプレッドシートおよび証票フォルダにのみアクセスします。それ以外のデータにはアクセスしません。
ローカルストレージ：スプレッドシートIDなどの設定情報はブラウザのローカルストレージに保存されます。認証トークン等の機密情報はローカルストレージに永続保存しません。

5. 情報の利用目的

本アプリの機能提供（経費申請・一覧・集計・AI領収書解析）
ライセンスの有効性確認
アプリの不具合対応・改善

6. AI機能について

本アプリは、領収書の自動読み取り機能にGoogle Gemini APIを使用します。

項目	内容
AIサービス提供者	Google LLC（Google Gemini API）
送信データ	ユーザーがアップロードした領収書・レシートの画像
送信経路	当社のVercelサーバー経由でGoogle Gemini APIに送信（ブラウザから直接送信しない）
APIキーの管理	管理者がGoogle AI Studioで取得したAPIキーをチームのスプレッドシートに設定します。当社のSAがそのキーをサーバー側で読み取り、Gemini APIの呼び出しに使用します。APIキーは当社サーバーに保存されません（使用都度シートから読み取る）。
当社によるデータの保存	なし（画像データはサーバーを経由してGemini APIに転送されますが、サーバー上に保存されません）

Google Gemini APIによる画像データの取り扱いについては、Googleのプライバシーポリシーをご参照ください。

7. 第三者への提供

当社は、以下の場合を除き、収集した情報を第三者に提供しません。

ユーザー本人の同意がある場合
法令に基づき開示が必要な場合

8. 利用するGoogleのOAuthスコープ

本アプリがユーザーに求めるOAuthスコープは以下の通りです。いずれも「非機密スコープ」であり、Googleによるアプリ審査対象外です。

スコープ	用途
openid / email / profile	Googleアカウントでのログイン・メールアドレスの取得
https://www.googleapis.com/auth/drive.file	初回セットアップ時のスプレッドシート・フォルダの新規作成

経費データの読み書き・領収書の保管はすべて当社SAプロキシが代行するため、ユーザーのOAuthトークンでスプレッドシートに直接アクセスすることはありません。

8-2. Google API サービス利用規約・Limited Use 準拠声明

Google Workspace APIs から取得したユーザーデータ（生データおよびその派生データ）の使用および第三者への転送は、Google API サービスユーザーデータポリシー（Limited Use 要件を含む）に準拠します。

"The use and transfer of raw or derived user data received from Google Workspace APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements."

9. Cookieおよびローカルストレージの使用

本アプリは、設定情報（スプレッドシートIDなど）の保存にブラウザのローカルストレージを使用します。これらの情報はユーザーのデバイス内にのみ保存され、当社サーバーには送信されません。

10. 情報の削除

Googleアカウントの「サードパーティアプリへのアクセス」から、本アプリのアクセス許可をいつでも取り消すことができます。経費データはチームが管理するGoogleスプレッドシートおよびDriveフォルダに保存されているため、削除はチーム管理者がGoogle上で行ってください。

11. お問い合わせ

プライバシーポリシーに関するお問い合わせは、以下の窓口までご連絡ください。

合同会社Smart&Smooth
メール：support@keihi-log.com

12. 改定

本ポリシーは、法令の改正やサービス内容の変更に伴い、予告なく改定することがあります。重要な変更がある場合はアプリ上でお知らせします。