← beluuga.ai に戻る

プライバシーポリシー

最終更新日: 2026年4月17日

くじらキャピタル株式会社(以下「当社」)は、beluuga.ai(以下「本サービス」)を通じて、M&Aアドバイザリー業務に従事するファイナンシャル・アドバイザー(FA)、プライベートエクイティ(PE)ファンド、証券アナリスト等の金融専門家に対し、日本上場企業を対象としたM&A・ディール分析プラットフォームを提供しています。本サービスは、類似会社分析(Comps)、DCF法による企業価値評価(DCFモデル自動生成)、LBO分析(LBOモデル自動作成)、AI Insights、株価アノテーション、WACC計算等の機能・アドオンを含みます。

本サービスの性質上、お客様の業務に関連する未公開の投資情報・案件情報・機密財務情報が当社のシステムを経由する可能性があります。当社はこれらの情報の機密性・完全性・可用性を最高水準で保護することを最重要義務と位置付け、本プライバシーポリシーを制定します。

本ポリシーは、個人情報の保護に関する法律(個人情報保護法)、電気通信事業法、不正競争防止法、金融商品取引法その他関連法令を遵守し、お客様の権利を最大限に保護することを目的とします。

第1条 定義

本ポリシーにおいて、以下の用語は次の意味を有します。

  • 「個人情報」:個人情報保護法第2条第1項に定義される情報をいいます。
  • 「業務関連情報」:お客様が本サービスを通じて入力・保存・処理する、案件情報、対象企業情報、投資候補先情報、財務データその他業務上の機密情報をいいます。
  • 「利用情報」:本サービスの利用に伴い自動的に収集される技術的情報をいいます(第3条第2項参照)。
  • 「当社」:くじらキャピタル株式会社をいいます。
  • 「本サービス」:beluuga.aiの名称で当社が提供するM&A・ディール分析プラットフォーム(Comps、DCF、LBO、AI Insights、株価アノテーション、WACC等の機能および案件アドオン・Enterpriseプランを含む)およびこれに付随するすべてのサービスをいいます。

第2条 適用範囲

本ポリシーは、以下に該当するすべての方に適用されます。

  • 本サービスのアカウントを保有するすべての登録ユーザー
  • 本サービスを試用・閲覧するすべての訪問者
  • API経由で本サービスにアクセスする事業者および開発者
  • お客様の組織内で本サービスを利用するすべての従業員・委託先

第3条 収集する情報

3-1 お客様から直接収集する情報

  • アカウント情報:氏名、メールアドレス、会社名・組織名、役職、電話番号
  • 本人確認情報:職業・業種の確認に必要な情報(金融機関・FA・PE等の属性確認)
  • 請求情報:請求先氏名・法人名、請求先住所(クレジットカード番号等の決済情報は当社では保持せず、PCI DSS準拠の決済代行事業者が管理します)
  • お問い合わせ・フィードバック情報:お客様が当社に送信するすべての通信内容
  • 業務関連情報:お客様が本サービスに入力・アップロードする案件情報、企業情報、分析データ等(詳細は第4条参照)

3-2 自動的に収集する利用情報

  • アクセスログ:IPアドレス、アクセス日時、参照ページURL、利用ブラウザ・OS情報
  • 利用行動情報:本サービス内での操作履歴、検索クエリ、表示した企業・財務データの種別(ただし業務関連情報の内容そのものは含みません)
  • デバイス情報:端末種別、ブラウザ種別・バージョン、タイムゾーン、言語設定
  • Cookie・類似技術:第9条に詳述するとおり

3-3 第三者から取得する情報

  • 公開されている金融・市場データ(EDINET、J-Quants、東証等の公的データソース)
  • 決済代行事業者からの決済完了通知(カード番号等の機密情報は含みません)

当社は、お客様の同意なく、SNS・データブローカー等から個人情報を取得することはありません。

第4条 業務関連情報の取り扱い(特別保護)

本サービスはM&Aアドバイザリー業務に特化したプラットフォームであり、お客様が入力・保存する業務関連情報には、未公開の案件情報・投資候補先企業情報等が含まれる可能性があります。当社はこれらの情報について、以下の特別保護措置を講じます。

4-1 目的外利用の禁止

業務関連情報は、お客様へのサービス提供・技術的サポート・障害対応の目的にのみ使用します。当社の事業目的(投資判断・営業活動等)のために業務関連情報を使用することは一切ありません。

4-2 当社従業員によるアクセス制限

業務関連情報へのアクセスは、サービス提供上の技術的必要性が認められる最小限の担当者のみに限定します。すべてのアクセスはログにより記録・監査されます。

4-3 第三者への提供禁止

業務関連情報を、お客様の明示的な同意なく第三者に開示・提供・販売することは一切ありません。競合他社・投資家・メディア等への提供は、法令上の義務がある場合を除き絶対に行いません。

4-4 AI学習への不使用

お客様の業務関連情報を、当社または第三者のAIモデル・機械学習モデルの訓練・改善目的に使用することはありません。

4-5 契約終了後の削除

お客様が本サービスを解約した後、業務関連情報は解約日から90日以内に当社のすべてのシステムから完全に削除します(バックアップを含む)。ただし、法令上の保存義務がある情報については、当該保存期間に限り保持します。

第4条の2 生成AIサービスの利用

本サービスは、DCFチャット、LBOチャット、AI企業サマリー、株価アノテーション、AI Insights等の機能において、生成AI(大規模言語モデル/LLM)を利用しています。本条は、当該利用に関する取扱いを定めます。

4a-1 利用するAIサブプロセッサ

当社は、Anthropic, PBC(米国)が提供するClaude APIを生成AIサブプロセッサとして利用します。Anthropic社は、API経由で受領する顧客データを同社のAIモデルの学習・改善に使用しないことを契約上約束しています(API顧客データのゼロ学習ポリシー)。

4a-2 AIへ送信されるデータ

お客様がDCFチャット・LBOチャット・AI企業サマリー等の機能を利用する際、お客様が入力したメッセージおよび本サービスが保有する関連データ(対象企業の財務データ・業界情報等)がClaude APIへ送信されます。送信内容の一部は、不正利用検知・品質分析の目的で当社のデータベース(chat_audit_logs)に最大90日間保管され、その後自動削除されます。

4a-3 生成結果の正確性および免責

AIが生成する分析結果・コメント・財務モデル等は、統計的予測に基づくものであり、誤り(ハルシネーション)・計算上の齟齬・最新性の欠如が含まれる可能性があります。当社は、生成結果の正確性・完全性・特定目的への適合性を保証しません。投資判断・M&A意思決定にあたっては、お客様自身で内容を検証し、有資格の専門家にご相談ください。詳細は利用規約の免責条項をご参照ください。

4a-4 機密情報入力に関する注意

AIプロンプトに入力された内容は第4条の特別保護の対象となりますが、情報漏洩リスクを最小化するため、未公開のインサイダー情報・真に機密性の高い取引条件・個人情報を含むテキストをAIチャットに入力しないことを強く推奨します。プロンプトには必要最小限の情報のみを入力してください。

第5条 利用目的

収集した情報は、以下の目的にのみ使用します。

  • 本サービスの提供・運営・維持・改善
  • お客様認証・アカウント管理・セキュリティ確保
  • 利用料金の計算・請求・入金確認
  • お問い合わせ・技術的サポートへの対応
  • サービスに関する重要な通知の送信(障害・メンテナンス・規約変更等)
  • 不正アクセス・不正利用・サイバー攻撃の検知・防止・対応
  • 法令上の義務の履行(行政機関・裁判所からの適法な照会への対応を含む)
  • サービス品質・ユーザー体験の分析・改善(匿名化・集計された形式で実施)

上記以外の目的で個人情報を使用する場合は、事前にお客様の同意を取得します。

第6条 第三者提供

6-1 原則

当社は、以下に定める場合を除き、お客様の個人情報および業務関連情報を第三者に提供しません。

6-2 例外的提供が許容される場合

  • お客様の事前の明示的な同意がある場合
  • 法令(個人情報保護法第23条、金融商品取引法等)に基づく場合
  • 人の生命・身体・財産の保護のために必要であり、本人の同意取得が困難な場合
  • 裁判所・検察庁・警察等の公的機関から法令上の根拠に基づく照会を受けた場合(当社は可能な限り事前または事後にお客様へ通知します)

6-3 業務委託(サブプロセッサ)

サービス提供上必要な範囲で、以下の事業者に個人情報および業務関連情報の取り扱いを委託します。委託先との間には個人情報保護に関する契約を締結し、適切な監督を行います。

  • Stripe, Inc.(米国):クレジットカード決済処理。カード番号等の機密情報はStripe社が管理し、当社では保持しません(PCI DSS Level 1認証取得)。
  • Supabase Inc.(米国/AWS ap-northeast-1 東京リージョン):データベースおよび認証基盤。お客様の個人情報・業務関連情報はSupabase上のPostgreSQLデータベースに保管されます。
  • Vercel Inc.(米国):アプリケーションホスティングおよびエッジ配信(CDN)。
  • Anthropic, PBC(米国):生成AI(Claude API)。詳細は第4条の2を参照。
  • Resend, Inc.(米国):トランザクションメール配信(認証メール・通知メール等)。
  • J-Quants(株式会社JPX総研、日本)/EDINET(金融庁、日本):上場企業の公開財務データおよび有価証券報告書データの取得。これらの公開データソースから取得する情報にはお客様の個人情報は含まれません。

委託先の追加・変更が生じる場合は、本ポリシーの更新により通知します。

6-4 事業承継

合併・会社分割・事業譲渡等の組織再編が生じる場合、個人情報は事業とともに承継される場合があります。この場合、当社は事前に本ポリシーに準じた情報保護を承継先に義務付けるとともに、お客様に対して適切な通知を行います。

第7条 安全管理措置

7-1 技術的措置

  • 通信の暗号化:本サービスとお客様間の通信はすべてTLS 1.2以上で暗号化します
  • 保存データの暗号化:データベースに保存されるすべての個人情報・業務関連情報はAES-256等の強固な暗号化を適用します
  • アクセス制御:ロールベースアクセス制御(RBAC)および行レベルセキュリティ(RLS)によりデータへのアクセスを最小権限に制限します
  • マルチテナント分離:お客様のデータは、JWT認証に基づくテナント分離により、他のお客様からアクセス不能な状態で管理されます
  • 脆弱性管理:定期的なセキュリティ診断・ペネトレーションテストを実施します
  • ログ・監査:システムへのアクセス・操作はすべてログに記録し、不審なアクティビティを監視します

7-2 組織的措置

  • 個人情報保護責任者を選任し、社内ルール・手順を整備します
  • 従業員に対して定期的な個人情報保護研修を実施します
  • 個人情報へのアクセス権限を業務上の必要性に基づき厳格に管理します
  • 委託先に対して定期的な監査を実施します

7-3 インシデント対応

個人情報の漏洩・滅失・毀損等のインシデントが発生または発生の恐れがある場合、当社は個人情報保護委員会への報告義務(個人情報保護法第26条および同施行規則)に従い、原則として事態把握から速やか(72時間以内を目処)に同委員会へ速報を行い、30日以内(要配慮個人情報の漏洩等は60日以内)に確報を行います。また、影響を受けるお客様に対しても速やかに通知します。通知には、インシデントの概要、影響範囲、当社の対応措置、お客様が取るべき対応を含みます。

第8条 保存期間

個人情報の保存期間は、収集目的に応じて以下のとおりとします。

  • アカウント情報:アカウント有効期間中、および解約後90日間(問い合わせ対応目的)
  • 利用ログ・アクセスログ:取得日から1年間
  • 請求・取引記録:商法・税法上の保存義務に従い7年間
  • 業務関連情報:解約日から90日以内に完全削除(第4条5項参照)
  • DCF/LBOモデル生成物(Excelファイル等):アカウント有効期間中、および解約日から90日以内に完全削除(業務関連情報と同様の取り扱い)
  • AIチャット監査ログ(chat_audit_logs):最大90日間保管後、自動削除(第4条の2第2項参照)
  • お問い合わせ記録:最終対応日から2年間

保存期間経過後は、安全な方法により遅滞なく削除・匿名化します。

第9条 Cookieおよび類似技術

9-1 使用するCookieの種類

  • 必須Cookie:本サービスの基本機能(認証・セッション管理)に不可欠なCookie。お客様の同意なく使用します。
  • 機能Cookie:お客様の設定・環境の記憶に使用するCookie。お客様の同意に基づきます。
  • 分析Cookie:利用状況の集計・分析に使用するCookie。現在は Vercel Analytics(プライバシー重視・Cookieレスの集計基盤)のみを利用しており、お客様の同意に基づきます。

当社は、ターゲティング広告目的のCookieを使用しません。また、第三者の広告ネットワークとデータを共有しません。

9-2 Cookie管理

お客様はブラウザ設定からCookieを無効化・削除することができます。ただし、必須Cookie(認証Cookie等)を無効化した場合、本サービスの一部または全部が正常に動作しなくなる場合があります。

第10条 お客様の権利

お客様は、当社が保有するご自身の個人情報について、以下の権利を有します。

  • 開示請求権:当社が保有する個人情報の内容を確認する権利
  • 訂正・追加・削除請求権:内容に誤りがある場合の訂正・追加、または削除を求める権利
  • 利用停止・消去請求権:目的外利用または不正取得の事実がある場合に、利用の停止・消去を求める権利
  • 第三者提供停止請求権:第三者への提供の停止を求める権利
  • データポータビリティ:当社に提供したデータを機械可読形式(CSV・JSON等)で受け取る権利
  • 利用目的の通知請求権:当社が個人情報を利用する目的の通知を求める権利

上記権利の行使をご希望の場合は、hello@beluuga.aiまでご連絡ください。本人確認の後、原則として30日以内に対応します。

ご要望への対応が困難な場合は、その理由を明示します。また、当社の対応に不満がある場合は、個人情報保護委員会に苦情を申し立てる権利があります。

第11条 未成年者

本サービスは18歳未満の方を対象としておらず、意図的に未成年者から個人情報を収集することはありません。18歳未満の方が本サービスに登録した事実を確認した場合、当該アカウントおよび情報を削除します。

第12条 国際的なデータ移転

当社は、本サービスの運営に伴い、委託先(第6条第3項参照)を通じて一部の個人情報が米国等の国外に移転される場合があります。この場合、個人情報保護法第24条および同施行規則に基づき、当該国の個人情報保護制度に関する情報をお客様にご提供するとともに、委託先に対して本ポリシーと同等以上の保護措置を契約上義務付けます。お客様の業務関連情報の主たる保管先は、Supabase(AWS ap-northeast-1 東京リージョン)であり、原則として日本国内で管理されています。なお、本サービスは日本法に準拠して設計・運営されており、EU一般データ保護規則(GDPR)、英国データ保護法、カリフォルニア州消費者プライバシー法(CCPA)その他の国外プライバシー法制に基づくコンプライアンスは明示的に提供しておりません。国外からのアクセスは技術的には可能ですが、当社は日本国内からのアクセス・利用を主たる対象としています。

第13条 ポリシーの変更

13-1 変更の通知

本ポリシーを変更する場合、以下の方法で通知します。

  • 重要な変更(利用目的の追加・第三者提供条件の変更・保存期間の延長等):変更効力発生の30日前までに、登録メールアドレスへの通知および本サービス内での告知
  • 軽微な変更(表現の修正・連絡先の変更等):本ポリシー上の更新日表示の変更により通知

13-2 継続利用による同意

変更後も本サービスを継続してご利用いただいた場合、変更後のポリシーに同意したものとみなします。重要な変更に同意いただけない場合は、本サービスを解約することができます。

13-3 マーケティングメールのオプトアウト

当社がサービス紹介・機能案内等を目的とする広告宣伝メールを送信する場合、特定商取引に関する法律および特定電子メールの送信の適正化等に関する法律に従い、メール本文にオプトアウト(配信停止)用のリンクを明示します。お客様は当該リンクから、いつでも配信停止を申請することができます。なお、本サービスの利用に不可欠な通知(障害・メンテナンス・規約変更・請求等)はオプトアウトの対象外とします。

第14条 準拠法・管轄裁判所

本ポリシーは日本法に準拠します。本ポリシーに関する紛争については、東京地方裁判所を第一審の専属的合意管轄裁判所とします。

第15条 お問い合わせ

本ポリシーに関するご質問・ご意見・権利行使のご請求、その他個人情報の取り扱いに関するお問い合わせは、以下までご連絡ください。

くじらキャピタル株式会社
個人情報保護責任者
Email: hello@beluuga.ai
Website: https://beluuga.ai

お問い合わせへの回答は、原則として5営業日以内に行います。

制定日:2026年3月14日 | 最終更新日:2026年4月17日
くじらキャピタル株式会社