プライバシーポリシー
個人情報保護方針
株式会社VESS Labsは、プロダクト開発事業を実施する上で、お客様の個人情報がプライバシーを構成する重要な情報であることを深く認識し、業務において個人情報を取り扱う場合には、個人情報に関する法令及び個人情報保護のために定めた社内規定を定め、また、組織体制を整備し、個人情報の適切な保護に努めることにより、お客様を尊重し、当社に対する期待と信頼に応えていきます。
1. 個人情報の取得、利用、提供
当社は、事業活動の範囲内で個人情報の利用目的を特定し、その目的達成のために必要な限度で公正かつ適正に個人情報の取得、利用及び提供を行います。また、取得した個人情報の目的外利用をしないよう処置を講じます。
2. 法令・規範の遵守
当社は、個人情報に関する法令、国が定める指針、その他の規範及び社会秩序を遵守し、個人情報の適切な保護に努めます。
3. 個人情報の適切な管理
当社は、私たちが取り扱う個人情報について、不正アクセス、紛失、破壊、改ざん、漏えいなどの危険を十分に認識し、合理的な安全対策を実施するとともに、問題が発生した場合は適切な是正措置を講じます。
4. 問い合わせへの対応
当社は、私たちが取り扱う個人情報について、本人から開示、訂正、利用停止及び苦情相談等のお問い合わせがあった場合は適正に対応します。
5. 継続的改善
当社は、個人情報保護に関する管理規定及び管理体制を整備し、全社員で徹底して運用するとともに定期的な見直しを行い、個人情報保護マネジメントシステムの継続的な改善に努めます。
個人情報保護方針に関する連絡先
2025年6月17日 制定
株式会社 VESS Labs
代表者 藤森 侃太郎
当社が取り扱う個人情報について
当社では「個人情報保護方針」に基づき個人情報の適切な保護に取り組んでいます。当社が事業の用に供するために取得し、または保有する個人情報について、以下の通りお知らせいたします。
(1)個人情報の取扱事業者の名称及び住所並びに法人にあたってはその代表者の氏名
事業者名:VESS Labs
代表取締役: 藤森 侃太郎
住所:〒150-0041 東京都渋谷区神南 一丁目23-14 リージャス渋谷公園通りセンター
(2)個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
個人情報保護管理者:藤森 侃太郎
連絡先:info@vess.id
(3)個人情報の利用目的
当社が事業活動において取扱う個人情報の利用目的は、次の通りといたします。
① 保有個人データ
| 個人情報の種別 | 利用目的 |
|---|---|
| 取引先情報 | 業務管理、各種連絡、請求、支払い管理のため |
| 従業者情報 | 従業者管理に係わる業務に利用するため(業務・労務・人事管理業務、給与関連業務、福利厚生業務など) |
| 採用応募者情報 | 採用に係わる業務に利用するため(採用に関する情報提供、採用可否判断、採用業務に関する連絡など) |
| 退職者情報 | 退職者との連絡、退職者からのお問合せへの対応に利用するため |
| お問合せ者情報 | お問合せに回答するため |
| 本人および代理人の情報(開示等請求時) | 開示等の求めに回答するため |
| アカウント情報 | お問合せに回答するため |
| 業務委託者情報 | 人事管理、業務の対価振込、当社業務遂行等のため |
その他、個別に書面で明示したとおりの利用目的とします。
② それ以外取得個人情報
| 個人情報の種別 | 利用目的 |
|---|---|
| VESS Credentialsアカウント情報 | システムの運用・保守のため |
| 求人サイトから取得した情報 | 求人者に対する採用の可否を判断・通知するため |
(4)個人情報に関するお問合せ窓口
保有個人データに関わるものを含め、個人情報の取扱についての苦情・相談、問合せは、下記の【問合せ窓口】までお申し出ください。
(5)所属する認定個人情報保護団体の名称および苦情の解決の申し出先
なし
(6)開示等の手続について
当社では、保有個人データに関して、ご本人の開示等(利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去、第三者への提供の停止および第三者提供記録の開示)の請求に迅速に対応いたします。ご希望される場合には、お申し出いただいた方がご本人或いはその代理人であることを確認した上で、合理的な期間及び範囲で対応いたします。
(7)開示等の受付方法・窓口
保有個人データに関する開示等のお申し出は、下記の受付窓口までご連絡ください。ご連絡いただきましたら、当社所定の「保有個人データ開示等請求書」を郵送または、FAX、メール等でお送り致します。内容ご記入の上必要書類を同封し、郵送またはメール等にてお申し込み下さい。(送付料は請求者のご負担となります。)
ご本人(または代理人)であることを確認した上で、ご希望の開示方法により回答いたします。
(8)個人情報の安全管理のために講じた措置について
当社では、個人情報を厳正に取り扱うため、JIS Q 15001に準拠した個人情報保護方針を基に、個人情報に関する規程等を策定し、個人情報保護マネジメントシステムを運用しております。個人情報の適正な取扱いの確保のため、組織的・人的・物理的・技術的の4つの観点より安全管理措置を講じております。
【組織的安全管理措置】
組織体制の整備、個人データの取扱いに係る規律に従った運用、個人データの取扱い状況を確認する手段の整備、漏えい等事案に対応する体制の整備、取扱い状況の把握及び安全管理措置の見直し等に関して、必要な措置を講じています。
【人的安全管理措置】
個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行なっております。また、個人データについての秘密保持に関する事項を含む誓約書を取得しております。
【物理的安全管理措置】
個人データを取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器、電子媒体等の廃棄に関して、必要な措置を講じています。
【技術的安全管理措置】
情報システムに関して、アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの使用に伴う漏えい防止等に関して、必要な措置を講じています。
問合せ窓口
2025年6月17日 制定
株式会社 VESS Labs
代表者 藤森 侃太郎
アクセス解析ツールの利用
当社は、本サービスの品質向上およびユーザー動向の把握 (Product-Market Fit 検証目的) のため、以下の第三者解析ツールを利用します。
Google Analytics 4 (Google LLC / 米国)
- IP アドレスは GA4 側で自動的に匿名化されます。
- Google Signals および広告パーソナライゼーションシグナルは無効化しています。
- 当面 user_id を送信せず、匿名 client_id (Cookie) のみで集計します。
PostHog (PostHog Inc. / EU リージョン)
- autocapture、session recording、surveys、toolbar を無効化しています。
- Closed Beta 期間中は identify() を呼ばず、Person profile は作成しません。
- PostHog 側の GeoIP 推定 (国・都市・タイムゾーン) を停止しています。
- メールアドレス、氏名、電話番号、DID、Verifiable Credential、OAuth トークン、および連携サービス (Gmail / Google Calendar / Slack / JIRA / Notion / GitHub 等) から取得したデータは一切送信しません。
両ツールに送信される URL からはクエリ文字列 (? 以降) およびフラグメント (# 以降) を当社側で除去します。
Googleユーザーデータの取り扱いについて
VESS AIdentity(以下「本サービス」)は、ユーザーがGoogleアカウントを連携した場合に、Google OAuth 2.0を通じてGoogleユーザーデータにアクセスします。本セクションでは、本サービスがアクセスするGoogleユーザーデータの種類、利用目的、保存方法、共有先、および Google API Services User Data Policy(Limited Use要件を含む)への準拠について開示します。
本プライバシーポリシーのその他のセクションの記載が、Googleユーザーデータの取扱いに関して本セクションと抵触する場合、Googleユーザーデータについては本セクションの記載が優先して適用されます。
(1)本サービスがアクセスするGoogleユーザーデータ
本サービスは、ユーザーが明示的に同意したOAuthスコープの範囲でのみ、以下のGoogleユーザーデータにアクセスします。
| OAuthスコープ | アクセスするデータ | 利用目的(対応機能) |
|---|---|---|
.../auth/gmail.readonly |
Gmailメッセージ本文、ヘッダー、添付ファイルのメタデータ、ラベル | ユーザーの指示に基づき、AIエージェントがメールの検索・閲覧・分類を行うため |
.../auth/gmail.compose |
Gmail下書きの作成、メッセージの送信 | ユーザーの指示に基づき、AIエージェントがメールの下書き作成および送信を行うため |
.../auth/calendar.readonly |
Googleカレンダーのイベント情報(参照) | ユーザーの指示に基づき、AIエージェントが予定の確認を行うため |
.../auth/calendar |
Googleカレンダーのイベント情報(参照・作成・更新・削除) | ユーザーの指示に基づき、AIエージェントが予定の作成・変更・削除を行うため |
本サービスは、上記以外のGoogleユーザーデータにはアクセスしません。ユーザーはGoogleアカウントの権限設定ページ(https://myaccount.google.com/permissions)からいつでもアクセス許可を取り消すことができます。
(2)Googleユーザーデータの保存および保持期間
本サービスは、Gmailメッセージ本文、添付ファイル、カレンダーイベントの内容などのGoogleユーザーデータを、本サービスのデータベースに永続的に保存することはありません。これらのデータはユーザーの指示に応じてその都度Google APIから取得され、AIエージェントへの応答として返却された後、本サービス側では保持されません。
ただし、ユーザーの利便性のため、以下の情報については暗号化した上で保存します。
- OAuthアクセストークンおよびリフレッシュトークン:Google APIへの認証のために必要な情報であり、AES-256-GCM方式で暗号化して保存します。暗号鍵は本サービスの運用環境内で厳重に管理します。
- 連携メタデータ:GoogleアカウントのユーザーID、メールアドレス、許可されたスコープ、トークン有効期限など、OAuth連携の管理に必要な最小限の情報を保存します。
- 監査ログ:ユーザーのAIエージェントがどのツール(アクション)を実行したかの記録(アクション名、実行時刻、承認結果等のメタデータ)を保存します。Gmailメッセージ本文やカレンダーイベントの内容自体は監査ログに記録しません。
ユーザーは、本サービスからGoogle連携を解除することで、上記トークンおよび連携メタデータをいつでも削除することができます。また、info@vess.id へのご連絡により、保存されているすべてのデータの削除をリクエストすることができます。
アカウント削除(セルフサービス)
ユーザーはいつでも、ダッシュボードの設定画面からセルフサービスでアカウント全体を削除できます。アカウントを削除すると、Cognito ID、接続された全プロバイダー(Gmail / Calendar / Slack / GitHub / Jira)の OAuth トークン、ユーザーレコード、関連する全ての紐付きデータ(エージェント、一時セッション、認証キーペア、CLI セッション、Slack 承認、許可、VC 承認リクエスト)が完全に消去されます。本操作は取り消すことができません。
アカウント削除 URL: /settings.html#delete-account
なお、監査ログ(アクション名・実行時刻・承認結果等のメタデータ)はコンプライアンス上の要請により、データ保持ポリシーに従って一定期間保管されます。これら監査ログには Gmail メッセージ本文やカレンダーイベント内容自体は含まれません。
(3)Googleユーザーデータの共有、転送、開示について
本サービスは、Googleユーザーデータを以下のとおり取り扱います。
本サービスからの第三者提供はありません
VESS Labsは、Googleユーザーデータを、広告事業者、データブローカー、マーケティング事業者、その他いかなる第三者に対しても、販売、貸与、または提供することはありません。また、Googleユーザーデータを、AI/機械学習モデルの学習・開発・改良のために使用することはありません。
本サービスがGoogleユーザーデータを取り扱う第三者
本サービスの提供に必要な範囲で、以下の第三者がGoogleユーザーデータを処理する可能性があります。
- Amazon Web Services, Inc.(AWS):本サービスのホスティング基盤として利用しており、AWS上で暗号化されたOAuthトークンおよび通信中のGoogleユーザーデータが一時的に処理されます。AWSはデータ処理委託先として、適切なセキュリティ基準のもとデータを取り扱います。
- ユーザーが選択するMCP(Model Context Protocol)クライアントおよびAIモデルプロバイダー(パススルー):本サービスはMCPプロトコルを通じて、ユーザー自身が選択したAIクライアント(例:Claude Desktop、Cursor等)および、そのクライアントがバックエンドで利用するAIモデルプロバイダー(例:Anthropic、OpenAI等)に対し、ユーザーの指示の結果として取得されたGoogleユーザーデータを返却します。これは、ユーザーが明示的にAIエージェントに指示を出した結果としてユーザー自身の管理下にあるクライアントに返却されるものであり、VESS Labsから第三者に対してデータを共有する行為ではありません。ただし、当該クライアントおよびモデルプロバイダーのデータ取り扱いは、それぞれの提供者のプライバシーポリシーに従います。
- Anthropic, PBC(Slack Bot および Managed Agents 連携機能):本サービスのSlack Bot機能およびManaged Agents連携機能において、お客様が登録された Anthropic API キーを用いて、お客様の指示に基づきAnthropic APIに対してリクエストを送信する場合があります。この処理においてAnthropicは本サービスのサブプロセッサーとして機能します。Anthropicとは、Anthropic Commercial Terms(GDPR Art.28準拠のDPAを含む)を締結しており、APIリクエストを通じて送信されたデータがAnthropicの汎用AI/機械学習モデルの学習・改良に使用されないことが契約上保証されています。詳細はAnthropic Privacy Policyをご参照ください。
法令に基づく開示
法令に基づく開示請求、裁判所の命令、または捜査機関からの正当な要請があった場合に限り、必要な範囲でGoogleユーザーデータを開示することがあります。
(4)Google API Services User Data Policy への準拠(Limited Use)
本サービスによるGoogleユーザーデータの取得および利用は、Google API Services User Data Policy(Limited Use要件を含む)に準拠します。具体的には、以下を遵守します。
- Googleユーザーデータの利用は、本プライバシーポリシーに明示したユーザー向け機能の提供に必要な範囲に限定します。
- Googleユーザーデータを、広告配信(リターゲティング、パーソナライズ広告、興味関心ベース広告を含みます)を含むあらゆる広告目的に利用しません。
- Googleユーザーデータを、汎用的なAI/機械学習モデルの開発、学習、改良のために利用しません。
- Googleユーザーデータを、本サービスの運営担当者を含むいかなる人間も閲覧しません。ただし、(a) ユーザーから明示的な同意を得た場合、(b) セキュリティ目的(不正利用の調査等)で必要な場合、(c) 法令により要求される場合、(d) Googleユーザーデータが集計・匿名化され個人を識別できない形に処理されている場合は、この限りではありません。
- Googleユーザーデータを第三者に転送する行為は、(a) ユーザー向け機能の提供に必要な場合、(b) セキュリティ目的で必要な場合、(c) 法令により要求される場合に限定します。
(5)お問い合わせ
Googleユーザーデータの取り扱いに関するご質問、アクセス取消、データ削除のご依頼などは、以下までご連絡ください。
VESS Labs, Inc.
連絡先: info@vess.id
2026年4月21日 制定
2026年4月27日 改定 — Anthropic をサブプロセッサーとして開示追記
株式会社 VESS Labs
代表者 藤森 侃太郎
Privacy Policy
Personal Information Protection Policy
VESS Labs, Inc. deeply recognizes that customers' personal information constitutes important privacy information in the course of conducting its product development business. When handling personal information in its operations, the company establishes internal regulations regarding laws and personal information protection, develops organizational structures, and strives to appropriately protect personal information, thereby respecting customers and meeting their expectations and trust in our company.
1. Collection, Use, and Provision of Personal Information
The company specifies the purposes of use of personal information within the scope of its business activities and collects, uses, and provides personal information fairly and appropriately to the extent necessary to achieve those purposes. We also take measures to prevent the use of collected personal information beyond its intended purposes.
2. Compliance with Laws and Regulations
The company complies with laws, guidelines established by the government, other regulations, and social order related to personal information, and strives to appropriately protect personal information.
3. Appropriate Management of Personal Information
The company fully recognizes the risks of unauthorized access, loss, destruction, alteration, and leakage regarding the personal information we handle, implements reasonable security measures, and takes appropriate corrective actions when problems occur.
4. Response to Inquiries
The company responds appropriately to inquiries from individuals regarding disclosure, correction, suspension of use, and complaints about the personal information we handle.
5. Continuous Improvement
The company develops management regulations and structures for personal information protection, ensures thorough operation by all employees, conducts regular reviews, and strives for continuous improvement of its personal information protection management system.
Contact for Personal Information Protection Policy
Personal Information Inquiry Desk
Address: Kuwano Building 2F, 6-23-4 Jingumae, Shibuya-ku, Tokyo 150-0001, Japan
Personal Information Protection Manager: Kantaro Fujimori
Contact: info@vess.id
Established: June 17, 2025
VESS Labs, Inc.
Representative: Kantaro Fujimori
Handling of Personal Information by Our Company
Our company is committed to the appropriate protection of personal information based on our "Personal Information Protection Policy." We hereby inform you of the following regarding personal information that we acquire or hold for the purpose of our business.
(1) Name, Address, and Representative of the Personal Information Handling Business Operator
Business Name: VESS Labs
Representative Director: Kantaro Fujimori
Address: Regus Shibuya Koen-dori Center, 1-23-14 Jinnan, Shibuya-ku, Tokyo 150-0041, Japan
(2) Name, Title, Affiliation, and Contact of the Personal Information Protection Manager
Personal Information Protection Manager: Kantaro Fujimori
Contact: info@vess.id
(3) Purposes of Use of Personal Information
The purposes of use of personal information handled in our business activities are as follows.
i. Retained Personal Data
| Type of Personal Information | Purpose of Use |
|---|---|
| Business Partner Information | For business management, communications, billing, and payment management |
| Employee Information | For use in employee management operations (business/labor/HR management, payroll, welfare benefits, etc.) |
| Job Applicant Information | For use in recruitment operations (providing recruitment information, making hiring decisions, recruitment-related communications, etc.) |
| Former Employee Information | For communications with former employees and responding to inquiries from former employees |
| Inquirer Information | For responding to inquiries |
| Information of the Individual and Agent (for disclosure requests) | For responding to disclosure requests |
| Account Information | For responding to inquiries |
| Outsourced Worker Information | For HR management, payment transfers, and conducting our business |
Other purposes of use are as specified individually in writing.
ii. Other Acquired Personal Information
| Type of Personal Information | Purpose of Use |
|---|---|
| VESS Credentials Account Information | For system operation and maintenance |
| Information Obtained from Job Sites | For determining and notifying hiring decisions to job applicants |
(4) Inquiry Desk for Personal Information
For complaints, consultations, and inquiries regarding the handling of personal information, including those related to retained personal data, please contact the Inquiry Desk below.
(5) Name of Certified Personal Information Protection Organization and Contact for Complaint Resolution
None
(6) Procedures for Disclosure, etc.
Our company will promptly respond to requests from individuals for disclosure of retained personal data (notification of purpose of use, disclosure, correction, addition or deletion of content, suspension of use, erasure, suspension of provision to third parties, and disclosure of third-party provision records). If requested, we will respond within a reasonable period and scope after confirming that the applicant is the individual or their agent.
(7) Methods and Desk for Receiving Disclosure Requests
For disclosure requests regarding retained personal data, please contact the reception desk below. Upon contact, we will send our prescribed "Retained Personal Data Disclosure Request Form" by mail, fax, or email. Please fill in the contents, enclose the necessary documents, and submit by mail or email. (Postage is borne by the requester.)
After confirming that you are the individual (or agent), we will respond using your preferred disclosure method.
(8) Measures Taken for Security Management of Personal Information
Our company strictly handles personal information based on a personal information protection policy compliant with JIS Q 15001, establishes regulations regarding personal information, and operates a personal information protection management system. We take security management measures from four perspectives: organizational, personnel, physical, and technical, to ensure appropriate handling of personal information.
Organizational Security Measures
We take necessary measures regarding the development of organizational structures, operation in accordance with rules for handling personal data, development of means to check the status of personal data handling, development of systems to respond to leakage incidents, and review of handling status and security management measures.
Personnel Security Measures
We conduct regular training for employees regarding precautions in handling personal data. We also obtain written pledges that include confidentiality obligations for personal data.
Physical Security Measures
We take necessary measures regarding the management of areas where personal data is handled, prevention of theft of equipment and electronic media, prevention of leakage when transporting electronic media, and disposal of personal data and equipment/electronic media.
Technical Security Measures
We take necessary measures regarding access control, identification and authentication of users, prevention of unauthorized external access, and prevention of leakage associated with the use of information systems.
Inquiry Desk
Desk Name: Personal Information Inquiry Desk
Desk Manager: Koki Minamoto
Address: Regus Shibuya Koen-dori Center, 1-23-14 Jinnan, Shibuya-ku, Tokyo 150-0041, Japan
Contact: info@vess.id
Established: June 17, 2025
VESS Labs, Inc.
Representative: Kantaro Fujimori
Use of Analytics Tools
To improve service quality and understand user behavior (Product-Market Fit validation), we use the following third-party analytics tools.
Google Analytics 4 (Google LLC / USA)
- IP addresses are automatically anonymized by GA4.
- Google Signals and ad personalization signals are disabled.
- We currently do not send user_id and aggregate only with anonymous client_id (cookie).
PostHog (PostHog Inc. / EU region)
- autocapture, session recording, surveys, and toolbar are disabled.
- During Closed Beta, identify() is not called and no Person profile is created.
- PostHog-side GeoIP inference (country/city/timezone) is disabled.
- Email, name, phone, DID, Verifiable Credential, OAuth tokens, and data from integrated services (Gmail / Google Calendar / Slack / JIRA / Notion / GitHub, etc.) are never transmitted.
We strip query strings (after ?) and fragments (after #) from URLs sent to both tools.
Handling of Google User Data
VESS AIdentity (the "Service") accesses Google user data through Google OAuth 2.0 when a user connects their Google account. This section discloses what Google user data the Service accesses, the purposes for which it is used, how it is stored, with whom it is shared, and our compliance with the Google API Services User Data Policy, including the Limited Use requirements.
To the extent any other section of this Privacy Policy conflicts with this "Handling of Google User Data" section with respect to Google user data, this section shall control.
(1) Google User Data Accessed by the Service
The Service only accesses Google user data within the OAuth scopes that the user has explicitly consented to. The specific scopes, the data accessed, and the purposes of use are as follows:
| OAuth Scope | Data Accessed | Purpose of Use (Feature) |
|---|---|---|
https://www.googleapis.com/auth/gmail.readonly |
Gmail message bodies, headers, attachment metadata, and labels | To allow AI agents to search, read, and categorize email messages on behalf of the user, in response to the user's explicit instructions |
https://www.googleapis.com/auth/gmail.compose |
Creation of Gmail drafts and sending of email messages | To allow AI agents to compose draft emails and send messages on behalf of the user, in response to the user's explicit instructions |
https://www.googleapis.com/auth/calendar.readonly |
Google Calendar event information (read-only) | To allow AI agents to view the user's schedule, in response to the user's explicit instructions |
https://www.googleapis.com/auth/calendar |
Google Calendar event information (view, create, update, delete) | To allow AI agents to create, modify, and delete calendar events on behalf of the user, in response to the user's explicit instructions |
The Service does not access any Google user data outside the scopes listed above. Users may revoke the Service's access at any time through the Google Account permissions page at https://myaccount.google.com/permissions.
(2) Storage and Retention of Google User Data
The Service does not persistently store Google user data such as Gmail message bodies, attachments, or calendar event contents in its databases. This data is retrieved on demand from the Google APIs in response to the user's instructions, returned to the user's AI agent, and is not retained by the Service thereafter.
However, the following limited information is stored in encrypted form to enable the Service to function:
- OAuth access tokens and refresh tokens: required to authenticate with the Google APIs. These are encrypted using AES-256-GCM, and the encryption key is managed strictly within the Service's operating environment.
- Integration metadata: the minimum information required to manage the OAuth integration, such as the Google account user ID, email address, granted scopes, and token expiration.
- Audit logs: records of which tools (actions) the user's AI agent executed, including action names, execution timestamps, and approval results. The Service does not record Gmail message bodies or calendar event contents in these audit logs.
Users may delete the stored tokens and integration metadata at any time by disconnecting the Google integration from the Service. Users may also request deletion of all stored data by contacting info@vess.id.
(3) Sharing, Transfer, and Disclosure of Google User Data
The Service handles Google user data as follows:
No Sharing with Third Parties by VESS Labs
VESS Labs does not sell, rent, or otherwise provide Google user data to advertisers, data brokers, marketing service providers, or any other third parties. VESS Labs does not use Google user data to develop, improve, or train generalized or non-personalized AI and/or machine learning models.
Third Parties That May Process Google User Data
The following third parties may process Google user data strictly to the extent necessary to operate the Service:
- Amazon Web Services, Inc. (AWS): the Service is hosted on AWS. Encrypted OAuth tokens and Google user data in transit are temporarily processed on AWS infrastructure. AWS acts as a data processor and handles data under appropriate security standards.
- User-selected MCP (Model Context Protocol) clients and AI model providers (passthrough): through the MCP protocol, the Service returns Google user data — obtained as the result of the user's explicit instructions — to the MCP client that the user has chosen to connect (for example, Claude Desktop, Cursor, or similar), and, by extension, to the AI model provider that such client uses on its backend (for example, Anthropic, OpenAI, or similar). This data flow occurs because the user has instructed their own AI agent to perform an action, and the data is delivered to the client under the user's own control. VESS Labs does not itself forward Google user data to any AI model provider. The handling of the data by the user's MCP client and its underlying AI model provider is governed by those providers' own privacy policies.
- Anthropic, PBC (for Slack Bot and Managed Agents integrations): For the Service's Slack Bot feature and Managed Agents integration, the Service may send requests to the Anthropic API on the user's behalf using the user's registered Anthropic API key, in response to user instructions. In this processing flow, Anthropic acts as a sub-processor of the Service. The Service has accepted the Anthropic Commercial Terms (which includes a GDPR Art. 28-compliant DPA), under which data sent through API requests is contractually guaranteed not to be used for training or improving Anthropic's generalized AI/machine learning models. See the Anthropic Privacy Policy for details.
Disclosure Required by Law
The Service may disclose Google user data to the extent necessary to comply with applicable laws, a valid court order, or a legitimate request from a law enforcement authority.
(4) Compliance with the Google API Services User Data Policy (Limited Use)
The Service's use of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements. Specifically, the Service:
- Limits its use of Google user data to providing or improving the user-facing features that are prominently described in this privacy policy.
- Does not use Google user data for serving advertisements, including retargeting, personalized, or interest-based advertising.
- Does not use Google user data to develop, improve, or train generalized or non-personalized AI and/or machine learning models.
- Does not allow humans, including VESS Labs personnel, to read Google user data, unless: (a) the user has given explicit consent to read specific data; (b) it is necessary for security purposes (such as investigating abuse); (c) it is required by applicable law; or (d) the data has been aggregated and anonymized so that it can no longer be used to identify individuals.
- Only transfers Google user data to third parties (a) where necessary to provide or improve user-facing features that are prominently described in this privacy policy, (b) as necessary for security purposes, or (c) to comply with applicable law.
(5) Contact
For questions about the handling of Google user data, requests to revoke access, or requests for data deletion, please contact us at:
VESS Labs, Inc.
Contact: info@vess.id
Established: April 21, 2026
Revised 2026-04-27 — Added Anthropic sub-processor disclosure
VESS Labs, Inc.
Representative: Kantaro Fujimori