CISOaaS
ログイン

プライバシーポリシー

第2版 制定日:2026年6月13日(初版)/最終改訂日:2026年6月17日

株式会社セキュアベース(以下「当社」)は、当社が提供するセキュリティ評価・リスク管理SaaSプラットフォーム「CISOaaS」(以下「本サービス」)の利用に伴い取得する個人情報の取り扱いについて、以下のとおり定めます。

1. 事業者情報

本サービスにおける個人情報の取扱事業者は、以下のとおりです。

事業者名:株式会社セキュアベース(Securebase Inc.)

所在地:東京都目黒区自由が丘1-4-10 quaeanra1966-4F

代表者:代表取締役 阿部 実洋

2. 用語の定義

  • 「個人情報」とは、個人情報の保護に関する法律(以下「個人情報保護法」)第2条第1項に定める個人情報をいいます。
  • 「個人データ」とは、個人情報保護法第16条第3項に定める個人情報データベース等を構成する個人情報をいいます。
  • 「要配慮個人情報」とは、個人情報保護法第2条第3項に定める情報をいい、本サービスで取り扱うことは原則ありません。
  • 「仮名加工情報」「匿名加工情報」とは、個人情報保護法第2条第5項および第6項にそれぞれ定める情報をいいます。

3. 取得する情報

当社は、本サービスの提供にあたり以下の情報を取得します。

  • 登録情報:氏名、メールアドレス、所属組織名、所属部署、役職、ユーザーロール
  • 認証情報:パスワード(ハッシュ化して保存)、多要素認証(TOTP)のシークレット
  • 本サービスへのアクセスログ:ログイン日時、IPアドレス、ユーザーエージェント、操作履歴
  • アセスメント回答:契約者組織のセキュリティ対策状況に関する回答内容、添付エビデンス
  • AIヒアリング履歴:チャット形式でのAIとの対話履歴、抽出された評価根拠
  • Cookie・トラッキング情報:認証セッション維持のための識別子
  • 監査ログ:データ操作・権限変更等の証跡

本サービスは、要配慮個人情報を取り扱うことを予定していません。アセスメント回答およびAIヒアリングには、要配慮個人情報その他の取扱いに特に配慮を要する情報を入力しないようお願いします。

4. 取得方法

当社は、本サービスの利用申込時、本サービスの利用過程、およびお問い合わせ等を通じて、契約者またはユーザーから直接、または契約者を経由して情報を取得します。Cookie等の自動的な情報収集技術により取得する場合もあります。

5. 利用目的

取得した情報は、以下の目的で利用します。

  • 本サービスの提供、運営、保守、障害対応
  • 本人確認、認証、不正利用の防止
  • 本サービスに関するサポート、お問い合わせへの対応
  • 本サービスの改善および新機能の開発(個人を特定しない形に統計化したうえで利用)
  • レポート・通知メールの送信
  • 契約管理、課金管理、各種事務連絡
  • 法令または公的機関からの要請に基づく対応
  • その他上記利用目的に付随する目的

6. 仮名加工情報・匿名加工情報の取り扱い

当社は、本サービスの改善および業界動向の調査・分析等の目的で、取得した個人情報を、個人を特定できないよう統計化し、または仮名加工情報もしくは匿名加工情報に加工したうえで利用することがあります。仮名加工情報・匿名加工情報を取り扱う場合、当社は個人情報保護法に定める基準に従い、識別行為の禁止、安全管理措置その他の義務を遵守します。

7. 第三者提供

当社は、以下のいずれかに該当する場合を除き、ご本人の同意なく個人データを第三者に提供しません。

  • ご本人の同意がある場合
  • 法令に基づく場合
  • 人の生命、身体または財産の保護のために必要な場合であって、ご本人の同意を得ることが困難であるとき
  • 国の機関若しくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
  • 本サービスの提供に必要な範囲で業務委託を行う場合(次条に定める委託先)

8. 業務委託先

当社は、本サービスの提供に必要な範囲で、以下の用途で外部事業者に業務を委託しています。各委託先との間で、個人情報の適切な取り扱いを義務付ける契約(データ処理契約等)を締結し、必要かつ適切な監督を行います。

  • データベース・認証基盤・ファイルストレージの提供
  • ホスティング・配信基盤の提供
  • 生成AI API の提供(※AI事業者によるモデルの再学習への利用は契約上禁止)
  • トランザクションメールの配信
  • レート制限のためのKey-Valueストアの提供
  • エラートラッキング基盤の提供(個人情報はマスキング処理)
  • クレジットカード決済処理・サブスクリプション管理・請求関連データの処理(※決済代行事業者によるカード番号等の決済情報の取扱いに限り、当社サーバーには保存しません)

具体的な委託先の名称および所在地については、契約者からの請求に応じて開示します。

9. 外国にある第三者への提供

前条の業務委託先には、米国に所在する事業者が含まれます。当社は、個人情報保護法第28条に基づき、ご本人の同意を得るか、または当該委託先が個人情報保護法令と同等水準の措置を継続的に講じていることを確認したうえで、個人データを提供します。提供先の外国の名称、当該外国の個人情報保護制度に関する情報、および委託先が講じる措置に関する情報は、ご請求に応じて提供します。

10. 安全管理措置

当社は、個人データの漏えい、滅失または毀損を防止するため、以下の安全管理措置を講じます。

  • 組織的安全管理措置:個人情報保護管理者の設置、社内規程の整備、定期的な監査
  • 人的安全管理措置:役職員への教育・研修、秘密保持義務の遵守
  • 物理的安全管理措置:データセンターへの入退館管理(業務委託先の措置に準じます)
  • 技術的安全管理措置:通信のTLS暗号化、保存データの暗号化、ロールベースアクセス制御(RBAC)、Row Level Security(RLS)によるテナント分離、多要素認証、アクセスログの記録、不正アクセス防止策

11. 漏えい等発生時の対応

当社は、個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態が発生した場合、個人情報保護法および同法に基づくガイドラインに従い、速やかに事実関係の調査、再発防止策の検討、影響を受けるおそれのある契約者・ご本人への連絡を行います。また、法令で定める要件に該当する場合には、個人情報保護委員会への報告およびご本人への通知を行います。契約者から委託を受けて取り扱う個人データについては、別途締結するデータ処理契約の定めに従って対応します。

12. 保存期間

個人データは、利用目的の達成に必要な期間に限り保存します。利用契約終了後は、契約終了日から30日を経過した時点で、契約者および契約者のユーザーを特定し得る個人情報(テナント名、ユーザー名、メールアドレス、連絡先、自由記入コメント等)を削除します。なお、当社は本人または契約者の請求があった場合、速やかに残余のデータを削除します。

利用規約に定めるとおり、アセスメントを通じて入力された回答内容およびスコア結果は、本人および契約者を特定し得る情報を取り除いたうえ、サービス品質向上および統計情報の作成のため、本人または契約者から別段の請求がない限り継続して保有することがあります。詳細は次条をご参照ください。

法令の保存義務、バックアップローテーション、紛争対応、税務処理等により合理的に必要な期間(最長で契約終了から90日以内、ただし税法上の保存期間その他法令に基づく保存期間はその限りでない)、当該データを保管することがあります。監査ログは、運用上必要な期間(原則1年間)保存します。ただし、テナントの匿名化・削除等のライフサイクル操作に関する監査ログは、運用上必要な期間(原則7年間)保存します。

13. 匿名化情報・統計情報の作成および利用

当社は、本サービスの品質向上、業界平均値の算出、サービス改善のための分析、および顧客への業界統計情報の提供のため、契約終了後または本人の同意を得た場合に、保有する個人データから本人または契約者を特定し得る情報を取り除き、復元することができない方法で加工した情報を作成し、利用することがあります。当社は当該情報を他の情報と照合する等の方法により本人を再識別することは行いません。

14. 開示等の請求

ご本人は、当社が保有する自己の個人データについて、利用目的の通知、開示(電磁的記録の提供を含む方法による開示を含みます)、内容の訂正・追加・削除、利用停止・消去、第三者提供の停止を請求することができます。また、保有個人データの利用状況等の通知を請求することができます。

請求は、本ポリシー末尾のお問い合わせ窓口までご連絡ください。請求にあたっては、ご本人またはその代理人であることを確認させていただきます。法令に基づき、開示等を行わない場合があります。

15. Cookie・類似技術の利用

本サービスは、認証セッションの維持、ユーザーの利便性向上、不正アクセス防止のためにCookieおよび類似技術を使用します。これらは、ブラウザの設定により無効化することができますが、本サービスの一部または全部の機能が利用できなくなる場合があります。本サービスは、広告配信や行動ターゲティングを目的としたCookieは使用しません。

16. 生成AIの利用に関する補足

本サービスは、外部のAI事業者が提供する大規模言語モデルをAIヒアリング、リスク分析、ROI推定、サマリー生成等に利用します。当社は、当該AI事業者との契約により、本サービスを通じてAPIに送信されたデータが当該モデルの再学習に利用されないことを担保しています。AI出力は確率的な処理結果であり、その正確性・完全性を保証するものではありません。

17. 改定

当社は、法令の変更、サービス内容の変更等に伴い、本ポリシーを改定することがあります。本ポリシーを改定する場合、当社は、変更後の内容および効力発生日を本サービス上に掲示し、または契約者に通知する方法により、効力発生日の相当期間前までに周知します。

18. お問い合わせ窓口

個人情報の取り扱いに関するお問い合わせ、開示等の請求、苦情の申出は、以下の窓口までご連絡ください。

株式会社セキュアベース 個人情報保護管理者

(コーポレートサイトの「お問い合わせ」よりご連絡ください)

対応時間:平日9時〜18時(土日祝・年末年始を除く)

改訂履歴

版数改訂日改訂内容
第2版2026年6月17日§8 業務委託先に決済代行(クレジットカード処理・サブスクリプション管理)を追加。§12 保存期間を改定し、契約終了から30日経過時点での個人特定可能データの削除、ライフサイクル操作監査ログの7年保持を明記。§13 として「匿名化情報・統計情報の作成および利用」を新設、以降の章番号を繰り下げ。
第1版(初版)2026年6月13日制定
    プライバシーポリシー | CISOaaS | CISOaaS