プライバシーポリシー

株式会社セキュアベース（以下「当社」）は、当社が提供するセキュリティ評価・リスク管理SaaSプラットフォーム「CISOaaS」（以下「本サービス」）の利用に伴い取得する個人情報の取り扱いについて、以下のとおり定めます。

1. 用語の定義

• 「個人情報」とは、個人情報の保護に関する法律（以下「個人情報保護法」）第2条第1項に定める個人情報をいいます。
• 「個人データ」とは、個人情報保護法第16条第3項に定める個人情報データベース等を構成する個人情報をいいます。
• 「要配慮個人情報」とは、個人情報保護法第2条第3項に定める情報をいい、本サービスで取り扱うことは原則ありません。

2. 取得する情報

当社は、本サービスの提供にあたり以下の情報を取得します。

• 登録情報：氏名、メールアドレス、所属組織名、所属部署、役職、ユーザーロール
• 認証情報：パスワード（ハッシュ化して保存）、多要素認証（TOTP）のシークレット
• 本サービスへのアクセスログ：ログイン日時、IPアドレス、ユーザーエージェント、操作履歴
• アセスメント回答：契約者組織のセキュリティ対策状況に関する回答内容、添付エビデンス
• AIヒアリング履歴：チャット形式でのAIとの対話履歴、抽出された評価根拠
• Cookie・トラッキング情報：認証セッション維持のための識別子
• 監査ログ：データ操作・権限変更等の証跡

3. 取得方法

当社は、本サービスの利用申込時、本サービスの利用過程、およびお問い合わせ等を通じて、契約者またはユーザーから直接、または契約者を経由して情報を取得します。Cookie等の自動的な情報収集技術により取得する場合もあります。

4. 利用目的

取得した情報は、以下の目的で利用します。

• 本サービスの提供、運営、保守、障害対応
• 本人確認、認証、不正利用の防止
• 本サービスに関するサポート、お問い合わせへの対応
• 本サービスの改善および新機能の開発（個人を特定しない形に統計化したうえで利用）
• レポート・通知メールの送信
• 契約管理、課金管理、各種事務連絡
• 法令または公的機関からの要請に基づく対応
• その他上記利用目的に付随する目的

5. 第三者提供

当社は、以下のいずれかに該当する場合を除き、ご本人の同意なく個人データを第三者に提供しません。

• ご本人の同意がある場合
• 法令に基づく場合
• 人の生命、身体または財産の保護のために必要な場合であって、ご本人の同意を得ることが困難であるとき
• 国の機関若しくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
• 本サービスの提供に必要な範囲で業務委託を行う場合（次項に定める委託先）

6. 業務委託先

当社は、本サービスの提供に必要な範囲で、以下の事業者に業務を委託しています。各委託先との間で、個人情報の適切な取り扱いを義務付ける契約を締結しています。

• Supabase Inc.（米国）：データベース・認証基盤の提供
• Vercel Inc.（米国）：ホスティング・配信基盤の提供
• Anthropic, PBC（米国）：生成AI（Claude）API の提供（※AI事業者によるモデル再学習への利用は契約上禁止）
• Resend, Inc.（米国）：トランザクションメール配信
• Functional Software, Inc.（Sentry、米国）：エラートラッキング
• Upstash, Inc.（米国）：レート制限のためのKey-Valueストア

7. 外国にある第三者への提供

前条の業務委託先には、米国に所在する事業者が含まれます。当社は、個人情報保護法第28条に基づき、ご本人の同意を得るか、または当該委託先が個人情報保護法令と同等水準の措置を継続的に講じていることを確認したうえで、個人データを提供します。提供国の制度に関する情報は、ご請求に応じて提供します。

8. 安全管理措置

当社は、個人データの漏洩、滅失または毀損を防止するため、以下の安全管理措置を講じます。

• 組織的安全管理措置：個人情報保護管理者の設置、社内規程の整備、定期的な監査
• 人的安全管理措置：役職員への教育・研修、秘密保持義務の遵守
• 物理的安全管理措置：データセンターへの入退館管理（業務委託先の措置に準じます）
• 技術的安全管理措置：通信のTLS暗号化、保存データの暗号化、ロールベースアクセス制御（RBAC）、Row Level Security（RLS）によるテナント分離、多要素認証、アクセスログの記録、不正アクセス防止策

9. 保存期間

個人データは、利用目的の達成に必要な期間に限り保存します。利用契約終了後は、契約書または個別合意に定める期間（原則として契約終了から90日以内）に、契約者コンテンツを削除します。ただし、法令の保存義務、バックアップローテーション、紛争対応、税務処理等により合理的に必要な期間は保管することがあります。監査ログは、運用上必要な期間（原則1年間）保存します。

10. 開示等の請求

ご本人は、当社が保有する自己の個人データについて、利用目的の通知、開示、内容の訂正・追加・削除、利用停止・消去、第三者提供の停止を請求することができます。また、保有個人データの利用状況等の通知を請求することができます。

請求は、本ポリシー末尾のお問い合わせ窓口までご連絡ください。請求にあたっては、ご本人またはその代理人であることを確認させていただきます。法令に基づき、開示等を行わない場合があります。

11. Cookie・類似技術の利用

本サービスは、認証セッションの維持、ユーザーの利便性向上、不正アクセス防止のためにCookieおよび類似技術を使用します。これらは、ブラウザの設定により無効化することができますが、本サービスの一部または全部の機能が利用できなくなる場合があります。

12. 生成AIの利用に関する補足

本サービスは、Anthropic, PBC が提供する大規模言語モデル「Claude」をAIヒアリング、リスク分析、ROI推定、サマリー生成等に利用します。当社は、Anthropicとの契約により、本サービスを通じてAPIに送信されたデータが当該モデルの再学習に利用されないことを担保しています。AI出力は確率的な処理結果であり、その正確性・完全性を保証するものではありません。

13. 改定

当社は、法令の変更、サービス内容の変更等に伴い、本ポリシーを改定することがあります。重要な変更を行う場合、当社は変更内容および効力発生日を本サービス上に掲示し、または契約者に通知します。

14. お問い合わせ窓口

個人情報の取り扱いに関するお問い合わせ、開示等の請求は、以下の窓口までご連絡ください。