プライバシーポリシー - SaaS/プラグインストア
本補足は、Ribbit AppDevelopment(以下「当方」といいます。)が提供する SaaS 形式のウェブアプリケーションおよび有料 kintone プラグインの販売・配布を行うプラグインストア(以下、総称して「本サービス」といいます。)における個人情報の取扱いについて、共通プライバシーポリシーを補完するものとして定めます。
本補足に定めのない事項は共通プライバシーポリシーの定めに従い、両者に齟齬がある場合は本補足の定めが優先します。
第 1 条(本補足の適用対象)
本補足は、次のサービスを利用するユーザーに適用されます。
- 当方が SaaS として提供するウェブアプリケーション
- 当方が運営する有料 kintone プラグインの販売・ライセンス管理を行うプラグインストア
なお、kintone プラグイン本体の動作中におけるデータの取扱いについては、別途定める「プライバシーポリシー(kintone プラグイン向け補足)」が適用されます。
第 2 条(取得する個人情報の項目)
当方は、本サービスの提供にあたり、以下の情報を取得します。
1. アカウント情報
- メールアドレス
- 表示名(ユーザー名)
- 認証プロバイダから提供されるプロフィール情報(プロバイダ ID、アイコン画像 URL 等)
- パスワード(当方サーバーでは平文で保持せず、認証基盤事業者がハッシュ化して保管)
2. 認証・セッション情報
- ログイン日時、ログイン元 IP アドレス、ユーザーエージェント
- セッショントークン、リフレッシュトークン
- 多要素認証に関する情報(利用する場合)
3. 契約・課金情報
- 契約プラン、契約開始日、更新日、解約日
- 請求履歴、支払金額、支払通貨、支払ステータス
- 請求先情報(請求書発行に必要な範囲の事業者名・住所等)
- クレジットカード番号、有効期限、セキュリティコード等の決済情報は当方サーバーでは取得・保持せず、決済代行事業者である Stripe のシステムへ直接送信され、同社が PCI DSS に準拠して管理します。
4. 利用ログ
- 操作履歴、API リクエストログ、エラーログ
- 機能利用状況、最終アクセス日時
- 障害解析・不正利用検知に必要な範囲のメタデータ
5. お問い合わせ情報
- お問い合わせ時にユーザーが入力した氏名、メールアドレス、お問い合わせ内容
6. 有料プラグインに関する情報
- ライセンスキー、ライセンス紐付け先のドメイン情報
- プラグイン稼働状況の確認に必要な範囲のメタデータ
第 3 条(利用目的)
当方は、第 2 条で取得した情報を、共通プライバシーポリシー第 4 条に定める利用目的に加え、次の目的のために利用します。
- 本サービスのアカウント発行、認証およびアクセス制御
- 契約の締結、課金処理、請求書・領収書の発行および契約管理
- プラン変更、解約、返金等の手続対応
- ライセンスの発行、有効性確認および不正利用の検知
- 障害調査、セキュリティ監視および不正アクセスへの対応
- サービス品質改善のための統計分析(個人を識別しない形での集計を含む)
- 重要なお知らせ、メンテナンス情報、規約・ポリシー変更等の通知
- ユーザーが希望される場合における新機能・新サービスの案内
第 4 条(外部委託先および第三者提供先)
当方は、本サービスの提供にあたり、以下の外部事業者を利用します。これらの事業者には、利用目的の達成に必要な範囲で個人データの取扱いを委託し、または個人データを提供することがあります。
1. インフラ・ホスティング
| 委託先 | 所在国 | 委託内容 |
|---|---|---|
| Cloudflare, Inc. | 米国 | CDN、DNS、WAF、エッジ実行環境、オブジェクトストレージ等 |
| Vercel Inc. | 米国 | アプリケーションホスティング、ビルド/デプロイ、エッジ配信 |
2. 認証基盤
当方は、以下のいずれかまたは複数の認証基盤を利用してアカウント認証を行います。
| 委託先 | 所在国 | 委託内容 |
|---|---|---|
| Clerk, Inc. | 米国 | ユーザー認証、セッション管理、多要素認証、パスワードのハッシュ管理 |
| NextAuth.js(Auth.js)を用いた認証 | — | OSS ライブラリであり、認証情報は当方が管理するインフラ(Cloudflare、Vercel 等)上で処理されます。外部 ID プロバイダ(Google、GitHub 等)を利用する場合、当該プロバイダが提供する範囲のプロフィール情報を取得します。 |
3. 決済処理
| 委託先 | 所在国 | 委託内容 |
|---|---|---|
| Stripe Payments Japan 株式会社/Stripe, Inc. | 日本/米国 | クレジットカード決済処理、サブスクリプション管理、請求書発行、不正利用検知 |
クレジットカード情報は、ユーザーのブラウザから Stripe のシステムへ直接送信される方式(Stripe Elements/Checkout)を採用しており、当方サーバーを経由しません。
4. その他
当方は、本サービスの運営に必要な範囲で、メール配信、エラーログ収集、アクセス解析等の事業者を利用することがあります。利用する事業者を変更・追加した場合は、本補足を改定し本ウェブサイト上で公表します。
第 5 条(外国にある第三者への提供に関する情報)
第 4 条に記載のとおり、当方は米国を含む外国にある第三者に対し、個人データの取扱いを委託または提供する場合があります。これらの提供に関する個人情報保護法上の情報は次のとおりです。
- 提供先の所在国:米国(Cloudflare, Vercel, Clerk, Stripe, Inc. 等)。Stripe については日本法人(Stripe Payments Japan 株式会社)が国内における契約主体となる場合があります。
- 当該国における個人情報の保護に関する制度:米国には個人情報保護に関する包括的な連邦法は存在せず、州法(カリフォルニア州 CCPA/CPRA 等)および分野別の連邦法により規律されています。詳細は、個人情報保護委員会が公表する各国制度の調査資料をご参照ください。
- 提供先が講じている個人情報保護のための措置:上記事業者は、いずれも国際的に通用する標準契約条項(SCC)または同等の契約上の保護措置、暗号化、アクセス制御、SOC 2/ISO 27001 等のセキュリティ認証取得など、適切な安全管理措置を講じていることを各社の公表情報により確認しています。
各事業者のプライバシーに関する詳細は、以下をご参照ください。
第 6 条(Cookie および類似技術の利用)
本サービスでは、認証セッションの維持、不正アクセス防止、利用状況の分析等を目的として、Cookie、ローカルストレージおよびこれらに類する技術を使用します。
- 認証 Cookie はサービス提供に不可欠であり、無効化された場合は本サービスの主要機能をご利用いただけません。
- 分析用途の Cookie については、ブラウザの設定により受け入れを拒否することができます。
第 7 条(保有期間および削除)
| 情報の種類 | 保有期間 |
|---|---|
| アカウント情報 | アカウント有効期間中。退会から一定期間経過後に削除または匿名化します。 |
| 認証・セッション情報 | セッション有効期間中。失効後は速やかに無効化されます。 |
| 課金・請求情報 | 法令(法人税法、消費税法、電子帳簿保存法等)に基づき、取引の記録として原則 7 年間保存します。 |
| 利用ログ・エラーログ | 障害解析および不正利用検知に必要な範囲で、原則として最長 1 年間保有します。 |
| お問い合わせ履歴 | 対応完了後、問い合わせ品質改善のため一定期間保有します。 |
退会または契約終了後も、法令上の保存義務、紛争対応、不正利用の再発防止に必要な範囲で、上記期間にわたり情報を保有することがあります。
第 8 条(退会および削除請求)
- ユーザーは、本サービス上の所定の手続またはお問い合わせ窓口を通じて、いつでもアカウントの退会を申し出ることができます。
- 退会後、当方は第 7 条の保有期間の定めに従い、合理的な期間内に個人データを削除または匿名化します。
- 法令上の保存義務がある情報、および請求済みまたは係争中の取引に関する情報は、当該義務または対応の終了後に削除します。
第 9 条(事業者間取引における取扱い)
本サービスは BtoB を主たる利用形態として想定しています。法人または個人事業主であるお客様との取引に伴い、お客様の従業員、取引先その他の個人に関する情報を当方が取り扱う場合は、お客様(契約者)が定めるプライバシーポリシーおよび関連法令に従い、適切に取り扱うものとします。必要に応じて、別途データ処理に関する合意書を締結することができます。
第 10 条(本補足の改定)
本補足の改定手続については、共通プライバシーポリシー第 16 条の定めを準用します。利用する外部事業者の追加・変更があった場合には、速やかに本補足を更新し本ウェブサイト上で公表します。
Ribbit AppDevelopment