プライバシーポリシー

インパクトM株式会社(以下「当社」といいます。)は、当社が提供するWebサーバー・セキュリティ監視サービス「Scanroll」(以下「本サービス」といいます。)における個人情報の取扱いについて、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)その他関連する法令等を遵守し、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます。)を定めます。

第1条(基本方針)

当社は、本サービスを提供するにあたり、顧客および本サービスを利用する個人(以下総称して「利用者」といいます。)の個人情報を適切に取得、利用、管理することを最重要の責務の一つと認識し、安全管理措置を講じ、適正な取扱いに努めます。

第2条(取得する情報)

当社は、本サービスの提供に関連して、次に掲げる情報を取得します。このうち、特定の個人を識別できるものは個人情報に該当し、本ポリシーに従い取り扱います。

  1. 契約者情報
    1. ユーザーID(当社が発行または顧客が設定するもの)
    2. パスワード(当社はハッシュ化して保存し、平文では保持しません)
    3. 会社名・屋号
    4. 担当者氏名
    5. メールアドレス(管理者、各種通知先、請求先等。複数登録可)
    6. 携帯電話番号(本人確認、不正利用防止、重要連絡に利用。決済サービスによっては必須)
  2. 技術情報
    1. 対象サーバーのIPアドレスおよびホスト名
    2. 本規約およびプライバシーポリシー同意時点のアクセス元IPアドレス、タイムスタンプ、ユーザーエージェント、ならびに同意対象である本規約およびプライバシーポリシーのバージョン情報(以下「同意記録」といいます。)
    3. ダッシュボードへのアクセスログ、ログイン履歴
  3. 本サービスの提供に関連して取得する情報
    1. 対象サーバーのWebアクセスログ、認証ログ、システムログ
    2. 対象サーバー上のファイル情報(マルウェア判定・改ざん検知のため)
    3. 遮断対象となった攻撃元IPアドレス
    4. 監視結果・検知イベント・アラート履歴
  4. 決済関連情報
    1. Stripeが発行する決済識別子(クレジットカード番号・有効期限・セキュリティコードは当社では取得・保持しません)
    2. 請求額、決済履歴、入金状況
  5. 問い合わせ対応により取得する情報
    1. 問い合わせ内容、送受信したメール、電話応対記録
  6. 無料セキュリティ診断のお申込みにより取得する情報
    1. 診断対象URL(ドメインまたはIPアドレス)
    2. 診断結果の送付先メールアドレス

当社ウェブサイトでご提供する無料セキュリティ診断では、診断対象URLおよびメールアドレスをお預かりし、診断結果をメールでお届けします。診断結果送信後、当該メールアドレスは、統計目的、問い合わせ対応および当社からの関連情報のご案内(お客様の同意がある場合に限る)以外の目的では利用しません。

第3条(利用目的)

当社は、取得した個人情報を、次の目的の範囲内で利用します。

  1. 本サービスの提供、運用および品質維持
  2. 顧客のアカウント管理および本人確認
  3. 料金の請求、収納、未払管理
  4. 監視結果、検知イベントおよびアラートの顧客への通知
  5. セキュリティログの分析、脅威の検知、インシデント対応
  6. 問い合わせ対応および顧客サポート
  7. 不正利用・不正アクセスの検知、防止および対応
  8. 本サービスの改善、改良および新機能の開発に向けた統計的分析
  9. 法令に基づく対応(税務・会計上の記録保持、当局からの照会対応等)
  10. 契約成立および本規約・プライバシーポリシーへの同意に関する証跡の作成および保管
  11. 当社からの重要なお知らせ、運用変更、メンテナンス連絡の送信
  12. 当社の別サービスまたは関連サービスに関するご案内(利用者の同意がある場合に限る)

第4条(アクセスログ等の個人関連情報)

  1. 当社は、本サービスの提供を通じて、対象サーバーのWebアクセスログ、認証ログ、システムログおよび検知イベントを取得します。これらのログには、訪問者のIPアドレス等の個人関連情報が含まれる場合があります。
  2. 当社は、前項のログ情報を、第三者に提供しません。当社は、これらの情報を次の目的に限り利用します。
    1. 顧客からの委託に基づく脅威検知、アラート生成および復旧判断
    2. 当社における本サービスの改善、改良および品質向上のための分析(仮名化または統計処理を施した上で利用します)
  3. 当社は、ログ情報を広告配信、プロファイリングその他顧客の委託範囲を超える目的で利用しません。

第5条(AI分析のための第三者サービス利用)

  1. 当社は、検知イベントの分析および顧客向けレポート生成のため、第三者が提供するAIサービスを利用します。
  2. AIサービスへのデータ送信にあたり、当社は個人を直接識別し得る情報(氏名、メールアドレス、電話番号等)をマスキングしたうえで送信します。対象サーバーのIPアドレス、攻撃元IPアドレスおよびログの一部が送信される場合があります。
  3. 当社が利用するAIサービスでは、送信されたデータがAI事業者のモデル学習には使用されない契約条件となっています。
  4. AIサービス事業者の名称、所在国、目的、基準適合体制その他の詳細は、本ポリシー第7条(外国にある第三者への提供)をご参照ください。

第6条(決済委託先(Stripe)の利用)

  1. 本サービスの決済にあたり、当社はStripe, Inc.に決済処理を委託します。
  2. クレジットカード情報(カード番号、有効期限、セキュリティコード)は、利用者のブラウザからStripeに対して直接送信され、Stripeのみが取得・管理します。当社はクレジットカード情報を取得・保持しません。
  3. Stripeの所在国、目的、基準適合体制その他の詳細は、本ポリシー第7条(外国にある第三者への提供)をご参照ください。Stripeのプライバシーに関する取扱いの詳細は、Stripeのプライバシーポリシー(https://stripe.com/jp/privacy)をご参照ください。

第7条(外国にある第三者への提供)

  1. 当社は、個人情報保護法第28条の規定に基づき、外国にある第三者への個人データの提供について、以下のとおり開示します。本表は、当社が利用する外国委託先に関する情報の一元的な開示として位置付けられ、本ポリシー第5条(AI分析)、第6条(Stripe)および第10条(業務委託)の詳細はいずれも本条を参照するものとします。
  2. 提供先および提供国
    1. Stripe, Inc.(米国)
      • 目的:クレジットカード決済処理の委託(本サービス全般)
      • 基準適合体制:Stripeとの間でDPA(データ処理契約)および標準契約条項等に基づく契約を締結し、適切な安全管理措置・目的外利用の禁止・再委託の制限・監査権の確保等を確保しています。
      • カード情報/モデル学習等の扱い:カード情報(番号・有効期限・セキュリティコード)はStripeのみが取得・管理し、当社は取得・保持しません。決済識別子(顧客ID・サブスクリプションID・決済ステータス等)のみ取得します。Stripe側の取引履歴は、会計・税務・不正検知目的でStripeのポリシーおよび米国法令に基づき引き続き保持されることがあります。
      • プライバシーポリシー:https://stripe.com/jp/privacy
    2. Anthropic, PBC(米国)
      • 目的:検知イベント分析・顧客向けレポート生成のためのAI処理(Claude API)
      • 基準適合体制:Anthropicとの間でAPI利用契約(DPA含む)を締結し、適切な安全管理措置・目的外利用の禁止・再委託の制限を確保しています。
      • カード情報/モデル学習等の扱い:送信データはAnthropic社のモデル学習に使用されない契約条件です。送信前に氏名・メールアドレス・電話番号等の個人直接識別情報はマスキング処理を行います。
      • プライバシーポリシー:https://www.anthropic.com/legal/privacy
  3. 当該外国における個人情報保護制度については、個人情報保護委員会が公表する資料をご参照ください。米国にはGDPR・個人情報保護法に相当する包括的な個人情報保護法は連邦レベルでは存在しませんが、両委託先所在地のカリフォルニア州ではCCPA/CPRA等の州法による保護があり、当社は両国の法制度を考慮した適切な体制を整備しています。
  4. 利用者は、本ポリシー第16条に定める窓口に対し、提供先における個人情報の取扱いに関する情報の提供を求めることができます。

第8条(第三者提供)

当社は、次の各号に該当する場合を除き、個人情報を第三者に提供しません。

  1. 利用者の同意がある場合
  2. 法令に基づく場合
  3. 人の生命、身体または財産の保護のために必要がある場合であって、利用者の同意を得ることが困難であるとき
  4. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
  5. 合併その他の事由による事業の承継に伴って個人情報が提供される場合
  6. 第10条に定める委託先に必要な範囲で提供する場合

第9条(共同利用および要配慮個人情報の取扱い)

  1. 共同利用について:当社は、個人情報を第三者との共同利用として取り扱うことはありません。
  2. 要配慮個人情報について:当社は、本サービスの提供にあたり、要配慮個人情報(個人情報保護法第2条第3項に定める情報)の取得を予定していません。利用者は、本サービスの利用にあたり、要配慮個人情報を当社に提供しないようご注意ください。

第10条(業務委託)

  1. 当社は、利用目的の達成に必要な範囲で、個人情報の取扱いの全部または一部を第三者に委託することがあります。
  2. 委託先のカテゴリは次のとおりです:クラウドインフラ事業者、メール配信事業者、決済代行事業者、請求書発行事業者、AI分析サービス事業者等。外国にある委託先(Stripe・Anthropic等)の具体的な所在国・目的・基準適合体制・データ取扱条件については、本ポリシー第7条(外国にある第三者への提供)をご参照ください。
  3. 国内の主要委託先としては、クラウドインフラ事業者、メール配信事業者等を利用しています。
  4. 当社は、委託先に対し、個人情報の適切な取扱いに関する契約を締結し、必要かつ適切な監督を行います。

第11条(データ保持期間および削除)

  1. 当社は、利用目的の達成に必要な範囲で、個人情報を保持します。
  2. 契約終了後のデータの取扱いは次のとおりです。
    1. 個人識別情報(氏名、メールアドレス、電話番号、会社名等):契約終了日から90日経過後に削除または匿名化します。
    2. 仮名化した契約・決済記録(ユーザーハッシュ値、契約開始日、契約終了日、総請求額、プランID等):会計法・税法その他関連法令上の保存義務に対応するため、契約終了日から7年間保持します。
    3. ユーザーハッシュ値は、ユーザーIDに対してSHA-256等の一方向ハッシュ関数およびペッパー(サーバー秘密情報)を適用して生成され、個人を再特定できない形で保存されます。ペッパーは環境変数等により適切に管理します。
    4. 同意記録(本規約およびプライバシーポリシーへの同意日時、IPアドレス、ユーザーエージェント、文面バージョン情報):契約終了日から90日経過後に削除または匿名化します。
  3. ログ情報(Webアクセスログ、認証ログ等)は、脅威検知・分析・監査目的に必要な範囲で保持し、当社が定める保持期間経過後に削除します。
  4. 法令により保存が義務付けられている情報は、当該法令の定める期間保持します。
  5. 当社が利用規約第17条に基づき本サービスの全部または一部を終了する場合、当社が保有する顧客の個人情報(個人識別情報・同意記録等)は、サービス終了日から30日経過後に削除されます。Stripe, Inc.に保管委託している仮名化された契約・決済記録は、税法上の保存義務に従い同社にて引き続き保持されます。

第12条(安全管理措置および外的環境の把握)

当社は、取得した個人情報を安全に管理するため、次の安全管理措置を講じます。

  1. 組織的安全管理措置:個人情報保護責任者の設置、内部規程の整備、定期的な監査
  2. 人的安全管理措置:従業員に対する教育・研修、秘密保持義務の徹底
  3. 物理的安全管理措置:サーバールーム・執務室への入退室管理
  4. 技術的安全管理措置:アクセス権限管理、通信経路の暗号化(TLS)、保存データの暗号化またはハッシュ化、多要素認証、ログ監査
  5. 外的環境の把握:外国にある第三者に個人データの取扱いを委託する場合、当該外国の個人情報保護制度等を把握した上で、必要かつ適切な措置を実施します。現在、米国(Stripe, Inc.およびAnthropic, PBC)に個人データの取扱いを委託しており、両国の法制度を考慮した適切な体制を整備しています。具体的な委託先・委託内容・基準適合体制は本ポリシー第7条(外国にある第三者への提供)をご参照ください。

第13条(インシデント発生時の通知)

  1. 当社は、個人情報または顧客データについて不正アクセス、漏えい、滅失、毀損その他の事故が発生し、または発生のおそれを知った場合、速やかに顧客に通知するとともに、合理的な範囲で調査・是正措置に協力します。
  2. 当社は、個人情報保護法第26条その他の関連法令に基づき、重大事案については個人情報保護委員会への報告(速報:事案を知った時から概ね3〜5日以内、確報:原則30日以内(不正アクセス等故意によるものは60日以内))および本人通知を、所定の期間内に実施します。
  3. 前項の通知・報告に必要な情報の提供および調査への協力について、顧客は当社に対し合理的な範囲で協力するものとします。

第14条(Cookieおよび類似技術)

  1. 当社は、ダッシュボードおよび当社Webサイトにおいて、利便性向上およびセッション管理のためCookieおよび類似技術を使用することがあります。
  2. 当社は、利用者の明示的な同意がある場合を除き、広告・マーケティング目的のサードパーティCookieを使用しません。
  3. 利用者はブラウザ設定によりCookieを無効化することができますが、その場合、本サービスの一部機能が利用できない可能性があります。

第15条(開示・訂正・削除・利用停止請求)

  1. 利用者は、当社に対し、自己の個人情報について、個人情報保護法に基づき、利用目的の通知、開示、訂正、追加、削除、利用停止、消去または第三者提供の停止(以下「開示等」といいます。)を請求することができます。
  2. 開示等の請求は、本ポリシー第16条に定める窓口にお申し出ください。
  3. 当社は、請求者が利用者本人であることを確認のうえ、法令に基づき、合理的な期間内および範囲内において対応します。
  4. 法令により当社が保存義務を負う情報については、削除等の請求に応じられない場合があります。この場合、当社はその理由を通知します。

第16条(お問い合わせ窓口)

本ポリシーおよび個人情報の取扱いに関するお問い合わせは、下記窓口までご連絡ください。

  • 事業者名:インパクトM株式会社
  • 個人情報保護責任者:当社個人情報管理責任者
  • 所在地:当社本社
  • お問い合わせ先:当社Webサイトの問い合わせフォーム(/contact.html)
  • 受付時間:9:30〜17:00(12:00〜13:00の間を除く)月〜金曜日(年末年始、祝祭日を除く)

第17条(本ポリシーの改定)

  1. 当社は、法令の改正、事業内容の変更その他必要があると判断した場合、本ポリシーを改定することがあります。
  2. 改定後の本ポリシーは、当社Webサイトに掲示した時点で効力を生じます。ただし、利用者にとって重要な変更がある場合は、ダッシュボードまたは登録メールアドレスへの通知により個別に周知します。

最終改訂日:2026年5月28日
インパクトM株式会社