1. 事業者情報
合同会社 OBFall(以下「当社」)は、クラウド型 Web 脆弱性管理サービス「OBFall」(以下「本サービス」)の運営にあたり、利用者の個人情報の保護を重要な責務と認識し、本ポリシーに従って取り扱います。
プライバシーポリシー
最終更新日: 2026 年 5 月 4 日(雛形 / 弁護士レビュー前)
2. 取得する情報
本サービスは、契約・運用に必要な範囲で以下の情報を取得します。
- 契約者情報: 企業名、ご担当者名、メールアドレス、電話番号、住所
- アカウント情報: 認証用メールアドレス、パスワードハッシュ、ロール、最終ログイン日時
- 診断対象情報: 利用者が登録した URL、サブドメイン、対象範囲の説明
- 診断・改善関連情報: 診断結果、脆弱性情報、改善タスクのコメント、再診断結果
- 証跡データ: 診断時に取得したスクリーンショット・通信ログ等
- 請求関連情報: 決済代行事業者から受領する取引識別子、支払ステータス
- アクセスログ: 操作履歴、IP アドレス、ユーザーエージェント
3. 利用目的
- 本サービスの提供・運用・改善
- 契約管理・利用料金の請求・収納
- 本人確認、お問い合わせ対応、契約内容の通知
- 不正利用の検知・防止、セキュリティ監査の実施
- 法令に基づく対応、ならびにこれらに付随する業務
4. 第三者提供 / 委託先
本サービスの運営にあたり、以下の事業者を業務委託先・処理基盤として利用しています。各事業者は当社との契約および各社のプライバシーポリシーに従って情報を取り扱います。
| 事業者 | 用途 | 所在国 |
|---|---|---|
| Google LLC (Firebase Authentication) | 利用者の認証基盤 | 米国 |
| Vercel Inc. | フロントエンドホスティング・CDN | 米国 |
| Railway Corp. | バックエンド API・データベースの実行基盤 | 米国 |
| Cloudflare, Inc. (R2 / WAF / CDN) | 証跡画像・PDF レポート等の保存、配信前段 | 米国 |
| Anthropic PBC | 脆弱性所見・サマリードラフトの生成補助(Claude API) | 米国 |
| 株式会社 DEGICA (KOMOJU) | 決済代行(クレカ・銀行振込・コンビニ・Pay-easy) | 日本 |
| Resend, Inc. | 取引メール配信 | 米国 |
上記の一部は外国にある第三者であり、個人情報の保護に関する法律第 28 条に基づき、本ポリシーへの同意をもって越境移転に同意いただいたものとして取り扱います。
5. 安全管理措置
- すべての通信を TLS により暗号化します。
- 診断結果・証跡データはアクセス制御・監査ログにより管理します。
- 管理ポータルへのアクセスは IP 制限・多要素認証(MFA)を必須とします。
- 従業員に対し、機密保持義務および情報取扱研修を実施します。
6. 保存期間
個人情報および診断関連データは、契約期間中および契約終了後 1 年間保存します。 その後は当社の判断により安全に削除または匿名化処理を行います。
7. 開示・訂正・利用停止等の請求
利用者ご本人またはその代理人は、保有個人データの開示・訂正・追加・削除・利用停止等を当社に請求できます。 ご請求は本ポリシー末尾の問い合わせ窓口までご連絡ください。
8. Cookie・解析ツール
本サービスでは、ログイン状態の維持およびサービス利用状況の把握のために Cookie および同等の技術を使用する場合があります。 利用者はブラウザの設定により、Cookie の利用を制限することが可能です。
9. ポリシーの改定
当社は、関連法令の改正、本サービスの内容変更等に応じて本ポリシーを改定する場合があります。 重要な変更を行う場合は、本サービスの管理画面または当社 Web サイト上で事前に告知します。
10. お問い合わせ窓口
合同会社 OBFall プライバシー担当
メール: obfall.dev@gmail.com
※ 本ページは現時点でのドラフトであり、正式版は法務確認後に差し替えられます。