プライバシーポリシー

SonaeToc（以下「本サービス」といいます）は、ユーザーのプライバシーを尊重し、個人情報の保護に努めます。本プライバシーポリシー（以下「本ポリシー」といいます）は、本サービスにおける個人情報の取り扱いについて定めるものです。

本サービスの運営者（以下「運営者」といいます）の情報は以下のとおりです。

• 事業者名: [事業者名を記載]
• 所在地: [所在地を記載]
• 代表者: [代表者名を記載]

2.1 ユーザーが提供する情報

• アカウント登録時の情報（メールアドレス、表示名）
• Google アカウント連携時の情報（名前、メールアドレス、プロフィール画像URL）
• テナント設定情報（テナント名、通知設定）
• お問い合わせ時に提供される情報

2.2 サービス利用時に自動的に収集する情報

• 監視対象として登録されたURL情報
• 監視実行結果（スクリーンショット画像、レスポンスタイム、ステータスコード）
• モーションチェック結果（操作録画動画、フレーム差分データ）
• クロール結果（サイト構造情報、ページメタデータ）
• サービスの利用ログ（アクセス日時、操作履歴）

2.3 監視対象サイトの認証情報

認証が必要なサイトのビジュアル監視・ヘルスチェック・サイトチェックにおいて、ユーザーが任意で入力したサイトのログイン情報（ID・パスワード等）を収集する場合があります。これらの認証情報は AES-256-GCM 方式で暗号化した上で保存され、監視実行時のログイン処理にのみ使用されます。

2.4 Cookie およびアナリティクス

本サービスでは、Firebase Authentication によるセッション管理のために Cookie を使用します。また、サービス改善のために Google Analytics（GA4）を利用し、匿名化されたアクセス情報を収集する場合があります。Google Analytics による情報収集を希望されない場合は、Google Analytics オプトアウト アドオンをインストールするか、ブラウザの Cookie 設定により拒否することができます。

収集した情報は、以下の目的で利用します。

• 本サービスの提供、運営、維持
• ユーザー認証およびアカウント管理
• 監視機能の実行（スクリーンショット撮影、ヘルスチェック、サイトクロール、モーションチェック）
• 監視結果の通知（メール、Slack、Webhook）
• サービスの改善および新機能の開発
• ユーザーからのお問い合わせへの対応
• 利用規約に違反する行為への対応
• サービスの利用状況の分析（アクセス解析）

4.1 保存場所

ユーザーデータは Google Cloud Platform（Firebase）上に保存されます。本サービスでは、データの保存先として主に東京リージョン（asia-northeast1）を使用しています。ただし、Firebase Authentication 等の一部サービスにおいて、Google が運営する海外のデータセンターでデータが処理される場合があります。Google は EU-US Data Privacy Framework 等の適切な保護措置を講じています。

4.2 アクセス制御

スクリーンショット画像および録画動画は Cloud Storage for Firebase に保存され、Firestore セキュリティルールにより、テナントに属するユーザーのみがアクセスできます。

4.3 データ保持期間

監視結果データは、ご利用プランに応じた期間の経過後に自動的に削除されます（Firestore TTL による自動削除）。

• Free プラン: 7日間
• Pro プラン: 30日間
• Enterprise プラン: 90日間

アカウント情報は、ユーザーが退会するまで保持されます。退会後は、合理的な期間内にすべての個人情報を削除します。

4.4 パスワード管理

パスワードは Firebase Authentication により安全にハッシュ化されて保存されます。運営者がパスワードの平文を閲覧・取得することはできません。

運営者は、以下の場合を除き、ユーザーの個人情報を第三者に提供しません。

• ユーザーの同意がある場合
• 法令に基づく開示請求があった場合
• 人の生命、身体または財産の保護のために必要な場合
• 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合
• 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに協力する必要がある場合
• 本サービスの運営に必要な範囲で業務委託先に提供する場合（第6条に定める外部サービスを含み、適切な管理体制の下で提供します）

本サービスでは、以下の外部サービスを利用しています。各サービスにおける個人情報の取り扱いについては、それぞれのプライバシーポリシーをご確認ください。

• Google Cloud Platform / Firebase（データ保存、認証、ホスティング、サーバーレス実行基盤）
• Google Analytics（GA4）（アクセス解析）
• Resend（メール通知送信）
• Slack（ユーザーが設定した Webhook を通じた通知送信）

なお、ユーザーが汎用 Webhook 通知を設定した場合、監視結果の情報がユーザー指定の外部エンドポイントに送信されます。

ユーザーは、個人情報の保護に関する法律（個人情報保護法）に基づき、以下の権利を有します。

• 利用目的の通知: 個人情報の利用目的の通知を求めることができます。
• 開示: 自己の個人情報の開示を求めることができます。
• 訂正・追加・削除: 個人情報に誤りがある場合、訂正・追加・削除を求めることができます。
• 利用停止・消去: 個人情報が利用目的の範囲を超えて取り扱われている場合等、利用停止・消去を求めることができます。
• 第三者提供の停止: 個人情報の第三者への提供の停止を求めることができます。
• データポータビリティ: 自己のデータのエクスポートを求めることができます。

開示等の請求手続き

上記の権利に基づく請求は、第11条に記載のお問い合わせ窓口までご連絡ください。ご本人確認のため、登録メールアドレスからのご連絡をお願いする場合があります。請求に対しては、合理的な期間内（原則として2週間以内）に対応いたします。なお、開示請求にあたり、手数料は発生しません。

運営者は、個人情報の漏洩、滅失、毀損を防止するため、以下の安全管理措置を講じています。

8.1 技術的安全管理措置

• 通信の暗号化（HTTPS / TLS）
• Firebase Security Rules によるデータアクセス制御
• OIDC トークン認証によるサービス間通信の保護
• SSRF 対策によるプライベートネットワークへのアクセス防止
• 認証情報の暗号化保存（AES-256-GCM）
• Webhook シークレットの暗号化保存および HMAC-SHA256 署名

8.2 組織的安全管理措置

• 個人情報の取り扱いに関する運用ルールの策定
• 個人情報へのアクセス権限の管理

8.3 人的安全管理措置

• 個人情報の取り扱いに関する教育の実施

8.4 物理的安全管理措置

• データは Google Cloud Platform のデータセンターに保存されており、Google が提供する物理的セキュリティ対策に依拠しています。

本サービスは、16歳未満の方を対象としていません。16歳未満の方が本サービスを利用する場合は、保護者の同意を得た上でご利用ください。16歳未満の方から個人情報を収集したことが判明した場合、運営者は速やかに当該情報を削除します。

運営者は、必要に応じて本ポリシーを変更することがあります。重要な変更がある場合は、本サービス上での通知またはメールにてお知らせします。変更後の本ポリシーは、本ページに掲示した時点から効力を生じるものとします。

本ポリシーに関するお問い合わせ、および個人情報の開示等の請求は、以下の窓口までご連絡ください。

• メールアドレス: [お問い合わせメールアドレスを記載]