プライバシーポリシー
株式会社Srush(以下「当社」といいます。)は、当社がSrushの名称で提供する分析サービス(以下「本サービス」といいます。)における、本サービスを利用する契約者(以下「契約者」といいます。)の個人情報を含む対象情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます。)を定めます。
1 収集する利用者情報及び収集方法
1.1 本ポリシーにおいて、「対象情報」とは、次の各号に掲げる情報で、本ポリシーに基づき当社が取得するものをいいます。
1.1.1 本サービスのアカウント作成のために契約者が登録した情報
(氏名・名称、住所・本店所在地、メールアドレス、連絡先等を含みますが、これらに限られません。)その他契約者が本サービスを利用するために当社に、書面又は電磁的方法により提供又は開示した情報
1.1.2 本サービスを、契約者の保有又は管理する電子端末により使用することで当社に記録される情報(端末情報、IPアドレス、ログ情報、Cookie(これに類する技術を含むものとします。以下、同じ。)及び匿名ID、位置情報等)
1.1.3 契約者が本サービスの利用に当たり、外部連携の対象となる各種外部サービス(以下「外部提供サービス」といいます。)を利用するために入力した情報及び外部提供サービスを利用することで取得した情報(以下「入力情報」といいます。)
1.1.4 契約者が本サービス上で保有又は生成する情報
1.1.5 契約者が本サービスの利用にあたって第三者の提供する外部サービス(以下「第三者提供サービス」といいます。)を利用して取得した情報(以下「外部情報」といいます。)及び契約者が第三者提供サービスに入力した情報
1.1.6 当社のパートナーネットワーク利用規約に基づき、契約者が本サービスを利用するために当社のパートナー企業に対し、書面又は電磁的方法により提供又は開示した情報及び契約者が登録した情報(氏名・名称、住所・本店所在地、メールアドレス、連絡先等を含みますが、これらに限られません。)
1.1.7 契約者が本サービスの試用に当たって当社に対して提供したサンプルデータその他契約者が指定した上で提供した情報
1.1.8 前各号の他、当社が取得する契約者の保有する個人情報(個人情報保護法第2条1項の定義によります。以下同じ。)及び個人関連情報(個人情報保護法第2条第7項の定義によります。以下同じ。)
1.1.9 前各号の他、当社が取得する契約者の営業秘密(不正競争防止法第2条第2項の定義によります。以下同じ。)
1.2 前項に関わらず、以下の各号に掲げる情報(1.1.6に該当する情報を除く。)は、対象情報に含まれません。
1.2.1 当社が契約者から取得した時点で既に公知であった情報
1.2.2 当社が契約者から取得する以前から当社が保有していた情報
1.2.3 当社が取得した後、当社の責に帰さない事由により公知となった情報
1.2.4 当社が、契約者以外の第三者から、守秘義務を負うことなく正当に取得した情報
1.2.5 契約者から取得した情報に基づくことなく、当社が独自に開発した情報
1.3 当社は、対象情報を無断アクセス、消失、破棄又は変更から守るため、管理面、技術面及び物理面におけるセキュリティ対策として、以下の措置を継続的に実施し更新します。
1.3.1 ファイアウォールの設置、アクセス許可の対象IP及びポートの限定並びにデータ暗号化
1.3.2 SQLインジェクション対策の実施
1.3.3 ディレクトリ・トラバーサル対策の実施
1.3.4 セッションIDの脆弱性解消策の実施
1.3.5 クロスサイトスクリプティング対策の実施
1.3.6 CSRF(クロスサイト・リクエスト・フォージェリ)対策の実施
1.3.7 HTTPヘッダ・インジェクション対策の実施
1.3.8 アクセス制御や認可制御の欠落に対する対策(認証機能の設置、認可制御の処理の実装及びなりすまし防止の実施を含みます。)
1.3.9 バックドア及びデバッグオプション対策の実施
1.3.10 HTMLソース等に含まれる開発者用コメントの削除その他のコメント対策の実施
1.3.11 不審なアクティビティや潜在的なセキュリティ脅威を検出し、不審なアクティビティの遮断
1.3.12 データの暗号技術を用いた保管及び各種パスワードの秘密鍵による暗号化の実施
1.3.13 外部からのDoS攻撃を未然に防ぐ対策の実施
1.3.14 ユーザー活動及びAPI使用状況を記録し、監査目的で使用できるログの定期的な分析の実施
1.3.15 不要なディレクトリの参照防止措置
1.3.16 メール、HTTP、FTP等で、電子メール及びファイルの送受信を行うサーバ並びに運用管理・開発移行に利用する端末におけるウイルス検知ソフトウェアの導入及び自動更新
1.3.17 情報の利用者(取扱可能者)を特定し、取扱可能者以外の者は一切情報を取り扱わない体制
1.3.18 情報の取扱いネットワーク外への持出しや送信を厳格に禁止する体制
1.3.19 業務利用するPC等端末に対する二段階認証の設置及びログイン・ログアウトの記録保管
1.3.20 業務利用するPC等端末の私的利用を厳格に禁止する体制
1.3.21 外部記録端末の持込み・利用を厳格に禁止する体制
1.3.22 業務利用するPC等端末にWinny等のファイル共有ソフトをインストールすることを厳格に禁止する体制
1.3.23 情報の漏洩等の事故が発生した場合の対応手順や責任者のルール及びマニュアルの整備及び当該ルール及びマニュアルを運用可能な体制
1.3.24 情報の漏えい・改ざんなど、事故が起きたとき時の対応手続及び運用体制
1.3.25 情報の取扱い規程に違反した時の罰則規定及び運用体制
1.3.26 情報保護の監査に関する規程及び運用体制
1.3.27 毎年1回以上、情報の取扱いに関する監査の実施
1.3.28 入社時及び以後毎年1回以上の当社役員、従業員、外部委託先その他の業務従事者に対する個人情報及び機密情報の管理に関する教育の実施
1.3.29 外部委託先における上記各措置の適用並びに外部委託先における実施義務及び義務履践状況の査察手続を定めた契約書の締結
1.4.1 個人情報保護法第2条第3項に定める「要配慮個人情報」が含まれる対象情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下本プライバシーにおいて同じ。)の漏洩等が発生し、又は発生したおそれがある事態
1.4.2 不正に利用されることにより財産的被害が生じるおそれがある対象情報の漏洩等が発生し、又は発生したおそれがある事態
1.4.3 不正の目的をもって行われたおそれがある対象情報の漏洩等が発生し、又は発生したおそれがある事態
1.4.4 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
2 利用目的
2.1 当社は、対象情報のうち、個人情報及び営業秘密に該当する情報(以下「個人情報等」といいます。)を、2.2各号に掲げる利用目的のためにのみ利用します。
2.2 当社による対象情報の具体的な利用目的は以下のとおりです。
2.2.1 本サービスによる入力情報及び外部情報の連携、統合、保管、転送、可視化及び分析のため
2.2.2 本サービスの運営、顧客管理及びサービス提供状況管理のため
2.2.3 本サービスに関する登録の受付、契約者の同一性確認、利用料等の計算等本サービスの提供、維持、保護及び改善のため
2.2.4 本サービスの提供内容に関し、契約者に対するご案内及び契約者からのお問い合せ等への対応のため
2.2.5 本サービスに関する当社の規約、ポリシー等(以下「規約等」といいます。)に違反する行為に対し、必要な措置を実行するため
2.2.6 本サービス内でのログ情報などを用いたレコメンドなど、契約者利用促進を目的とした機能を提供するため
2.2.7 本サービスにかかるメンテナンス情報や、規約等の変更、重要なご連絡など、本サービスを運用する上で必要なお知らせその他の通知事項を契約者に通知するため
2.3 当社は、上記2.2の他、次の各号に掲げる情報を当該各号に掲げる目的のために利用します。
2.3.1 特定個人との対応関係を排斥した、集団的傾向等を数量的に把握するための統計情報を作成し、本サービスの改善、新機能の開発等のために利用する目的
・端末情報
・ログ情報(特定のページ又はビューへの滞在時間を含みます。)
・Cookie及び匿名ID
・位置情報
・IPアドレス
2.3.2 当社の広告を配信し、または表示するための分析目的
・端末情報
・ログ情報
・Cookie及び匿名ID
・位置情報
・IPアドレス
3 利用停止等
契約者は、本サービスの所定の設定を行うことにより、対象情報の全部または一部についてその利用の停止又は消去を求めることができ、この場合、当社は速やかに、当社の定めるところに従い、その利用を停止します。ただし、その取得または利用が本サービスの前提となる情報については、以下の各号に掲げる場合にのみ、当社はその取得及び利用を停止し、又は消去します。
3.1 本サービスの利用契約が終了した場合3.2 前号の他、当社において当該情報を利用する必要がなくなった場合
3.3 本人が識別される保有個人データに係る個人情報保護法第23条に規定する事態(個人情報の漏洩等)が生じた場合
3.4 本人の正当な利益が害される恐れがある場合
3.5 当社が個人情報を2.2各号に掲げる目的以外に利用した場合
3.6 当社が不正の手段により個人情報を取得した場合
4 第三者提供
4.1 当社は、対象情報のうち個人情報等については、あらかじめ契約者の同意を得ないで、第三者に提供しません。ただし、次に掲げる場合はこの限りではありません。
4.1.1 当社が2.2各号に掲げる利用目的の達成に必要な範囲内において個人情報等を含む対象情報の取扱の全部又は一部を委託する場合
4.1.2 合併その他の事由による事業の承継に伴って個人情報等を含む対象情報が提供される場合
4.1.3 アクセス解析ツールや、アドネットワーク等の情報収集モジュール提供者へ個人情報等を含む対象情報が提供される場合
4.1.4 人の生命、身体又は財産の保護のために必要がある場合であって、契約者本人の同意を得ることが困難であると判断した場合
4.1.5 公衆衛生の向上又は児童の健全な育成推進のために特に必要がある場合であって、契約者本人の同意を得ることが困難であると判断した場合
4.1.6 国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、契約者の同意を得ることによって当該事務の遂行に支障を及ぼす恐れがある場合
4.1.7 その他、個人情報保護法その他の法令で認められる場合
4.2 当社は、個人関連情報に該当する情報についても、当該情報が提供先において個人データとして取得されることが想定されるときは、提供先において契約者の同意を得ていることを確認しないで第三者には提供しません。
4.3 当社は、2.2各号に掲げる利用目的の達成のため、外国にある第三者に当社が取り扱う契約者の個人情報を提供する場合があります。4.3.1 提供先の第三者が所在する外国の名称:アメリカ合衆国
4.3.2 当該外国にある第三者への提供に関する情報については、外国における個人情報の保護に関する制度等の調査(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku)をご参照ください。
4.3.3 契約者の個人情報を提供する外国にある第三者は、全てOECDプライバシーガイドライン8原則に対応する個人情報の保護のための措置を講じています。
5 第三者提供に関する免責事項
当社の故意または重過失によらない場合には、第三者による契約者の個人情報を含む利用者情報の取得に関し、当社は何らの責任を負わないものとします。
6 個人情報の開示
7 個人情報の訂正等
7.1 当社は、契約者から、個人情報保護法の定めに基づきその内容の訂正、追加または削除(以下、「訂正等」といいます。)を求められた場合には、契約者ご本人からのご請求であることを確認の上で遅滞なく必要な調査を行い、その結果に基づき、個人情報の内容の訂正等を行い、その旨を契約者に通知します。なお、合理的な理由に基づいて訂正等を行わない旨の決定をしたときは、契約者に対しその旨を通知いたします。
7.2 契約者の前項の請求にかかわらず、個人情報保護法その他の法令により、当社が訂正等の義務を負わない場合は、前項の規定は適用されません
8 お問い合わせ窓口
ご意見、ご質問、苦情のお申出その他利用者情報の取扱いに関するお問い合わせは、下記の窓口までお願い致します。
担当部署:カスタマーサポート
E-mail:contact@srush.co.jp
9 プライバシーポリシーの変更手続
当社は、利用者情報の取扱いに関する運用状況を適宜見直し、継続的な改善に努めるものとし、必要に応じて、契約者の事前の同意を得ることなく、本ポリシーを変更することがあります。当社が別途定める場合を除いて、変更後のプライバシーポリシーは、当社ウェブサイト(https://www.srush.co.jp/privacy/)に掲載したときから効力を生じるものとします。
2020年12月14日 制定
2022年6月8日 改定
2024年1月22日 改定