プライバシーポリシー

1. はじめに

NamiFlow（以下「当社」といいます）は、個人情報の保護に関する法律（個人情報保護法） その他の関連法令を遵守し、セキュリティチェックサービス （以下「本サービス」といいます）におけるユーザーの個人情報の取り扱いについて、 以下のとおりプライバシーポリシー（以下「本ポリシー」といいます）を定めます。

2. 個人情報取扱事業者

3. 収集する個人情報

当社は、本サービスの提供にあたり、以下の個人情報を収集する場合があります。

• メールアドレス: 漏洩チェックのために入力されたメールアドレス。 ゲストチェックの場合、メールアドレス自体は保存せず、ハッシュ値のみを一時保存し、 24時間後に自動削除されます。 アカウント登録ユーザーの監視対象メールアドレスは、AES-256-GCM方式で暗号化して保存されます。
• アカウント情報: 登録時のメールアドレス、表示名、認証プロバイダ情報（Google、LINE等）
• LINE情報: LINE連携時のLINEユーザーID（LINE通知機能の提供に使用）
• 決済情報: Stripe, Inc.を通じて処理されます。 クレジットカード番号等の決済情報は当社のサーバーには保存されません。 当社はStripeが発行する顧客ID・サブスクリプションIDのみを保持します。
• チェック結果データ: 漏洩チェックの結果（リスクレベル、漏洩件数、該当する漏洩事件名、漏洩データの種類）
• アクセスログ: IPアドレスのハッシュ値（不可逆変換）、User-Agent、リファラ情報
• Cookie: 認証セッション維持のための機能性Cookie

4. 利用目的

収集した個人情報は、以下の目的でのみ利用します。

• 漏洩チェックサービスの提供およびチェック結果の表示
• アカウントの認証および管理
• チェック履歴の保存と表示
• 自動監視機能による定期的な漏洩チェック
• LINE通知の送信（ユーザーが設定した場合）
• 有料プランの決済処理および契約管理
• サービスの改善、利用状況の分析（統計的処理を行い、個人を識別できない形式で利用）
• 利用規約違反の調査および対応
• お問い合わせへの対応

5. 第三者への提供

当社は、以下の場合を除き、個人情報を第三者に提供しません。

5-1. サービス提供に必要な外部サービス

• Have I Been Pwned（HIBP）（運営: Troy Hunt、所在国: オーストラリア）: 漏洩チェックのため、メールアドレスをHIBP APIに送信します。 HIBPは送信されたメールアドレスをログに記録しない旨を公表しています。
• Stripe, Inc.（所在国: 米国）: 決済処理のため、決済に必要な情報がStripeに送信されます。 Stripeのプライバシーポリシーに従い処理されます。
• LINEヤフー株式会社（所在国: 日本）: LINE通知送信のため、LINEユーザーIDをLINE Messaging APIに送信します。
• Supabase, Inc.（所在国: 米国）: データベースおよび認証基盤として利用しています。 データは暗号化された状態で保存されます。
• Vercel, Inc.（所在国: 米国）: Webアプリケーションのホスティングに利用しています。

5-2. その他の提供

• 法令に基づき開示が求められた場合
• 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
• ユーザーの同意がある場合

6. 外国にある第三者への提供

上記5-1に記載のとおり、本サービスではサービスの提供にあたり、 米国およびオーストラリアに所在するサービス提供者にデータを送信します。 各国の個人情報保護制度については、個人情報保護委員会の公表資料をご参照ください。 当社は、これらの外部サービスが適切な安全管理措置を講じていることを確認した上で利用しています。

7. データの保存期間

• ゲストチェック結果: チェック実行から24時間後に自動削除
• 登録ユーザーのチェック履歴: アカウント存続中は保存。アカウント削除時に削除
• プレミアムプラン解約後のデータ: 解約日から90日後に削除
• アカウント情報: アカウント削除時に速やかに削除
• アクセスログ: 取得から1年間保存後、自動削除
• 決済関連情報: 法令に基づく保存義務期間（最大7年間）経過後に削除

8. 安全管理措置

当社は、個人情報の漏えい、滅失またはき損の防止のため、 以下の安全管理措置を講じています。

• 技術的措置: メールアドレスのAES-256-GCM暗号化、IPアドレスの不可逆ハッシュ化、 すべての通信のTLS暗号化、データベースの行レベルセキュリティ（RLS）、 APIのレート制限
• 組織的措置: 個人情報へのアクセス権限の管理、サービスロールキーの安全な管理

9. Cookieの使用

本サービスでは、認証セッションの維持のために必須Cookieを使用します。 これらのCookieはサービスの動作に不可欠であり、無効にした場合、 ログイン機能等が正常に動作しません。 本サービスでは、トラッキング目的のCookieや広告目的のCookieは使用しません。

10. ユーザーの権利

ユーザーは、個人情報保護法に基づき、以下の権利を有します。

• 個人情報の利用目的の通知を求める権利
• 個人情報の開示を求める権利
• 個人情報の訂正、追加または削除を求める権利
• 個人情報の利用の停止または消去を求める権利
• 個人情報の第三者への提供の停止を求める権利
• アカウントの削除（ダッシュボードの設定画面から実行可能）

上記の権利行使を希望される場合は、下記のお問い合わせ先までメールにてご連絡ください。 ご本人確認の上、合理的な期間内（原則として2週間以内）に対応いたします。 なお、開示請求については、手数料はいただいておりません。

11. お問い合わせ

本ポリシーに関するお問い合わせ、個人情報の開示等の請求は、 以下までご連絡ください。

12. ポリシーの変更

当社は、法令の改正、社会情勢の変化、または本サービスの変更に伴い、 必要に応じて本ポリシーを改定することがあります。 重要な変更を行う場合は、本サービス上での掲載または 登録されたメールアドレスへの通知により、事前にお知らせします。