プライバシーポリシー

1. 収集する個人情報項目

会社はサービス提供のため、以下の個人情報を収集します。利用者の種類によって収集項目が異なります。

1. 企業管理者 (会員登録・ログイン時)
   • 氏名、メール、電話番号、ログイン情報(パスワードは一方向暗号化保存)
   • IPアドレス(SHA-256ハッシュ処理)
   • ログイン試行履歴(成功/失敗、時刻)
2. 通報者 (通報作成・閲覧時)
   • 通報内容、添付ファイル(自発的提供時)
   • IPアドレス(SHA-256一方向ハッシュに変換され、会社は元のIPアドレスを保存しません)
   • デバイス種別(PC/モバイル/タブレット)
   • アクセス時刻、言語設定
   • ※ 会社は通報者に身元情報(氏名・メール・連絡先など)を別途要求しません。
3. 営業お問い合わせ者 (お問い合わせフォーム作成時)
   • 氏名、メール、会社名、電話番号、お問い合わせ内容
   • IPアドレス、ブラウザ情報(営業対応追跡・悪意あるリクエスト遮断用)
4. 決済情報 (サブスクリプション申込・決済時)
   • カード会社名、カードマスキング番号(末尾4桁)、ビリングキー(トスペイメンツ識別子)
   • ※ カード全番号・CVCは保存せず、トスペイメンツが安全に保管します。
5. 運用自動収集
   • 監査ログ(管理者操作履歴)
   • 認証セッションクッキー(NextAuth)

2. 個人情報収集目的

• サービス提供および運営
• 利用者本人確認および認証
• サブスクリプション料の決済および精算
• サービス改善および統計分析
• 法的義務の履行

3. 匿名性の保証

通報者の匿名性はサービスの中核的価値です。以下の方法で匿名性を保証します:

• 会社は通報者に身元情報(氏名・メール・連絡先など)を別途要求しません
• IPアドレスはSHA-256一方向ハッシュに変換され、会社は元のIPアドレスを保存しません
• 通報ページには外部の分析・追跡スクリプト(Google Analytics、Vercel Analyticsなど)を読み込みません
• 通報は受付番号とパスワードのみでアクセスし、アカウント連携はありません
• 会社は企業管理者に通報者の身元情報を提供しません
• サーバーログには通報者の身元情報が記録されません

4. 個人情報の保有期間

• 企業管理者情報: サービス解約時まで
• 通報データ: 企業の保有ポリシーに従う(基本3年)
• 決済情報(電子商取引法): 5年
• 表示・広告に関する記録(電子商取引法): 6ヶ月
• 契約または契約解除等に関する記録(電子商取引法): 5年
• 消費者の苦情または紛争処理に関する記録(電子商取引法): 3年

5. 個人情報の第三者提供

会社は原則として利用者の個人情報を第三者に提供しません。ただし、以下の場合は例外とします:

• 利用者が事前に同意した場合
• 法律により要求される場合
• 決済処理のためトスペイメンツに決済情報を提供する場合

6. 個人情報処理委託

• トスペイメンツ: 決済処理および自動決済ビリングキー管理
• Supabase Inc.: データベースホスティングおよびファイル保存
• Vercel Inc.: ウェブホスティング
• Cloudflare Inc.: ボット遮断およびネットワークセキュリティ(CAPTCHA検証含む)
• Microsoft (Azure): メール送信
• Solapi: SMS通知送信(電話番号処理)
• Google (Gemini API) · OpenAI · Anthropic: AI分析は任意機能であり、企業が利用する場合に限り通報内容が処理されます(適用される事業者は企業の設定に従う)
• Sentry (Functional Software Inc.): アプリケーションエラーの収集・分析(通報本文など個人情報は送信遮断)

7. 個人情報保護措置

• パスワードbcrypt暗号化(12ラウンド)
• 送信区間TLS/SSL暗号化
• Row Level Security(RLS)によるデータ隔離
• 定期的なセキュリティ点検および依存関係の脆弱性モニタリング
• アクセス権限最小化および監査ログ記録

8. 利用者の権利

利用者はいつでも自身の個人情報を照会・修正・削除することができ、サービス解約を通じて個人情報の削除を請求することができます。ただし、法令に基づく保管義務がある情報は、当該期間中保管されます。

9. 個人情報保護責任者およびお問い合わせ

• 個人情報保護責任者: DFS本部長
• メール: office@hmcom.co.kr