SP-FAX プライバシーポリシー

第1条(取得する個人情報)

当社は本サービスの提供にあたり、利用者から以下の個人情報を取得します。

1. アカウント登録情報: メールアドレス、氏名、会社名、電話番号、パスワード(ハッシュ化して保管)
2. 決済情報: 請求先住所(クレジットカード番号は当社では保持せず、Stripe Inc. 経由で処理)
3. 利用履歴: ログイン日時、操作ログ、IP アドレス、ユーザーエージェント、API キー利用ログ
4. 本サービスを通じて送受信される FAX 通信の内容(電気通信事業法第4条に基づき秘密として保護)
5. お問い合わせ・サポート連絡時のやりとり内容

第2条(利用目的)

当社は取得した個人情報を以下の目的のために利用します。

1. 本サービスの提供および運営
2. 利用者の本人確認、認証、不正利用の防止
3. 料金の請求・決済処理
4. サポート、お問い合わせへの対応
5. サービス品質改善、新機能の開発、運用統計の分析
6. サービス変更・障害情報・重要なお知らせの通知
7. 営業・マーケティング情報の配信(オプトアウト可能)
8. 関連法令の遵守、当社権利の保護のための法的措置

第3条(通信の秘密の保持)

本サービスは電気通信役務であり、当社は電気通信事業法第4条に基づき、利用者が送受信した FAX の内容(以下「通信内容」)の秘密を厳格に保護します。

1. 当社の従業員および委託先は、法令で定める場合を除き、通信内容を第三者に開示・漏洩いたしません。
2. 通信内容へのアクセスは、運用上必要最小限の範囲に限定し、すべてのアクセスは監査ログとして記録します。
3. 法執行機関等から正式な要請があった場合のみ、社内手続きを経て、法令の範囲内で対応いたします。

第4条(第三者提供および委託)

当社は法令に基づく場合を除き、利用者の個人情報を本人の同意なく第三者に提供しません。ただし、本サービスの提供にあたり、以下の業務委託先(サブプロセッサ)に必要な範囲で個人情報の取扱いを委託します。

委託先には、当社と同等の個人情報保護義務を契約で課しています。各社の DPA(データ処理規約)に従って処理されます。

第5条(国外移転)

本サービスは日本国内(AWS 東京リージョン)で個人情報を主に処理します。ただし以下の例外があります。

1. SES Inbound(メール受信)は AWS 米国バージニアリージョンで処理されます(SES Inbound は東京リージョン未提供のため)。
2. AI OCR 処理は Google LLC のグローバル基盤を経由する場合があります。当該処理に関するデータは Google Cloud Data Processing Addendum に従い、処理完了後に Google 側で保持されません。

国外移転先における個人情報保護法令の適合性については、AWS および Google 各社の DPA を参照してください。

第6条(保管期間)

1. アカウント登録情報: 利用契約の有効期間中保管。解約後 30 日間保持し、その後削除します(請求関連情報を除く)。
2. FAX 送受信履歴・PDF データ: 解約後 30 日間保持し、その後削除します(法令で保存義務がある場合は当該期間まで保管)。
3. 請求関連情報(請求書・領収書・取引記録): 法人税法・電子帳簿保存法等に基づき 7 年間保管します。
4. 監査ログ・アクセスログ: 5 年以上保管します(セキュリティ調査・法令対応のため)。

第7条(開示・訂正・削除請求)

利用者は、自己に関する個人情報について、次の請求を行うことができます。

1. 保有個人データの開示請求
2. 事実と異なる場合の訂正・追加・削除請求
3. 利用停止・消去・第三者提供停止の請求

請求は当社個人情報保護管理者宛に書面または電子メール(support@spread-inc.co.jp)でお願いします。当社は、本人確認のうえ、原則として請求受領後 30 日以内に対応いたします。ただし、法令により保存義務のある情報および他の利用者の権利保護に必要な情報は、削除請求の対象外となる場合があります。

第8条(セキュリティ管理)

1. 通信は TLS 1.2 以上で暗号化します。
2. 保存データは AES-256 で暗号化します(AWS S3 / RDS の SSE-KMS)。
3. アクセス制御: 業務上必要な担当者のみがアクセスできるよう、最小権限の原則を適用します。
4. 監査ログ: 管理者操作・サポート閲覧・API キー操作・配信先メール変更等は immutable な監査ログに記録します。
5. 侵入検知: AWS GuardDuty・WAF・VPC Flow Logs 等によりネットワーク監視を実施します。
6. 従業員教育: 個人情報保護および電気通信事業法上の通信秘密保持に関する教育を年 1 回以上実施します。

第9条(漏えい等の対応)

万が一、個人情報の漏えい・滅失・毀損等(以下「漏えい等」)が発生した場合、当社は次の対応を行います。

1. 影響を受ける利用者へ可能な限り速やかに通知します。
2. 個人情報保護委員会への報告(個人情報保護法第26条に該当する場合)を行います。
3. 通信秘密の漏えいに該当する場合、知った日から 30 日以内に総務省関東総合通信局へ報告書を提出します(電気通信事業法第4条関係)。
4. 原因究明、再発防止策の策定および公表を行います。

第10条(Cookie・アクセス解析)

当社は本サービスおよびマーケティングサイトにおいて、Cookie および類似技術(Google Analytics 等)を利用します。これらは個人を特定する目的では使用せず、サービス改善・利用状況分析のために使用します。利用者はブラウザ設定により Cookie を無効化できますが、その場合一部機能が利用できなくなる可能性があります。

第11条(本ポリシーの変更)

当社は、法令変更・サービス改定等に伴い、本ポリシーを変更することがあります。重要な変更の場合は、利用者へメールまたは管理画面の通知でお知らせします。本ポリシーは、改定日以降の取扱いに適用されます。

第12条(お問い合わせ窓口)

本サービスにおける個人情報の取扱いに関するお問い合わせは、以下までご連絡ください。