法的事項
プライバシーポリシー
最終更新日:2026年2月24日
この翻訳は便宜のために提供されるものです。法的に拘束力を持つのは英語版のみです。
本プライバシーポリシーは、お客様が当社の認証プラットフォームおよび関連サービスをご利用になる際に、UniAuth(以下「当社」といいます)がお客様の個人情報をどのように収集、利用、保護するかを説明するものです。
1.収集する情報
アカウント情報
お客様がアカウントを作成する際、当社はお客様のメールアドレス、氏名(任意)、電話番号(任意)、およびハッシュ化されたパスワードを収集します。当社がパスワードを平文で保存することは一切ありません。
認証データ
- セッショントークンおよびJWTクレーム
- WebAuthn/パスキーの資格情報IDおよび公開鍵
- TOTPシークレット(保存時に暗号化)
- 接続済みプロバイダー(Google、GitHub)からのOAuthトークン
利用データ
- IPアドレスおよびユーザーエージェント文字列(セキュリティログ記録のため)
- ログインのタイムスタンプおよびセッションのアクティビティ
- デバイスの種類およびおおよその位置情報(IPアドレスから推定)
プロフィールデータ
- プロフィール画像(当社のサーバーにローカルで保存)
- ユーザー設定(言語、タイムゾーン、通知設定)
2.情報の利用方法
- お客様を認証し、セッションを管理するため
- 多要素認証サービスを提供するため
- セキュリティ通知および確認メールを送信するため
- 不正または無許可のアクセスを検知し防止するため
- セキュリティおよびコンプライアンスのため監査ログを保持するため
- 集計された利用傾向に基づき当社のプラットフォームを改善するため
3.データの共有
当社は、お客様の個人情報を販売、賃貸、または取引することはありません。当社は、以下の限定された場合にのみデータを共有します。
- サービスプロバイダー:メール配信(SMTP)、SMS配信(Twilio) — サービスに必要な最小限のデータのみ
- OAuthプロバイダー:お客様がGoogleまたはGitHubの接続を選択した場合、当社はOAuth 2.0プロトコルに従ってトークンを交換します
- 法的要件:法律、召喚状により必要とされる場合、または当社の法的権利を保護するために必要な場合
4.データのセキュリティ
- すべての認証ペイロードに対するエンドツーエンドの暗号化
- ポスト量子暗号(鍵カプセル化にML-KEM、デジタル署名にML-DSA)が量子コンピューティングの脅威から保護します
- パスワードはソルトラウンドを用いてbcryptでハッシュ化されます
- すべてのデータはTLS 1.3経由で送信されます
- JWTトークンは量子耐性のある鍵で署名され、7日後に有効期限が切れます
- WebAuthnのチャレンジには暗号学的乱数が使用されます
- ゼロ知識アーキテクチャ — 機密性の高い資格情報が平文で当社のサーバーからアクセスされることは一切ありません
- 機械学習に基づく異常検知が、疑わしいログインパターンをリアルタイムで識別します
- レート制限および適応型ロックアウトがブルートフォース攻撃から保護します
- セッションは個別または一括で取り消すことができます
5.データの保持
当社は、お客様のアカウントが有効である限り、アカウントデータを保持します。アクティビティログは最長1年間保持されます。お客様がアカウントを削除した場合、関連するすべてのデータは30日以内に完全に削除されます。
6.お客様の権利
- アクセス:アカウント設定からすべてのデータをJSON形式でエクスポートできます
- 訂正:いつでもプロフィール情報を更新できます
- 削除:お客様のアカウントおよび関連するすべてのデータを削除できます
- ポータビリティ:お客様のデータの完全なコピーをダウンロードできます
8.本ポリシーの変更
当社は、本プライバシーポリシーを随時更新することがあります。重要な変更がある場合は、メールまたは当社プラットフォーム上の通知でお知らせします。変更後も当社のサービスを継続してご利用になることは、当該変更への同意を構成します。
9.お問い合わせ
本プライバシーポリシーまたはお客様のデータに関するご質問は、[email protected]までご連絡ください。