プライバシーポリシー

01はじめに

SecureCodingHub(以下「当社」)は、LimePlate, Inc.が運営するセキュアコーディングトレーニングのためのエンタープライズB2B SaaSプラットフォームです。本プライバシーポリシーは、当社のプラットフォーム、Webサイト、関連サービス(以下総称して「本サービス」)へのアクセスまたは使用時に、お客様の個人情報を当社がどのように収集、使用、開示、保護するかを説明します。

本ポリシーは、個人学習者、チーム管理者、エンタープライズアカウント保有者を含む本サービスのすべてのユーザーに適用されます。本サービスにアクセスまたは使用することにより、お客様は本プライバシーポリシーを読み、理解したことを認めるものとします。組織を代表して本サービスを使用している場合、お客様は当該組織を代表して本ポリシーを承諾する権限を有することを表明します。

本ポリシーに関するご質問は、privacy@securecodinghub.comまでお問い合わせください。

02当社が収集する情報

アカウント情報

アカウントを作成する際、または組織がお客様のためにアカウントをプロビジョニングする際に、当社はアカウントの設定および維持に必要な情報を収集します。これには通常、氏名、ビジネスメールアドレス、会社名、役職、プラットフォーム内での役割が含まれます。組織がSSOまたはSCIMプロビジョニングを使用している場合、これらの情報の一部はIDプロバイダーから自動的に提供されることがあります。

使用およびトレーニングデータ

お客様が本サービスを操作する際、当社はトレーニング活動に関するデータを収集します。これには、チャレンジの完了状況とスコア、学習パスの進捗、個々のモジュールおよびセッションに費やした時間、コードレビューの回答、ガイド付きシナリオのインタラクション、課題完了記録が含まれます。このデータは、パーソナライズされたトレーニング体験の提供と、お客様および組織管理者のための進捗レポートの生成に不可欠です。

技術データ

当社は、お客様が本サービスを使用する際に特定の技術情報を自動的に収集します。これには、IPアドレス、ブラウザーの種類とバージョン、オペレーティングシステム、デバイスの種類、参照元URL、訪問したページ、セッション時間、タイムスタンプが含まれます。このデータは、セキュリティ監視、パフォーマンス最適化、サービス改善に使用されます。

通信データ

サポートチームへのお問い合わせやフィードバックの送信を行った場合、当社はそれらの通信内容と、メールアドレス、通信日時、添付ファイルなどの関連メタデータを保持します。

03情報の使用方法

当社は、収集した情報を以下の目的で使用します:

• サービスの提供。 当社は、お客様のアカウントおよび使用データを使用してセキュアコーディングトレーニングを提供し、進捗を追跡し、修了証明書を生成し、パーソナライズされた学習推奨事項を提供します。
• 分析とレポート。 当社は、エンタープライズ管理者がチームのセキュリティ能力レベルを理解し、知識ギャップを特定し、トレーニングプログラムの有効性を測定するのに役立つ集約および個別のトレーニング分析を生成します。
• カスタマーサポート。 当社は、お客様からのお問い合わせへの対応、問題のトラブルシューティング、お問い合わせ時の技術支援の提供のために、お客様の情報を使用します。
• セキュリティと不正防止。 当社は、潜在的なセキュリティ脅威、不正アクセスの試み、不正行為を検出、防止、対応するため、使用パターンと技術データを監視します。
• サービスの改善。 当社は、トレーニングコンテンツの改善、新機能の開発、プラットフォームパフォーマンスの最適化、全体的なユーザーエクスペリエンスの向上のため、集約された使用データを分析します。
• 法令遵守。 当社は、適用される法令、規制、法的手続、または執行可能な政府の要請に従うために必要な範囲でお客様のデータを処理することがあります。

04処理の法的根拠(GDPR)

お客様が欧州経済領域(EEA)、英国、またはスイスに所在する場合、当社は以下の法的根拠に基づいてお客様の個人データを処理します:

• 契約の履行。 お客様のアカウントおよび使用データの処理は、トレーニングサービスの提供、進捗の追跡、レポートの生成を含む、お客様および組織に対する契約上の義務を履行するために必要です。
• 正当な利益。 当社は、サービスの改善、プラットフォームのセキュリティ確保、不正防止、集約分析の実施など、当社の正当なビジネス上の利益に基づいて特定のデータを処理します。当社はこれらの利益とお客様の権利および自由を比較衡量し、当社の利益がお客様のデータ保護権利によって覆されない場合にのみこの根拠に依拠します。
• 同意。 適用法令で要求される場合、当社はオプションのマーケティング通信の送信などの特定の目的でお客様の個人データを処理する前に同意を取得します。お客様はいつでもprivacy@securecodinghub.comまでご連絡いただくことで同意を撤回することができます。
• 法的義務。 当社は、税務、会計、規制上の要件を含む、当社が従うべき法的義務を遵守するために、お客様の個人データを処理することがあります。

05データの共有および開示

当社はお客様の個人データを販売しません。 当社は、第三者の独自のマーケティング目的のために、お客様の個人情報を貸与、取引、その他の方法で利用可能にすることはありません。

当社は、以下の限定的な状況においてお客様の情報を共有することがあります:

• エンタープライズお客様のアクセス。 お客様のアカウントがエンタープライズサブスクリプションの一部である場合、組織の指定された管理者は、組織内のユーザーのトレーニング進捗データ、完了記録、パフォーマンス分析にアクセスできます。これは当社のエンタープライズ提供の中核機能であり、当社とお客様の雇用主または契約組織との間の契約によって規定されます。
• サブプロセッサー。 当社は、本サービスの運営および提供を支援するために、信頼できる第三者サービスプロバイダーを限定的に活用しています。これには、クラウドインフラおよびホスティングプロバイダー、分析および監視サービス、メール配信プロバイダー、カスタマーサポートツールが含まれます。すべてのサブプロセッサーは、当社の指示に基づき、適用されるデータ保護法に従ってのみ個人データを処理することを契約上義務付けられています。
• 法的要件。 当社は、法令、規制、法的手続、または政府の要請により要求される場合、もしくは当該開示がSecureCodingHub、ユーザー、または公衆の権利、財産、安全を保護するために必要であると誠実に信じる場合、お客様の情報を開示することがあります。
• 事業の譲渡。 合併、買収、再編、または資産売却の場合、お客様の個人データは取引の一部として譲渡されることがあります。当社はそのような変更およびお客様の情報に関する選択肢について、お客様に通知します。

06国際的なデータ転送

SecureCodingHubは米国を拠点としており、主要なデータ処理施設は米国に所在しています。米国外から本サービスにアクセスする場合、お客様の個人データは米国に転送され、処理されます。

EEA、英国、またはスイスから米国への個人データの転送について、当社は欧州委員会が承認した標準契約条項(SCC)に依拠し、必要に応じて追加の技術的および組織的措置を補完しています。また、転送先国のデータ保護基準が個人データに対する適切なレベルの保護を提供することを確認するため、転送影響評価を実施しています。

当社が使用している標準契約条項のコピーを入手したい場合は、privacy@securecodinghub.comまでお問い合わせください。

07データ保持

当社は、お客様のアカウントがアクティブである限り、または本サービスを提供するために必要な期間、お客様の個人データを保持します。具体的な保持期間は以下のとおりです:

• アクティブなアカウントのデータ。 お客様のアカウント情報およびトレーニングデータは、アクティブなアカウントの期間中保持されます。組織がアクティブなサブスクリプションを維持している場合、お客様のデータは当該サブスクリプションの期間中保持されます。
• 削除後の保持。 アカウント削除後または消去要求があった後、当社はアカウントの復元および法的義務の遵守を可能にするために、90日間個人データを保持します。この90日間の期間後、お客様の個人データは当社のアクティブなシステムから永久に削除されます。
• 集約および匿名化データ。 当社は、集約、非識別化、または匿名化されたデータを無期限に保持することがあります。このデータはお客様を識別するために使用できず、統計分析、ベンチマーキング、サービス改善の目的で使用されます。
• 法的およびコンプライアンス記録。 法令により特定のデータをより長期間保持することが要求される場合(例えば税務または監査目的)、当社は適用法令で要求される期間そのデータを保持します。

08お客様の権利

GDPRに基づく権利(EEA、英国、スイス)

お客様がEEA、英国、またはスイスに所在する場合、適用されるデータ保護法に基づき以下の権利を有します:

• アクセス権。 お客様は、当社が保持するお客様に関する個人データのコピーを請求する権利を有します。
• 訂正権。 お客様は、不正確または不完全な個人データの訂正を請求する権利を有します。
• 消去権。 お客様は、特定の法的例外に従い、個人データの削除を請求する権利を有します。
• データポータビリティ権。 お客様は、構造化された、一般的に使用される、機械可読形式で個人データを受け取る権利を有します。
• 処理制限権。 お客様は、特定の状況において当社によるデータの使用方法を制限することを請求する権利を有します。
• 異議申立権。 お客様は、正当な利益に基づく当社による個人データの処理に異議を申し立てる権利を有します。
• 同意撤回権。 当社が同意に基づいてお客様のデータを処理する場合、お客様はいつでもその同意を撤回する権利を有します。

これらの権利を行使するには、privacy@securecodinghub.comまでお問い合わせください。当社は30日以内にお客様のリクエストに対応いたします。また、お客様は地元のデータ保護監督当局に苦情を申し立てる権利も有します。

CCPAに基づく権利(カリフォルニア州在住者)

カリフォルニア州在住者の場合、カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー権利法(CPRA)に基づき以下の権利を有します:

• 知る権利。 お客様は、当社が収集した個人情報のカテゴリと具体的な項目、収集元、使用目的に関する情報を請求する権利を有します。
• 削除権。 お客様は、特定の法的例外に従い、当社が収集した個人情報の削除を請求する権利を有します。
• 販売オプトアウト権。 当社はお客様の個人情報を販売しません。ただし、当社の慣行が将来変更された場合にオプトアウトする権利は引き続き有します。
• 非差別権。 当社は、お客様がCCPAの権利を行使したことに対して差別しません。

CCPAリクエストを送信するには、privacy@securecodinghub.comまでお問い合わせください。リクエストを処理する前にお客様の身元を確認いたします。

09セキュリティ対策

当社はお客様の個人データのセキュリティを真摯に受け止めており、不正アクセス、改ざん、開示、または破壊から保護するため、業界標準の技術的および組織的措置を実施しています。当社のセキュリティ慣行には以下が含まれます:

• 暗号化。 すべてのデータはTLS 1.2以上を使用して転送時に暗号化されます。保存時のデータはAES-256暗号化を使用して暗号化されます。
• アクセス制御。 当社は、インフラおよび社内システム全体にわたってロールベースのアクセス制御、多要素認証、最小権限の原則を実装しています。
• インフラセキュリティ。 当社のプラットフォームは、ネットワークレベルのセキュリティ制御、侵入検知、継続的な監視を備えたエンタープライズグレードのクラウドインフラ上でホストされています。
• コンプライアンスと監査。 当社はSOC 2 Type IIコンプライアンスプログラムを維持し、統制の有効性を検証するため、定期的な第三者セキュリティ監査およびペネトレーションテストを受けています。
• インシデント対応。 当社は文書化されたインシデント対応計画を維持し、適用法令および契約上の義務に従って、データ侵害が発生した場合に影響を受けるユーザーおよび関連当局に通知します。

当社は堅牢な保護策を実装していますが、電子的な保存または送信の方法はいずれも完全に安全とは言えません。お客様のアカウント認証情報の保護と、疑わしいセキュリティ問題のprivacy@securecodinghub.comまでの報告をお願いいたします。

10子どものプライバシー

SecureCodingHubは専門的な使用を目的としたエンタープライズB2Bサービスであり、16歳未満の個人を対象としていません。当社は16歳未満の子どもから故意に個人データを収集することはありません。当社が誤って16歳未満の子どもから個人データを収集したことが判明した場合、速やかに当該データを削除する措置を講じます。16歳未満の子どもから当社が情報を収集した可能性があると思われる場合は、privacy@securecodinghub.comまで直ちにご連絡ください。

11クッキーおよびトラッキング技術

当社は、本サービスの運営、セッションの維持、設定の記憶、プラットフォームの使用方法の分析のため、クッキーおよび類似のトラッキング技術を使用しています。必須クッキーは本サービスが適切に機能するために必要であり、無効化することはできません。分析クッキーは使用パターンの理解と本サービスの改善に役立ちます。

使用するクッキーの種類、それらの動作方法、設定の管理方法に関する詳細情報については、当社のクッキーポリシーをご参照ください。

12本ポリシーの変更

当社は、慣行、本サービス、または適用法令の変更を反映するため、随時本プライバシーポリシーを更新することがあります。重要な変更を行った場合、当社は更新されたポリシーを当社のWebサイトに掲載するか、登録ユーザーにメール通知を送信するか、または本サービス内で目立つ通知を表示することにより、少なくとも30日前に事前通知を提供します。

データをどのように保護しているかを把握するため、本ページを定期的にご確認いただくことをお勧めします。変更の発効日後に本サービスを継続して使用することは、更新されたプライバシーポリシーの承諾を構成します。