なりすまし判定 API サービス
プライバシーポリシー
本ポリシーは、当社の全社プライバシーポリシー(https://bio-check.pas-ta.io/policy/privacypolicy/)の特則として、本サービスに固有の取扱いを定めるものです。本ポリシーに定めのない事項は全社プライバシーポリシーが適用されます。
1. 事業者情報
| 項目 | 内容 |
|---|---|
| 商号 | 株式会社スワローインキュベート(英文表記: Swallow Incubate Co., Ltd.) |
| 本店所在地 | 〒305-0047 茨城県つくば市千現 2-1-6 つくば研究支援センター B-5 |
| 代表者 | 代表取締役 大野 寿和 |
| 法人番号 | 8050001036849 |
| 個人情報取扱責任者 | 代表取締役 大野 寿和 |
| 苦情・お問い合わせ窓口 | support@swallow-incubate.com(平日 9 時〜18 時
JST) |
2. 本ポリシーの適用範囲
1 本ポリシーは、当社が「なりすまし判定 API サービス」(以下「本サービス」といいます。)を提供するに際し、個人情報、個人識別符号を含む個人情報及び個人関連情報をどのように取り扱うかを定めるものです。
2 本サービスにおいて、当社は次の2種類の主体から個人情報を取得し取扱います。それぞれに対し、本ポリシーの適用条項が異なります。
| 主体 | 当社における立場 | 適用条項 |
|---|---|---|
| 利用者(本サービスを契約し利用する事業者の担当者個人) | 個人情報取扱事業者として直接取扱う | 本ポリシー全条項 |
| エンドユーザー(利用者が運営するサービスの利用者であって本サービスによる判定の対象となる自然人) | 利用者からの委託に基づき取扱う(顧客=個人情報取扱事業者、当社=委託先) | 第 5 条・第 6 条・第 9 条等の関連条項 |
3. 定義
本ポリシーにおいて使用する用語の意義は、個人情報保護法、GDPR その他適用される法令の定めに従い、それぞれ次のとおりとします。
- 「個人情報」: 個人情報保護法第 2 条第 1 項に定める個人情報
- 「要配慮個人情報」: 個人情報保護法第 2 条第 3 項に定める要配慮個人情報。なお、本サービスにおいて取扱う顔画像は、それ自体が要配慮個人情報に該当するものではなく、顔認証のための特徴量が生成される場合には個人識別符号(同法第 2 条第 2 項)を含む個人情報として取り扱われることがあります(GDPR が適用される場合は第 (3) 号の特別カテゴリーデータに該当します)。
- 「特別カテゴリーデータ」: GDPR 第 9 条第 1 項に定める個人データであって、自然人を識別する目的で処理される生体データを含む。
- 「データ管理者(Controller)」: GDPR 第 4 条 7 項に定める者
- 「データ処理者(Processor)」: GDPR 第 4 条 8 項に定める者
- 「データ主体(Data Subject)」: 個人情報により特定される自然人。本ポリシーにおいては利用者及びエンドユーザーがこれに該当します。
- 「画像データ」: 本サービスに対し利用者が API リクエストの一部として送信するエンドユーザーの顔画像データ。静止画及び動画を含み、動画は連続する画像フレームの集合として処理されます。
- 「処理結果」: 本サービスが画像データに対する処理を行った結果、利用者に返却するデータ(真偽値・信頼度スコア・解析データその他の付随情報を含む。)。なお、本サービスの商品ブランド名「なりすまし判定 API」における「判定」は商品名上の呼称であり、提供されるデータの内容は本号の「処理結果」を意味するものとします。
- 「利用者情報」: 利用者の氏名、メールアドレス、所属企業名、AWS Account ID、支払情報、当社が発行した API キーの最終利用時刻等。
4. 取得する個人情報の項目
4.1 利用者情報(利用者の担当者個人)
| 区分 | 項目 |
|---|---|
| 識別情報 | 氏名(First Name / Last Name)、メールアドレス、所属企業名 |
| 認証情報 | AWS Marketplace 経由で連携される AWS Account ID、Amazon Cognito 上の Subject(識別子)、ハッシュ化済パスワード(実体は Amazon Cognito で管理し当社サーバには平文保存しない) |
| 課金情報 | プラン名、当月使用量、ハードキャップ設定、プラン変更履歴 |
| 利用ログ | API キーの最終利用時刻、最終ログイン時刻、IP アドレス、User-Agent |
4.2 エンドユーザーの個人情報
| 区分 | 項目 |
|---|---|
| 個人情報(顔認証特徴量が生成される場合は個人識別符号を含む)/ 特別カテゴリーデータ(GDPR) | 顔画像(エンドユーザー本人が撮影した頭部の全部又は一部の画像)— 第 5 条に従い処理直後に破棄 |
| 処理メタデータ | 処理日時、処理結果(真偽値)、画像サイズ、リクエスト元 IP アドレス(利用者のシステムが用いる IP・エンドユーザー本人の IP ではない場合があります) |
重要: エンドユーザーの氏名・連絡先・住所等の属性情報は当社では一切取得しません。
4.3 当社ウェブサイト・顧客ダッシュボードでの取得
- IP アドレス、Cookie、User-Agent、リファラ、アクセス日時等
- Google Analytics 4 を用いた統計情報(個人を特定しない形)
5. 顔画像(個人情報)の特別な取扱い
5.1 取得の根拠
当社は、利用者からの委託に基づき、エンドユーザーの顔画像を取得します。利用者は、本サービスを利用する前に、当該エンドユーザーとの関係において、以下の事項に関し、適用法令に従い、必要な同意の取得その他適法な取得根拠を確保する義務を負うものとし、当社は、当該適法な取得根拠が確保されていることを前提として顔画像を取扱います(本サービス利用規約 第 9 条と一致)。
- 顔画像が個人識別符号を含む個人情報(顔認証特徴量が生成される場合)として、なりすまし判定の目的で第三者(当社)に提供されること
- 当社が日本国内(AWS 東京リージョン)のクラウドインフラ上で当該画像データの処理を行うこと
- 処理結果が利用者に返却され、利用者の事業目的のために利用されること
利用者が前記の取得根拠の確保を怠ったことに起因してエンドユーザーその他の第三者との間で紛争が生じた場合、利用者は、自己の責任と費用においてこれを解決するものとし、当社は一切の責任を負いません。なお、当社に損害が生じた場合、当社は利用者に対し、利用規約等に基づき賠償を請求することがあります。
5.2 処理目的
顔画像は、もっぱら以下の目的のためにのみ処理します。
- なりすまし判定アルゴリズムの実行
- 当該アルゴリズムによる処理結果の生成
5.3 保存方針(非保存・データミニマイゼーション)
当社は、第 5.5 条に基づく別途の合意がある場合を除き、顔画像を処理完了後速やかに破棄するものとし、当社のサーバ、ストレージ、データベース、ログ及びバックアップに、画像データの内容(バイト列・特徴量を含む。)を永続的に保存・蓄積しないものとします。ただし、システム障害対応、セキュリティ対策及び法令上の義務の履行その他合理的に必要な範囲において、画像データが一時的に残存する場合があります。具体的な技術的対応は以下のとおりです。
- 顔画像は HTTP リクエストボディとして受信後、コンテナのメモリ上にのみ展開され、推論処理完了後、当該プロセスの終了とともにメモリから消去されます。
- 当社のアプリケーションは、顔画像をディスク、データベース、ログ又はバックアップへ永続的に書き出さない設計を採用しています(実装の詳細は当社セキュリティホワイトペーパーに記載します)。
- 処理に関するログには、画像サイズ、処理結果(真偽値)、エラーコード等のメタデータのみが記録され、画像そのものは記録されません。
- AWS インフラ上の一時バッファ(OS カーネルのネットワークスタック、コンテナランタイム等)に瞬間的に保持される場合がありますが、当社のアプリケーションコードはこれを意図的に保持・永続化しません。
5.4 第三者提供の禁止
当社は、顔画像を、処理結果生成のためにアルゴリズムに引き渡す場合及び法令に基づく場合を除き、いかなる第三者にも提供しません。
5.5 機械学習・モデル改善目的での利用禁止
当社は、利用者から受領した顔画像を、当社の機械学習モデルの再訓練・ファインチューニング・性能評価その他の改善目的に利用しません。ただし、利用者と当社との間で別途明示的な合意がある場合は、当該合意の範囲内において例外的に利用することがあります。
5.6 統計的情報の作成
当社は、顔画像を含まない形での統計的情報(処理回数、エラー率、平均処理時間等)を作成し、本サービスの運用改善及び品質保証のために利用することがあります。これらの統計的情報は、特定の個人又はエンドユーザーを識別できない形に加工されています。
5.7 AI・アルゴリズムによる処理に関する説明
本サービスの処理結果は、AI・アルゴリズムによる統計的な推定に基づくものであり、その正確性・完全性を 100% 保証するものではなく、誤判定(偽陽性・偽陰性)が生じる可能性があります。利用者は、処理結果のこのような性質及び限界を踏まえ、自らの責任において処理結果を適切に利用するものとします。エンドユーザーに重大な影響を及ぼす意思決定(本人確認の最終判断、取引の拒否等)を行う場合には、必要に応じて人による確認その他の補完的手段を講じることが望ましいものとします。なお、GDPR が適用される場合のデータ主体の権利(第 12 条 2 項(7) 自動化された意思決定に関する権利)については、利用者(データ管理者)が一次的に対応します。
6. 利用目的
6.1 利用者情報の利用目的
| 利用目的 | 利用する情報 |
|---|---|
| 本サービスの提供・契約の履行 | 識別情報・認証情報・課金情報 |
| 本人確認及び不正利用の防止 | 認証情報・利用ログ |
| 料金請求・課金(AWS Marketplace 経由) | 識別情報・課金情報 |
| お問い合わせ・サポート対応 | 識別情報・利用ログ |
| 利用規約・ポリシーの変更等重要な通知 | 識別情報 |
| サービス改善・障害調査 | 利用ログ・利用者情報全般 |
| サービスに関する案内・マーケティング(事前の同意又はオプトアウト権を提供) | 識別情報 |
| 法令に基づく対応・監督官庁等への報告 | 必要な範囲の情報 |
6.2 エンドユーザー情報の利用目的
| 利用目的 | 利用する情報 |
|---|---|
| 利用者からの委託に基づくなりすまし判定の実施 | 顔画像 |
| 処理結果の生成及び利用者への返却 | 顔画像(処理過程)・処理メタデータ |
| 課金証跡の作成・保管 | 処理日時・利用者識別子・画像サイズ・処理結果(顔画像本体は含まない) |
| サービスの障害調査・セキュリティ監査 | 処理メタデータ(顔画像本体は含まない) |
| 統計的情報の作成(特定の個人を識別できない形) | 処理メタデータ |
7. 第三者提供
1 当社は、原則として、本人の同意(エンドユーザーについては利用者を通じた同意取得を含む。)を得ずに個人情報を第三者に提供しません。ただし、以下の場合は、関係法令に反しない範囲で、本人の同意なく個人情報を提供することがあります。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 合併、会社分割、事業譲渡その他の事由により個人情報を含む事業の承継がなされる場合
- 利用者が本サービスの利用規約に違反する行為を行い又はこれを行おうとするときに、当該行為に対して必要な措置をとる場合
2 当社は、個人データを第三者に提供した場合及び個人データを第三者から受領した場合、個人情報保護法第 26 条及び第 26 条の 2 が要求する記録を作成し、法令で定められた期間(原則として 3 年間)保管します。
8. 委託・サブプロセッサー
8.1 当社の委託先
当社は、本サービスの提供にあたり、以下の委託先(GDPR が適用される場合における当社のサブプロセッサーに該当します。)に対し、業務遂行に必要な範囲で個人情報の取扱いを委託します。
| 委託先(GDPR 上のサブプロセッサー) | 委託業務 | 提供する個人情報 | データ所在地 |
|---|---|---|---|
| Amazon Web Services, Inc. / アマゾン ウェブ サービス ジャパン合同会社 | クラウドインフラ(ECS Fargate / RDS / S3 / CloudWatch / API Gateway / Cognito / SES 等) | 全ての処理データ | 日本(東京リージョン ap-northeast-1) |
8.2 委託先の管理
当社は、委託先において個人情報の安全管理が図られるよう、必要かつ適切な監督を行います。具体的には次のとおりです。
- 委託先選定時のセキュリティ評価(AWS は ISO/IEC 27001、SOC 1/2/3、ISMAP 等の各種認証を取得しています)
- AWS Customer Agreement 及び AWS GDPR Data Processing Addendum に基づくデータ処理者としての義務付け
- 委託業務終了後の確実なデータ削除(AWS の責任共有モデルにおける顧客側の責任範囲)
8.3 サブプロセッサーの追加・変更
当社は、サブプロセッサーを追加又は変更する場合、本ポリシーを更新し、利用者に通知するものとします。
9. 越境データ移転
9.1 原則
当社は、本サービスのデータセンターを日本国内(AWS 東京リージョン
ap-northeast-1)に設置するものとし、顔画像及び利用者情報の主たる処理を日本国内で行います。
9.2 越境移転が発生する場合
ただし、以下の場合には個人情報が日本国外に移転される可能性があります。
- AWS Marketplace を経由した契約成立及び課金処理(AWS のグローバルインフラを経由)
- 当社が利用する SaaS サービス(メール配信、サポート CRM 等)の運営者が国外に所在する場合
- 利用者又はエンドユーザーが日本国外からアクセスし、AWS の CDN を経由する場合
外国にある第三者への個人データの提供が個人情報保護法第 28 条に該当する場合、当社は、移転先の国名、当該国における個人情報保護制度の概要及び当該第三者が講じる個人情報保護のための措置に関する情報を、本人の求めに応じて提供します。主たる移転先は米国(AWS のグローバルインフラ運営)であり、当該移転は AWS との間の契約(AWS GDPR Data Processing Addendum 及び標準契約条項を含む。)に基づく保護措置の下で行われます。
9.3 GDPR 適用時の措置
EU 域内のエンドユーザーに係る個人データを処理する場合、当社は GDPR 第 V 章の定める適切な保護措置を講じます。具体的には、欧州委員会が採択した標準契約条項(Standard Contractual Clauses, SCC)に基づく契約を AWS との間で締結することにより、適切な保護水準を確保します。
10. 安全管理措置
当社は、個人情報の漏洩、滅失又は毀損の防止その他の個人情報の安全管理のため、以下の措置を講じます。
10.1 組織的安全管理措置
- 個人情報取扱責任者(代表取締役)の設置
- 個人情報を取扱う従業者の範囲の限定及び役割分担の明確化
- 個人情報の取扱状況の監査
- インシデント対応手順の策定及び訓練
10.2 人的安全管理措置
- 従業者に対する個人情報保護及び情報セキュリティに関する教育の実施
- 従業者との間で締結する秘密保持契約
10.3 物理的安全管理措置
- AWS データセンターの物理的セキュリティ(AWS 責任範囲)
- 開発端末の盗難防止・暗号化(FileVault 等)
10.4 技術的安全管理措置
- 通信の暗号化(TLS 1.2 以上)
- 保存データの暗号化(RDS / EBS / S3 における暗号化保管 — AWS KMS 利用)
- アクセス制御(IAM 最小権限・Cognito 認証・API キー SHA-256 ハッシュ保存)
- 多要素認証(管理画面に対し TOTP MFA を必須化)
- WAF による不正アクセス防止(管理画面に対する IP 許可リスト適用)
- アクセスログ・監査ログの取得・保管(CloudWatch Logs /
admin_audit_logsテーブル) - 顔画像のディスク・データベース・ログへの永続的な保存・蓄積をしないこと(第 5 条第 3 項)
詳細は別途「セキュリティホワイトペーパー」を参照してください。
10.5 外国における安全管理措置
当社は、個人データを外国において取り扱う場合(AWS のグローバルインフラを経由する場合等)、当該外国の個人情報保護制度を把握した上で、委託先に対し、本条に定める安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行います。
11. 保有個人データの開示等請求
11.1 請求できる事項
データ主体は、当社に対し、以下の請求を行うことができます。
- 利用目的の通知の求め
- 開示の請求(個人情報保護法第 33 条)
- 訂正・追加・削除の請求(個人情報保護法第 34 条)
- 利用停止・消去・第三者提供の停止の請求(個人情報保護法第 35 条)
- 第三者提供記録の開示の請求(個人情報保護法第 33 条第 5 項)
11.2 請求手続き
請求は、support@swallow-incubate.com
宛に電子メールでお申出ください。本人確認のための書類の提出をお願いすることがあります。
11.3 対応期間
請求受領後、合理的な期間内(原則として 30 日以内)に対応します。
11.4 手数料
当社は、開示請求への対応を原則として無料で行います。ただし、電磁的記録の提供を含め、郵送等の実費を要する場合はその実費相当額(実費が発生しない場合は無料)を請求するほか、同一内容の請求が短期間に繰り返されるなど明らかに不合理な請求については、合理的な範囲で手数料を徴収します。なお、GDPR が適用されるデータ主体からの合理的な請求については、原則として無料で対応します。
11.5 例外
個人情報保護法その他の法令により当社がこれらの義務を負わない場合、正当な理由なく同内容の請求が何度も繰り返される場合、又は過度な技術的作業を要する場合は、これらの手続を行うことができない場合があります。
11.6 エンドユーザーの個人情報に関する請求
エンドユーザーから直接当社に対し開示等の請求があった場合、当社は、当該エンドユーザーの一次窓口は利用者(個人情報取扱事業者として顔画像を取得した事業者)であることを案内し、利用者に対し当該請求を転送するとともに、利用者による請求対応に合理的な範囲で協力・支援します。なお、当社はエンドユーザーの氏名・連絡先等の身元を特定する情報を保有しておらず(第 4 条 4.2)、いずれの請求が特定のエンドユーザー本人によるものかを当社単独で確認することが技術的に困難であるため、本人確認及び請求対応は利用者を通じて行うものとします。
12. GDPR 適用時の特則
EU 域内のデータ主体に係る個人データを処理する場合、本条が適用されます。
12.1 データ処理者としての立場
当社は、エンドユーザーの個人データを処理する場合、利用者(データ管理者)の指示に従って処理を行うデータ処理者(Processor)として位置付けられます。データ処理者としての義務は、当社と利用者の間で別途締結するデータ処理契約(Data Processing Agreement, DPA)の定めによります。
12.2 データ主体の権利
データ主体は GDPR 上、以下の権利を行使することができます。
- アクセス権(Art. 15)
- 訂正権(Art. 16)
- 削除権・忘れられる権利(Art. 17)
- 処理制限権(Art. 18)
- データポータビリティ権(Art. 20)
- 異議申立権(Art. 21)
- 自動化された意思決定に関する権利(Art. 22)
請求は前条の手続きに準じて行うことができますが、エンドユーザーに係る権利の一次窓口は利用者となります。当社は、データ処理者として、利用者(データ管理者)がデータ主体の権利行使に対応するために合理的な範囲で支援します(GDPR Art. 28(3)(e))。
12.3 漏洩通知
当社は、個人データの漏洩事故(その疑いを含む。)を認識した場合、データ処理者として、不当な遅滞なく(without undue delay)利用者(データ管理者)に対し通知します。監督官庁及びデータ主体への通知は、原則として利用者(データ管理者)がその責任において行うものとし、当社はこれに合理的な範囲で協力します。
12.4 越境移転
第 9 条第 3 項に定めるとおり、適切な保護措置を講じます。
13. CCPA / CPRA 適用時の特則
カリフォルニア州の居住者に係る個人情報を処理する場合、本条が適用されます。
13.1 サービスプロバイダーとしての立場
当社は、CCPA 上の「サービスプロバイダー(Service Provider)」として、利用者の指示に従ってのみ個人情報を処理します。当社は、利用者から受領した個人情報を第三者に販売(Sell)又は共有(Share)しません。なお、当社が作成する統計的情報(第 5 条 5.6)は、特定の個人を識別できないよう加工・集計された情報(de-identified / aggregated information)に限られ、CCPA 上の「販売」又は「共有」には該当しません。
13.2 カリフォルニア居住者の権利
カリフォルニア居住者は、以下の権利を有します。
- 知る権利(Right to Know)
- 削除を求める権利(Right to Delete)
- 訂正を求める権利(Right to Correct)
- 販売・共有のオプトアウト権(Right to Opt-Out)— 当社は販売・共有を行わないため該当事項なし
- 差別を受けない権利(Right to Non-Discrimination)
請求は第 11 条の手続きに準じて行うことができますが、エンドユーザーに係る権利の一次窓口は利用者となります。
14. Cookie 及び類似技術
当社ウェブサイト及び顧客ダッシュボードでは、利用者の利便性向上及びサービス改善のために、Cookie 及び類似の技術を使用することがあります。利用者は、ブラウザの設定により Cookie を無効化することができますが、本サービスの一部機能が利用できなくなる場合があります。
15. 子どもの個人情報
本サービスは、事業者専用のサービスとして提供されるものであり、当社は 16 歳未満の子どもから直接個人情報を取得することは想定していません。エンドユーザーに 16 歳未満の子どもが含まれる場合、利用者は、当該子どもの法定代理人から GDPR 第 8 条その他適用法令に基づく同意を取得する責任を負います。
16. 苦情・お問い合わせ窓口
| 項目 | 内容 |
|---|---|
| 窓口 | 株式会社スワローインキュベート 個人情報お問い合わせ窓口 |
| 本サービス専用メールアドレス | liveness-api@swallow-incubate.com |
| 一般お問い合わせメールアドレス | support@swallow-incubate.com |
| 受付時間 | 平日 9 時〜18 時 JST(土日祝日・年末年始を除く) |
EU 域内のデータ主体は、所在国又は居住国の監督官庁に対し直接苦情を申立てることができます。
17. 改定手続き
当社は、法令の改正、本サービスの変更その他必要に応じて、本ポリシーを変更することがあります。重大な変更を行う場合、効力発生日の 30 日前までに利用者に通知します。
【2026年06月03日 制定】
株式会社スワローインキュベート
〒305-0047 茨城県つくば市千現 2-1-6 つくば研究支援センター B-5
代表取締役 大野 寿和
