// privacy
プライバシーポリシー
最終更新 · 2026-05-17
当社について
FixVibeはEGO HERO LLCが運営しており、本ポリシーに記載される個人データのデータ管理者です(「当社」)。GDPR、UK GDPR、CCPAに基づくデータ主体の請求を含むプライバシーに関するお問い合わせは、privacy@fixvibe.appまでご連絡ください。その他のお問い合わせはsupport@fixvibe.appまでお送りください。
収集する内容、目的、保存期間
アカウントデータ
メールアドレス、OAuth識別子(GoogleまたはGitHubでサインインする場合)、およびOAuthプロバイダーから受け取る氏名。あなたを認証し、アカウントに関して連絡するために使用します。アカウントが有効な間保存されます。アカウントを削除すると、このデータは30日以内に削除されます。ただし、保持が義務付けられる場合(税法上の請求記録など)を除きます。
法的根拠 · 契約の履行 — Art. 6(1)(b) GDPR
スキャン対象と検出結果
あなたがスキャンするURL、それらのURLに対して当社が行うリクエスト、および当社が生成する検出結果。これらはあなたの組織に紐づけて保存されます。当社は、プランの保存期間を超えた記録を自動的に削除します: 30日(Hobby)、90日(Pro)、365日(Unlimited)。スキャン履歴はいつでもアカウント → プライバシーからエクスポートまたは削除できます。
法的根拠 · 契約の履行 — Art. 6(1)(b) GDPR
匿名スキャンセッション
サインインせずにスキャンを実行する場合、当社はHMAC署名付きCookie(fixvibe_anon_session、有効期間24時間)を発行し、不透明なランダムIDを保持します。未請求の匿名スキャン記録は24時間後に自動的に削除されます。24時間の期間内に登録すると、スキャンは新しいアカウントに移行されます。匿名ユーザーが登録しない限り、当社はそのユーザーが誰であるかを知りません。
法的根拠 · 厳密に必要 — ePrivacy Art. 5(3) 免除
請求データ
Stripeは当社の決済処理事業者です。カード情報はStripeがPCI-DSSインフラストラクチャ上に保存します。当社が保存するのは、Stripe顧客ID、サブスクリプション状態、プラン、期間の開始/終了、webhookイベントの小さな冪等性レコードのみです。Stripeのプライバシー通知はstripe.com/privacyをご覧ください。
法的根拠 · 契約の履行 — Art. 6(1)(b) GDPR
サーバーログおよび監査ログ
有効期間の短い API リクエスト ログには、サービスをデバッグして不正行為を検出できるように、IP アドレス、ユーザー エージェント、メソッド、パス、ステータス、期間、リクエスト ID、ユーザー/組織コンテキスト、およびエラー文字列が含まれる場合があります。これらのリクエスト ログは、保持 cron によって 72 時間後に自動的に削除されます。cron スケジュールには最大 24 時間かかります。セキュリティ関連のアクション (サインイン、スキャンの開始、トークンの作成/取り消し、プランの変更、アカウントの削除、管理/サポートのアクションを含む) の監査ログには、IP アドレス、ユーザー エージェント、およびリクエストのメタデータが含まれる場合があります。監査ログは、法的手続きに従うため、または法的請求を弁護するためにより長い期間が必要な場合を除き、18 か月後に自動的に削除されます。
法的根拠 · 正当な利益 — Art. 6(1)(f) GDPR
GitHub連携(任意、Pro+のみ)
アカウント → 連携からGitHubアカウントを接続すると、当社はあなたの組織用に暗号化されたOAuthアクセストークン、GitHubログイン + 数値ユーザーID、および付与されたscopesを保存します。当社は、そのトークンを、あなたがスキャンを開始したリポジトリの読み取りのみに使用します。ソースコードはスキャンごとに取得され、メモリ内で処理され、個別の検出証拠のみが永続化されます(完全なソースダンプは保存しません)。切断後30日以内に削除されます。
法的根拠 · 契約の履行 / 同意 — Art. 6(1)(b) + 6(1)(a) GDPR
APIトークン + MCPサーバー(任意)
アカウント → APIトークンで作成するトークンは、SHA-256ハッシュ、識別用の先頭8文字の平文、あなたが付けた名前、作成/最終使用/失効のタイムスタンプとして保存されます。平文は作成時に一度だけ表示され、永続保存されることはありません。トークンはbearer認証情報です。その値を持つ人は、あなたが失効させるまで、スキャンを読み取り、新しいスキャンを開始できます。/api/mcpのMCPサーバーは同じトークンで認証され、ダッシュボードが表示するのと同じデータを公開し、別のデータカテゴリは作成しません。
法的根拠 · 契約の履行 — Art. 6(1)(b) GDPR
アウトバウンド Webhook (オプション、有料プラン)
「アカウント」→「Webhook」から Webhook エンドポイントを作成すると、エンドポイント URL、選択したイベント タイプ、配信ステータス、短い応答の抜粋、および暗号化された署名シークレットが保存されます。スキャン、検索、監視アラート、およびスケジュールされた実行のメタデータを、構成されたエンドポイントに送信します。これらのエンドポイントは、FixVibe サブプロセッサではなく、組織によって選択された受信者です。
法的根拠 · 契約の履行 — 第 3 条6(1)(b) GDPR
ライブ脅威検出(任意、Unlimitedのみ)
検証済みドメインで監視を有効にしている場合、当社はそのドメインについて、証明書透明性ログエントリ、DNSレコード、脅威インテリジェンスリスト(Spamhaus DBL、URLhaus)を定期的に取得します。これらのスナップショットには、あなたが当社にスキャンを許可済みのホスト名と、公開照会の公開結果が含まれます。あなたのエンドユーザーの個人データは取得しません。7日を超えたスナップショットは自動的に削除され、信号タイプごとに最新のベースラインが保持されます。
法的根拠 · 契約の履行 — Art. 6(1)(b) GDPR
スケジュール再スキャン(任意、Pro+のみ)
検証済みドメインでスケジュールスキャンを有効にすると、当社は頻度、前回実行時刻、次回実行時刻、およびスケジュールを有効にしたユーザーを記録します。cronで起動される各スキャンは、ドメインが最初に検証された際のスキャン許可証明を引き継ぎます — 実行ごとに再証明する必要はありません。ドメイン → スケジュールでいつでも無効化できます。
法的根拠 · 契約の履行 — Art. 6(1)(b) GDPR
分析(任意、同意が必要)
分析に同意し、かつあなたが使用しているデプロイに分析が設定されている場合、当社はプライバシーに配慮したプロダクト分析プロバイダー(当社独自ドメイン経由でプロキシ)を使用して匿名の利用状況を記録します — どのボタンがクリックされたか、どのチェックが実行されたか、ユーザーがファネルのどこで離脱したかなどです。スキャン対象URL、証拠内容、個人データを分析イベントに入れることはありません。同意はいつでもから撤回できます。
法的根拠 · 同意 — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)
プロモーションオファーの請求
プロモコード、招待リンク、または紹介クレジットを請求するとき、当社はキャンペーンコード、付与したプランと期間、トライアル開始と終了のタイムスタンプ、トライアル前に保有していたプラン、および請求時のIPアドレスのHMAC-SHA256ハッシュを保存します(生のIPは決して保存しません — ハッシュはネットワークあたり1回の請求制限を強制するためにのみ存在し、基礎となるHMACキーをローテーションすると、誰も露呈することなく保存されたすべてのハッシュが無効になります)。会計および不正調査目的のためにキャンペーンの存続期間プラス18ヶ月間保持され、その後キャンペーンレコードの残りと共に削除されます。
法的根拠 · 正当な利益(不正防止、会計)— GDPR第6条(1)(f)
コンテスト、抽選、およびチャレンジ
FixVibeチャレンジ(Security Preflight Challengeなど)にエントリーする場合、当社は提出された連絡先メール(当選時に連絡するために必要)、任意で提供されるRedditおよびProduct Huntのユーザー名、スキャンIDとルートドメイン、任意で提供される自己申告のプロジェクトタイプ、スタック、学んだこと1つのテキスト、任意で選択された発見チャネルの値、および受け入れた3つの必須同意チェックボックス(認可、ルール、連絡先)を保存します。任意のマーケティングでの紹介同意を別途チェックした場合、当社はFixVibeホームページ、チャレンジページ、または振り返り投稿に、お客様の公開スコア、評価、スタック、ユーザー名、提出された引用を表示することがあります — 決して他のフィールドではなく、そのオプトインなしには表示しません。チャレンジエントリーは、検証および紛争目的でチャレンジの存続期間プラス18ヶ月間保持されます。マーケティングでの紹介同意は、privacy@fixvibe.appへのメールでいつでも撤回できます。撤回は撤回前の合法的な処理に影響しません。
法的根拠 · 契約の履行(チャレンジの実施)および同意(紹介)— GDPR第6条(1)(b)および第6条(1)(a)
収集しないもの
- 当社はあなたのデータを販売しません。
- 第三者のad-tech、フィンガープリンティング、セッションリプレイスクリプトを埋め込みません。
- スキャン対象URLや検出証拠を分析プロパティに入れることはありません — それらのデータは当社データベース内にのみ存在し、行レベルセキュリティで保護されます。
- 第三者自身のマーケティング目的であなたのデータを第三者と共有しません。
副処理者
FixVibeの運営にあたり、当社は以下の副処理者を利用しています:
- Vercel Inc.(米国)— アプリケーションホスティングおよびエッジネットワーク。プライバシー通知: vercel.com/legal/privacy-policy。
- Supabase Inc.(米国)— Postgresデータベース、認証、ファイルストレージ、Realtime。FixVibeの本番データベースはAWS us-east-1リージョンにあります。プライバシー通知: supabase.com/privacy。
- Stripe Inc.(米国)— 有料プランの決済処理。プライバシー通知: stripe.com/privacy。
- Upstash, Inc.(米国、Vercel Marketplace経由)— Redisベースのレート制限。短期間のIPベースカウンターのみを保存します。プライバシー通知: upstash.com/privacy。
- PostHog Inc.(米国)— プロダクト分析。あなたが分析に同意し、かつ使用中のデプロイに分析が設定されている場合に限ります。プライバシー通知: posthog.com/privacy。
- GitHub, Inc.(米国)— 任意のGitHub連携を接続した場合のみ。当社はGitHubのAPIを使用して、あなたがスキャンを開始したリポジトリを読み取ります。プライバシー通知: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement。
- Resend, Inc.(米国)— トランザクションメール配信。当社がスキャン完了、スケジュールスキャン、ライブ脅威アラート、週次ダイジェストのメールを送信するとき、Resendはあなたのメールアドレスとメール本文を受け取ります。Resendは運用目的で配信メタデータ(タイムスタンプ、ステータス、バウンス記録)を保持します。当社はResend経由でマーケティングメールを送信しません。プライバシー通知: resend.com/legal/privacy-policy。
EEA/英国外への個人データの移転は、欧州委員会の標準契約条項(または英国のInternational Data Transfer Addendum)に依拠し、下記の「セキュリティ」で説明する転送中および保存時の暗号化措置により補完されます。
当社に代わって個人データを処理する新しいサブプロセッサーを追加する場合は、このリストを更新し、アプリ内でお客様に通知します。お客様が構成した送信 Webhook エンドポイントは、FixVibe サブプロセッサではなく、お客様が選択した受信者です。
あなたの権利
GDPR、UK GDPRおよび同等の法律(CCPA/CPRA、LGPD、PIPEDA、Australian Privacy Actなど)に基づき、あなたには以下の権利があります:
- あなたのデータのコピーにアクセスすること(アカウント → プライバシーからセルフサービスで行えます);
- あなたのデータを訂正させること;
- あなたのデータを削除させること(これもセルフサービスで行えます);
- 正当な利益に基づく処理に異議を唱えること;
- 分析への同意をいつでもから撤回すること;
- データポータビリティ — エクスポートはJSON形式です;
- 所在地の監督機関(EU/英国/EEA)または同等の機関に苦情を申し立てること。
当社は検証可能な権利請求に30日以内に回答します。セルフサービスでは対応できない請求(当社が公開していない項目の訂正、処理の制限、異議申立て)については、件名を「Privacy request」としてsupport@fixvibe.appまでメールしてください。
カリフォルニア州居住者(CCPA / CPRA)
当社はあなたの個人情報を販売しません。クロスコンテキスト行動広告のために個人情報を共有することもありません。PostHogによる分析は、Cookieバナーであなたが同意した後にのみ実行されます。同意はいつでもから、またはフッターのあなたのプライバシー選択をクリックして撤回できます。
あなたがカリフォルニア州居住者である場合、さらに以下の権利があります:
- 当社が収集する個人情報、その情報源、目的、および共有先の第三者を知ること(すべて上記に詳述しています);
- あなたの個人情報の削除を請求すること(アカウント → プライバシーからのセルフサービス、または当社へのメール);
- 不正確な個人情報を訂正すること;
- センシティブな個人情報の使用および開示を制限すること — 当社は、サービス提供に必要な認証情報とセッションメタデータを超えるものを収集しません;
- 販売または共有をオプトアウトすること — 当社はいずれも行っていないため該当しません;
- 上記の権利を行使したことを理由に差別されないこと。
当社はGlobal Privacy Control(GPC)シグナルを自動的に尊重します。GPCヘッダーが送信された場合、あなたの訪問は、今後の分析同意を明示的にオプトアウトしたものとして扱われます。
セキュリティ
すべてのデータベーステーブルに行レベルのセキュリティを強制します。ユーザーには、自分がメンバーである組織に属するレコードのみが表示されます。認証済みスキャン ヘッダーが指定されると、保存時に AES-256-GCM で暗号化され、スキャンの完了後に削除されます。 Stripe Webhook ペイロードは処理前に HMAC 検証され、顧客の送信 Webhook 署名秘密は保存時に暗号化されます。サービス ロール データベースの資格情報はサーバー ランタイム上でのみ保持され、ブラウザーに公開されることはありません。あなたと FixVibe の間、および FixVibe と当社のサブプロセッサの間のすべてのトラフィックは、TLS 1.2 以降を使用します。
完全なセキュリティプログラムは存在しません。FixVibeの脆弱性を発見したと思われる場合は、support@fixvibe.appまで報告してください。
本ポリシーの変更
重大な変更(新しい副処理者、新しいデータカテゴリ、新しい保存期間など)を行う場合、当社は上記の日付を更新し、アプリ内で通知します。軽微な文言修正では通知は行いません。
お問い合わせ
privacy@fixvibe.app — 通常5営業日以内に返信し、GDPR Art. 12(3)で求められる30日を超えることはありません。
