株式会社ヒットライン（以下「当社」といいます。）は、EC事業者、販売事業者、取引先および関連する事業者に対し、ECプラットフォームとのAPI連携、システム開発、アプリケーション開発、データ連携、運用支援、販売支援、受注・在庫・配送管理支援等のサービス「HitBoost」（以下「本サービス」といいます。）を提供します。

当社は、本サービスにおいて取り扱う情報資産、業務データ、認証情報、API連携により取得するデータ、ログ、システム設定情報および業務上知り得た秘密情報を重要な資産と位置づけ、以下の方針に基づき、適切な情報セキュリティ管理に取り組みます。

なお、当社における個人情報の取扱いについては、当社が別途公表する「個人情報保護方針」および「個人情報の取扱いについて」に従います。本ポリシーは、個人情報の取扱いに関する方針を補完し、本サービスにおける情報セキュリティ、ECプラットフォームAPIデータ、認証情報、システム運用およびセキュリティ管理に関する方針を定めるものです。

本ポリシーは、当社が本サービスの提供に関連して取得、保存、閲覧、処理、送信、利用、削除または廃棄する情報資産およびシステムに適用されます。

対象となる情報およびシステムには、以下を含みます。

• EC事業者、販売事業者、取引先およびその担当者に関する業務情報
• ECプラットフォーム等のAPI、Webhook、管理画面、CSV、連携機能その他の手段を通じて取得する情報
• 商品、在庫、受注、注文、配送、返品、返金、売上、広告、販売分析等に関する業務データ
• アクセストークン、リフレッシュトークン、APIキー、Webhookシークレット、接続設定情報その他の認証情報
• 操作ログ、認証ログ、API通信ログ、エラーログ、監査ログその他のシステム運用上必要な情報
• 本サービスを構成するアプリケーション、データベース、サーバー、ネットワーク、バックアップ、開発・運用環境
• 本サービスに関連して当社が取り扱う秘密情報、非公開情報および契約上保護すべき情報

本ポリシーにおける「ECプラットフォーム等」とは、当社が本サービスにおいて連携、開発、運用支援、販売支援またはデータ処理の対象とするECモール、マーケットプレイス、販売支援サービス、配送・在庫・受注管理関連サービス、広告・分析関連サービスその他の外部サービスをいいます。

ECプラットフォーム等には、以下を含みます。

• Amazon
• 楽天市場
• Yahoo!ショッピング
• TikTok Shop
• STOREE SAISON
• Qoo10
• au PAY マーケット
• JRE MALL
• ANA モール
• メルカリ Shops
• その他、当社が本サービスに関連して連携または支援するEC関連サービス

当社は、以下の事項を情報セキュリティ管理の基本方針とします。

1. 法令、ガイドライン、契約、ECプラットフォーム等の規約および当社が同意した各種ポリシーを遵守します。
2. 取得する情報は、本サービスの提供、保守、改善、障害対応、セキュリティ確保、契約履行および法令遵守に必要な範囲に限定します。
3. 業務上必要な最小限の情報のみを取り扱い、目的外利用を行いません。
4. 情報へのアクセス権限を必要最小限に制限し、認証、認可、アクセス制御、ログ管理等により適切に管理します。
5. 通信および保存における暗号化、認証情報管理、脆弱性対策、バックアップ、ログ監視等の技術的・組織的安全管理措置を講じます。
6. セキュリティインシデントまたはその疑いを検知した場合、速やかに調査し、影響範囲の確認、封じ込め、復旧、再発防止および関係者への通知を行います。
7. 本ポリシーおよび関連する社内ルールを継続的に見直し、改善します。

当社は、本サービスの提供に必要な範囲で、以下の情報を取得または取り扱うことがあります。

• 会社名、屋号、部署名、担当者名
• メールアドレス、電話番号、住所
• 契約、請求、支払、問い合わせ、サポート対応に必要な情報
• 商談、業務連絡、設定依頼、運用依頼、障害対応に関する情報

• ショップ、店舗、販売者、アカウント、アプリ、連携設定に関する識別子
• 商品情報、SKU、JANコード、価格、在庫、カテゴリ、画像、説明文
• 注文番号、注文日時、注文ステータス、決済状況、配送状況、返品・返金状況
• 注文処理、配送、直送、返品、問い合わせ対応等に必要な情報
• 売上、販売実績、広告、キャンペーン、アクセス解析、販売分析に関する情報
• API連携、Webhook、同期処理、エラー、アクセス履歴に関するログ
• ECプラットフォーム等から付与または取得するアクセストークン、リフレッシュトークン、APIキー、Webhookシークレット、認証情報、接続設定情報

• IPアドレス、ユーザーエージェント、端末、ブラウザ、OS等の技術情報
• 操作ログ、認証ログ、APIリクエストログ、エラーログ、監査ログ
• システム設定、ジョブ実行履歴、バックアップ履歴、障害対応履歴
• セキュリティ調査、脆弱性対応、障害対応、監査に必要な情報

当社は、取得または取り扱う情報を以下の目的で利用します。

1. 本サービスの提供、設定、運用、保守および改善のため
2. ECプラットフォーム等とのAPI連携、データ同期、Webhook処理、CSV処理、在庫同期、注文同期、商品登録、価格更新その他の関連機能を提供するため
3. 商品管理、在庫管理、注文管理、配送管理、返品・返金対応、売上分析、販売分析、業務効率化等の支援を行うため
4. 取引先からの問い合わせ、サポート、障害対応、設定変更、メンテナンス、通知に対応するため
5. 不正アクセス、不正利用、情報漏えい、脆弱性、障害、権限設定ミスその他のセキュリティリスクを検知、調査、防止および対応するため
6. 契約、請求、支払、会計、税務、監査その他の事務処理を行うため
7. 法令、契約、ECプラットフォーム等の規約、行政機関またはECプラットフォーム等の運営者からの正当な要請に対応するため
8. 本サービスの品質向上、機能改善、利用状況分析、業務改善を行うため
9. 取引先の指示または同意に基づき、AI、MCP、機械学習、データ分析その他の技術を用いた業務支援機能を提供するため

当社は、取得した情報を、契約先の同意または正当な根拠なく、上記利用目的の範囲を超えて利用しません。

当社は、ECプラットフォーム等のAPI、Webhook、管理画面、CSV、連携機能その他の手段を通じて取得するデータについて、以下の原則に従って取り扱います。

1. 取得するAPIスコープおよびアクセス権限は、本サービスの提供に必要な最小限の範囲に限定します。
2. ECプラットフォーム等から取得した販売者、購入者、商品、在庫、注文、配送、返品、返金、売上、広告、分析その他のデータは、契約先へのサービス提供、保守、障害対応、セキュリティ対応、契約履行および法令遵守に必要な目的にのみ利用します。
3. ECプラットフォーム等から取得したデータを、第三者への販売、貸与、広告配信、契約先と無関係なプロファイリング、または本サービスと無関係な目的に利用しません。
4. ECプラットフォーム等の規約またはAPI利用条件により制限されるデータについては、当該規約または利用条件に従って取り扱います。
5. アクセストークン、リフレッシュトークン、APIキー、Webhookシークレットその他の認証情報は、秘密情報として取り扱い、アクセス制限、暗号化、漏えい防止措置を講じます。
6. API連携の解除、契約終了、または契約先からの削除要請があった場合、法令、契約または正当な業務上必要な保存期間を除き、関連データを削除、匿名化または復元困難な方法で廃棄します。
7. 本サービスに関係しない目的で、ECプラットフォーム等から取得したデータを無断で他のサービス、顧客、取引先または第三者に流用しません。

当社は、本サービスの品質向上、業務効率化、販売分析、需要予測、問い合わせ対応支援、異常検知その他の目的で、AI、MCP、機械学習、統計分析その他のデータ分析技術を利用する場合があります。

AI、MCPおよびデータ分析技術を利用する場合、当社は以下の方針に従います。

1. AI、MCPまたはデータ分析機能は、契約先の同意または契約先からの指示に基づき提供します。
2. ECプラットフォーム等から取得したデータをAI、MCPまたはデータ分析技術に利用する場合は、契約先へのサービス提供、契約先の業務支援、本サービスの保守・改善またはセキュリティ確保に必要な範囲に限定します。
3. 契約先ごとにデータ、設定、権限、作業領域または処理環境を分離し、異なる契約先のデータが混在しないよう適切に管理します。
4. 個人情報を含むデータをAI、MCPまたはデータ分析技術に利用する場合は、必要に応じて匿名化、仮名化、マスキング、集計化、アクセス制御その他の保護措置を講じます。
5. 契約先の同意または正当な根拠なく、ECプラットフォーム等から取得したデータを、第三者の広告配信、第三者向けプロファイリング、または本サービスと無関係な外部モデルの学習目的に利用しません。
6. 外部のAIサービス、MCP関連サービスまたはデータ処理サービスを利用する場合は、当該サービスのデータ取扱条件、学習利用の有無、保存期間、第三者提供、国外移転、安全管理措置等を確認し、必要な範囲で契約上または技術上の保護措置を講じます。
7. ECプラットフォーム等の規約、API利用条件または契約によりAI、MCPまたはデータ分析技術の利用が制限されている場合は、当該制限に従います。

当社は、本サービスに関連して個人情報を取り扱う場合、当社が別途公表する「個人情報保護方針」および「個人情報の取扱いについて」に従い、適切に取り扱います。

本サービスにおいては、注文処理、配送、直送、返品、問い合わせ対応、販売分析、障害対応等に必要な範囲で個人情報を取り扱う場合があります。

当社は、個人情報を含むデータについて、本ポリシーに定める情報セキュリティ管理措置に加え、当社の個人情報保護マネジメントシステムに基づき、適切な安全管理措置を講じます。

当社は、取り扱う情報の漏えい、滅失、毀損、不正アクセス、不正利用、改ざん、誤送信、権限設定ミス等を防止するため、以下の安全管理措置を講じます。

• 情報セキュリティに関する責任者または担当者の設置
• 情報資産、個人情報、秘密情報、認証情報の取扱いルールの整備
• アクセス権限の付与、変更、削除および定期的な見直し
• セキュリティチェック、脆弱性確認、バックアップ、ログ確認等の運用手順の整備
• インシデント発生時の報告、調査、対応、再発防止手順の整備
• 法令、契約、ECプラットフォーム等の規約および社内ルールの遵守状況の確認

• 従業者、役員、業務委託先その他の関係者に対する秘密保持義務の設定
• 情報セキュリティおよび個人情報保護に関する教育、周知または注意喚起
• 業務上必要な範囲を超える情報閲覧、持ち出し、複製、共有の禁止
• 退職、契約終了、担当変更時のアクセス権限削除および認証情報の見直し

• Google ID認証その他の認証方式による利用者認証
• 多要素認証の利用の推奨および必要に応じた有効化
• ロール、担当業務または必要性に応じたアクセス制御
• HTTPS等による通信経路の暗号化
• 個人情報を含む重要情報のデータベースフィールド単位での暗号化
• 記録媒体または仮想ディスク全体の暗号化
• APIキー、トークン、シークレットその他の秘密情報の安全な保管
• ソースコード、公開リポジトリ、チャット、メール本文等への秘密情報の平文記載防止
• ログ取得、エラー監視、操作履歴の確認
• バックアップの取得、世代管理および復旧手順の整備
• 脆弱性情報の確認、脆弱性スキャン、プラグインおよび関連ソフトウェアの更新

• 業務端末、記録媒体、認証情報の盗難、紛失、不正利用の防止
• 業務端末への認証設定、ロック、暗号化等の保護措置
• サーバー、VPS、クラウド基盤その他のインフラに関する管理情報の保護
• 紙媒体または外部記録媒体を利用する場合の保管、持ち出し、廃棄管理

当社は、本サービスの提供にあたり、当社が管理するWindows Server VPS、SQL Serverその他のシステム環境を利用します。

当社は、システム環境について以下の管理を行います。

1. サーバー、データベース、アプリケーション、ネットワーク設定を必要な範囲で管理します。
2. 不要なアカウント、権限、サービス、ポート、接続設定を制限します。
3. 管理者権限は必要最小限の者に限定します。
4. システム、ミドルウェア、プラグイン、依存ライブラリ等について、必要に応じて更新および脆弱性対応を行います。
5. 障害、異常、エラー、不正利用の兆候を確認するため、必要なログを取得し、適切に管理します。
6. VPS事業者その他のインフラ提供事業者に関する具体的な情報は、セキュリティ上の理由により公開文書には記載しません。ただし、契約先、ECプラットフォーム等の運営者、監督官庁その他の正当な権限を有する者から必要な範囲で開示を求められた場合は、法令、契約および守秘義務に従い、個別に対応します。

当社は、情報へのアクセスを、業務上必要な担当者に限定します。

• 管理者権限は必要最小限の者に限定します。
• 本番環境、顧客データ、個人情報、認証情報、API連携設定へのアクセスは、必要性を確認した上で実施します。
• 権限付与、変更、削除の履歴または管理記録を保持します。
• 退職者、契約終了者、担当外となった者の権限は速やかに削除します。
• 重要な操作については、ログを取得し、必要に応じて確認します。
• 利用者認証にはGoogle ID認証その他の認証方式を利用し、アカウントの安全性確保のため、多要素認証の利用、強固なパスワード管理、不要アカウントの停止等を推奨または実施します。

当社は、個人情報、認証情報、APIキー、アクセストークン、リフレッシュトークン、Webhookシークレット、秘密情報等について、適切な暗号化または同等の保護を行います。

• 外部通信には、HTTPS等の暗号化された通信方式を使用します。
• 個人情報を含む重要情報は、データベース上で個別フィールドごとにAES-256相当の暗号化を行います。
• 個人情報を含む重要情報を保存する記録媒体または仮想ディスク全体について、暗号化その他の保護措置を講じます。
• APIキー、トークン、シークレットは、ソースコード、公開リポジトリ、チャット、メール本文等に平文で保存または共有しません。
• 秘密情報は、アクセス制限された環境で管理します。
• 認証情報の漏えいまたは漏えいの疑いを検知した場合、速やかに無効化、再発行、影響調査および再発防止を行います。

当社は、システムの安定運用、障害対応、不正アクセス検知、セキュリティ監査、規約遵守確認のため、必要な範囲でログを取得します。

取得するログには、以下が含まれる場合があります。

• アクセス日時
• 操作内容
• 認証履歴
• APIリクエストおよびレスポンスに関する情報
• エラー内容
• 同期処理の実行履歴
• 管理操作履歴
• セキュリティチェックおよび脆弱性対応に関する記録

ログには、必要最小限の情報のみを記録するよう努め、個人情報または秘密情報を含むログについては、アクセス制限、保存期間管理、削除またはマスキング等の保護措置を講じます。

当社は、データの滅失、毀損、障害、誤操作、セキュリティインシデント等に備え、データベースおよび関連データのバックアップを取得します。

• データベースについて、必要な範囲でバックアップを取得します。
• バックアップは世代管理を行います。
• 原則として、30日を超えたバックアップは削除します。ただし、障害対応、セキュリティ調査、法令、契約その他の正当な理由により必要な場合は、この限りではありません。
• バックアップデータについても、個人情報、秘密情報、認証情報を含む場合は、本番データと同等の安全管理措置を講じます。
• 必要に応じて、復旧手順の確認および見直しを行います。

当社は、本サービスに関連するシステム、アプリケーション、サーバー、データベース、プラグイン、依存ライブラリ、API連携機能等について、脆弱性の把握および対策に努めます。

当社は、以下の運用を行います。

1. 脆弱性スキャンを3か月に1回実施します。
2. 毎月月末にセキュリティチェックを実施します。
3. プラグインおよび関連ソフトウェアのバージョン更新確認を3か月に1回実施します。
4. プラグインおよび関連ソフトウェアの脆弱性情報を、JPCERT/CC、JVNその他の信頼できる情報源を用いて毎月月末に確認します。
5. 重大な脆弱性が確認された場合、影響範囲を評価し、優先度に応じて修正、設定変更、回避策、アップデート等を実施します。
6. 開発時には、認証、認可、入力検証、エラーハンドリング、秘密情報管理、ログ出力、権限分離に注意します。
7. 必要に応じて、コードレビュー、セキュリティレビュー、テスト、外部規約への適合確認を実施します。

当社は、取得した情報を、利用目的の達成に必要な期間、契約上必要な期間、法令上保存が求められる期間、またはセキュリティ・監査・障害対応上必要な期間に限り保存します。

保存期間の目安は以下のとおりです。

• 注文、配送、返品、返金、販売実績等の業務データ：少なくとも1年間、または法令・契約・ECプラットフォーム等の規約上必要な期間
• 契約、請求、会計、税務に関する情報：法令または社内規程に基づき必要な期間
• API連携ログ、操作ログ、エラーログ：セキュリティ監査、障害対応、不正利用調査および運用改善に必要な期間
• アクセストークン、APIキー等の認証情報：連携に必要な期間
• バックアップデータ：原則として30日間。ただし、障害対応、セキュリティ調査、法令、契約その他の正当な理由により必要な場合を除きます。
• サポート問い合わせ情報：対応完了後、再問い合わせ、品質改善、紛争防止および契約履行に必要な期間

保存期間を経過した情報、または利用目的の達成後に不要となった情報は、合理的な期間内に削除、匿名化または復元困難な方法で廃棄します。

当社は、法令に基づく場合、契約先の同意がある場合、契約履行に必要な場合、または本サービスの提供に必要な範囲で委託する場合を除き、ECプラットフォーム等から取得したデータまたは秘密情報を第三者に提供しません。

当社は、本サービスの提供に必要な範囲で、ECプラットフォーム等、認証サービス、サーバー・VPS事業者、通信事業者、保守事業者、AI関連サービス、MCP関連サービス、専門家その他の外部事業者を利用することがあります。

外部事業者または委託先を利用する場合、当社は、当該事業者の安全管理措置、機密保持、再委託、データ保存地域、インシデント対応、データ取扱条件等を必要に応じて確認し、適切に管理します。

当社は、ECプラットフォーム等、認証サービス、サーバー・VPS、クラウドサービス、AIサービス、MCP関連サービス、開発・運用ツール等の利用に伴い、日本国外に所在するサーバーまたは国外事業者において情報を保存または処理する場合があります。

国外で情報を取り扱う場合、当社は、適用される法令、契約、ECプラットフォーム等の規約に従い、必要な安全管理措置を講じます。

当社は、情報漏えい、不正アクセス、認証情報の漏えい、マルウェア感染、誤送信、権限設定ミス、脆弱性悪用、データ改ざん、システム障害その他のセキュリティインシデントまたはその疑いを検知した場合、以下の対応を行います。

1. 事実確認および影響範囲の調査
2. 被害拡大防止および封じ込め
3. 必要に応じた認証情報の無効化、再発行、権限変更
4. システム復旧およびデータ保全
5. 原因分析および再発防止策の実施
6. 契約先、関係者、ECプラットフォーム等の運営者、監督官庁等への必要な通知
7. 対応記録の保存および改善

当社は、契約先から、データの確認、訂正、削除、利用停止、連携解除、エクスポートその他の要請を受けた場合、権限確認を行った上で、法令、契約およびECプラットフォーム等の規約に従い、合理的な範囲で対応します。

ECプラットフォーム等に保存されているデータについては、契約先またはECプラットフォーム等の運営者が管理する範囲が含まれるため、当社のみで対応できない場合があります。その場合、当社は必要に応じて契約先または関係者と連携します。

当社は、本サービスに関連して取得した情報について、以下の行為を行いません。

• 契約、利用目的またはECプラットフォーム等の規約の範囲を超えた利用
• 本サービスと無関係な広告配信、販売、貸与、プロファイリング
• 権限のない第三者への提供
• 不正なスクレイピング、リバースエンジニアリング、不正アクセス
• ECプラットフォーム等の規約、API利用条件、法令に反する利用
• 認証情報、APIキー、トークン、シークレットの不適切な共有または公開
• 必要性のない個人情報または機微情報の取得、保存
• 契約先の同意または正当な根拠のないAIモデル学習、外部提供、二次利用
• 異なる契約先のデータを、契約先の同意なく混在、流用または共有する行為

当社は、法令、業界標準、ECプラットフォーム等の規約、技術環境、脅威動向、事業内容の変化に応じて、本ポリシーおよび関連する安全管理措置を継続的に見直し、改善します。

本ポリシー、当社の情報セキュリティ管理、セキュリティインシデント、脆弱性報告、データ削除等に関するお問い合わせは、以下の窓口までご連絡ください。

株式会社ヒットライン
〒450-0003
愛知県名古屋市中村区名駅南3-6-6 名駅ユタカビル3F
メールアドレス：

個人情報の取扱いに関する苦情、相談、開示等の請求については、当社が別途公表する「個人情報保護方針」および「個人情報の取扱いについて」に定める窓口および手続きに従います。

当社は、必要に応じて本ポリシーを改定することがあります。重要な変更がある場合、当社ウェブサイトへの掲載その他適切な方法により通知します。

株式会社 ヒットライン
代表取締役 山田 浩司

制定日：2026年6月12日
最終改定日：2026年6月12日