1. はじめに

CRA Evidenceは、お客様のプライバシー保護に真摯に取り組んでおります。本プライバシーポリシーは、お客様が当社プラットフォームをご利用いただく際に、当社がお客様の個人データをどのように収集・利用・保護するかについて説明するものです。

CRA Evidenceは、デジタル要素を含む製品（PDE）のメーカーがEUサイバーレジリエンス法（CRA）への準拠を達成・維持できるよう支援することを目的として設計されたプラットフォームです。

2. データ管理者（データコントローラー）

お客様の個人データに関する責任を有するデータ管理者は、以下のとおりです。

Senda Tech Solutions, S.L.（CRA Evidence として営業） CIF: B26914895 C/ Melquiades Álvarez, 20, Piso 4, Puerta 3 33003 Oviedo, Asturias, España Email: privacy@craevidence.com

3. 収集する情報

3.1 アカウント情報

• メールアドレス
• 氏名
• 会社名
• パスワード（安全なハッシュ形式で保存）

3.2 利用データ

• ログデータ（IPアドレス、ブラウザの種類、閲覧ページ）
• 機能の利用状況
• セッション情報

3.3 CRAコンプライアンスデータ

• 製品およびバージョン情報
• SBOM（ソフトウェア部品表）ファイル
• 脆弱性レポート
• 技術文書

4. 個人データの利用目的

当社は、以下の目的のためにお客様のデータを利用します。

• サービスの提供および維持
• アカウント管理および認証
• カスタマーサポート
• サービスの改善
• 法的義務への対応

5. 処理の法的根拠

当社は、以下の法的根拠に基づき個人データを処理します。

• 契約の履行：お客様がご要望されたサービスを提供するため
• 正当な利益：サービスの改善およびセキュリティの確保のため
• 同意：任意のマーケティングコミュニケーションのため
• 法的義務：適用される法令を遵守するため

6. データの保持期間

当社は、以下の期間にわたってデータを保持します。

• アカウントデータ：アカウントが有効である期間、および削除後30日間
• CRAコンプライアンスデータ：CRA文書要件への準拠のため、10年間
• 利用ログ：90日間

7. お客様の権利

GDPR（一般データ保護規則）に基づき、お客様は以下の権利を有します。

• 個人データへのアクセス権
• 不正確なデータの訂正権
• 削除権（忘れられる権利）
• 処理制限の権利
• データポータビリティの権利
• 処理に対する異議申立権
• 同意撤回の権利

これらの権利を行使される場合は、privacy@craevidence.com までご連絡ください。

8. データセキュリティ

当社は、お客様のデータを保護するために、適切な技術的・組織的対策を実施しています。

• 転送時の暗号化（TLS 1.2以上）
• 保存時の暗号化（AES-256）
• 安全なパスワードハッシュ処理（Argon2）
• 自動セキュリティレビュー
• アクセス制御および認証

9. 再委託先（サブプロセッサー）

当社は、サービスの提供を支援するためにサードパーティのサービスプロバイダー（再委託先）を利用しています。これらの再委託先は、GDPR第28条に基づき、当社に代わって個人データを処理する場合があります。

現在の再委託先の完全なリスト（処理目的およびデータ処理の実施場所を含む）は、再委託先（サブプロセッサー）ページでご確認いただけます。

当社は、再委託先を追加または変更する場合、少なくとも30日前にお客様へ通知いたします。

10. お問い合わせ

プライバシーに関するお問い合わせは、当社プライバシー担当窓口までご連絡ください。

Email: privacy@craevidence.com

11. 本ポリシーの改定

当社は、本プライバシーポリシーを随時更新することがあります。重要な変更が生じた場合は、お客様へ通知いたします。

最終更新日：2026年1月2日