法規制チェックシート

HackⅡ — ブランド保護・法的リスク回避・実装要件

作成日: 2026-05-25 | バージョン: 1.0
本資料は法的助言ではありません。実装前に弁護士への確認を推奨します。

1. 個人情報・プライバシー関連

1-1. 個人情報保護法（日本）/ GDPR（欧州）

要件	対応方針	実装必須項目	担当
IPアドレスの個人情報該当性	IPはハッシュ化して保存。生IP保持禁止	収集時にSHA-256（塩付き）変換 → 生IPを即時破棄	バックエンド
Cookieの同意	ダッシュボードログインCookieはセッション管理のみ（分析Cookieは対象外）	プライバシーポリシーページで明示	フロントエンド
データ主体の権利	顧客がアカウント削除した場合、90日以内にデータ削除	論理削除 → 90日後に物理削除のバッチ処理	バックエンド
データ処理委託	委託先エンジニアもデータ処理者に該当	NDA + データ処理委託契約書締結必須	Regalis（契約）
GDPRの適用	EU在住ユーザーが顧客になる場合に適用	プライバシーポリシーに「GDPRデータ主体の権利」を明記	Regalis（法務）

実装チェックリスト:

IPアドレスのハッシュ化が「ログへの書き込み前」に実行されること（書き込み後のハッシュ化では生IPが一瞬でもDBに入るため不可）
ユーザー削除APIが実装されていること（DELETE /accounts/{id}）
削除後90日での物理削除バッチが実装されていること
プライバシーポリシーページへのリンクがダッシュボード内に設置されていること

2. AIクローラー制御の法的側面

2-1. 不正アクセス禁止法（日本）

リスク	内容	対応方針
クローラーブロックの正当性	robots.txt の `Disallow` に法的強制力はない。が、無断クロールは不法行為となり得る	ブロックは「技術的措置」として記録。法的根拠を利用規約に明記
IPブロックの正当性	特定IPからの過剰アクセスをブロックする行為は正当な業務上の措置として認められる	「サービス品質保護のための措置」として利用規約に記載

2-2. 著作権法

リスク	内容	対応方針
AIへの学習利用の是非	2025年時点、日本著作権法47条の4により情報解析目的のAIトレーニングは原則許容	顧客が「学習型クローラーをブロックしたい」と設定した場合はその意思を尊重して実装
AIパッチの配布	HackⅡが生成したAIパッチファイルの著作権はコンテンツ提供者に帰属	利用規約でコンテンツの著作権は顧客に帰属することを明示

2-3. 不正競争防止法

リスク	内容	対応方針
競業他社への情報提供	顧客の競合他社が同じHackⅡを使用する場合、データが混在しないこと	マルチテナント設計で顧客間のデータは完全分離
AICS™アルゴリズムの秘密保持	技術的優位性の保護	委託先エンジニアはNDA必須。ソースコードはプライベートリポジトリで管理

3. Pay per Crawl の法的リスク

3-1. AI事業者との関係

リスク	内容	対応方針
OpenAI等の利用規約との整合性	GPTBotの利用規約に「クロールへの課金禁止」条項が入る可能性	Phase 3実装前に各AI事業者の最新利用規約を確認。顧問弁護士に確認依頼
課金拒否によるクロールブロック	AI事業者が課金を拒否した場合のクロールブロックの正当性	利用規約で「未払い時はアクセス制限する権利を有する」と明記
独占禁止法	特定のAI事業者を差別的に扱う課金設定	同等のクローラーには同等の料金体系を適用（透明性確保）

3-2. 電子決済・特定商取引法

要件	対応
特定商取引法に基づく表記	HackⅡのサービスページに特商法表記ページを設置（Regalis担当）
領収書・請求書の発行	電子領収書の発行機能をシステムに実装（PDF出力）
返金ポリシー	課金ロジックのバグによる過剰請求は全額返金。利用規約に明記

4. robots.txt 関連の倫理規範

4-1. 設計方針

✅ 推奨（HackⅡが採用する設計）:
  robots.txt で Disallow を設定 → AIクローラーへの「お願い」
  ゲートウェイ層でレートリミット → 技術的な保護措置

❌ 非推奨（リスクがある実装）:
  IPブラックリストを無制限に追加 → 正規サービスのIPが動的に変わるため誤ブロックリスク
  Content-Type偽装によるクローラー欺き → 不正競争防止法のリスク
  著作権シグナルの偽装 → 虚偽表示リスク

4-2. robots.txt の記載推奨文

顧客向けに提供するrobots.txt のテンプレートに以下のコメントを含めること：

# This site uses HackⅡ by Regalis Japan Group for AI crawler management.
# Policies are configured via the HackⅡ dashboard.
# For API access inquiries: https://hackii.jp/api-access

5. 実装前・リリース前のチェックリスト

5-1. Phase 1（Hackall）リリース前

プライバシーポリシーに「AIクローラーのアクセスログを収集する」旨を明記
IPアドレスのハッシュ化処理の単体テストが完了
顧客データ間の完全分離をテスト（顧客Aが顧客Bのデータを見られないことを確認）
ログ保持期間ポリシーが実装されていること（90日後に生ログ削除）

5-2. Phase 2（Tsukull + Misell）リリース前

クローラーブロック機能の利用規約への記載（Regalis法務確認）
AIパッチファイルの著作権帰属をサービス利用規約に明記
AICS™スコアリングアルゴリズムのNDA締結確認（委託先エンジニア全員）

5-3. Phase 3（Pay per Crawl）リリース前

弁護士による利用規約・課金規約のレビュー完了
各主要AI事業者（OpenAI / Anthropic / Google）の利用規約の最新版確認
特定商取引法に基づく表記ページの更新
電子領収書の発行機能テスト完了
課金バグ時の返金フロー（手動対応含む）の手順書作成

6. インシデント発生時の対応フロー

個人情報漏洩インシデント発生
    ↓
[1時間以内] 社内報告 → 対象範囲の特定
    ↓
[24時間以内] 原因調査・被害範囲の確定
    ↓
[72時間以内] 個人情報保護委員会への報告（GDPR: 72時間以内義務）
    ↓
[被害者への通知] 漏洩した個人情報の内容・対応策を通知
    ↓
[再発防止策] 実装 → 報告書作成

インシデント連絡先（委託先エンジニア用）:
Regalis Japan Group 代表・井上幹太
第一報は発覚から2時間以内にSlack DM または電話で連絡のこと。