プライバシーポリシー

1. はじめに

本プライバシーポリシー(以下「本ポリシー」)は、株式会社ff(以下「当社」)が提供する「Auri Auth」シリーズ(モバイルアプリケーション「Auri Auth & Tool」および Chrome 拡張機能版「Auri Auth」、以下総称して「本サービス」)における情報の取り扱いについて定めるものです。

モバイル版はプッシュ通知を利用した認証アプリケーション、Chrome 拡張機能版は TOTP (時刻ベースワンタイムパスワード) 認証拡張機能です。当社は、利用者のプライバシーを尊重し、取得した情報の保護に努めます。

2. モバイルアプリケーションで取得する情報

本セクションはモバイル版「Auri Auth & Tool」に適用されます。Chrome 拡張機能版については「6. Chrome 拡張機能版について」を参照してください。

モバイル版では、以下の情報を取得または利用します。なお、本アプリは氏名、メールアドレス、電話番号等の個人情報は取得しません。

2.1 端末情報

• 端末名: 認証端末の識別のために取得します。
• 端末種別: iOS または Android の種別を取得します。

2.2 位置情報(任意)

サービス提供元が認証時に位置情報を要求する場合に限り、位置情報を取得しサービスサーバーへ送信します。位置情報の取得は任意であり、利用者の許可なく取得することはありません。

2.3 カメラ

端末のペアリング時に QR コードを読み取るためにカメラを使用します。撮影した画像を保存・送信することはありません。

2.4 Bluetooth

周辺機器のスキャンのために Bluetooth を使用します。

2.5 ローカルネットワーク

LAN スキャンおよび mDNS によるデバイス検出のためにローカルネットワークへアクセスします。

2.6 プッシュ通知

認証リクエストの受信のために、Firebase Cloud Messaging (FCM) を利用したプッシュ通知を使用します。FCM の利用に伴い、プッシュ通知トークンがサービスサーバーに登録されます。

2.7 生体認証

端末のローカルセキュリティとして、指紋認証または顔認証を使用します。生体情報は端末内でのみ処理され、外部に送信されることはありません。

2.8 暗号鍵

認証処理のために Ed25519 署名鍵および X25519 暗号鍵を端末内のセキュアストレージに生成・保管します。秘密鍵は端末外に送信されることはありません。ペアリング時に公開鍵のみがサービスサーバーへ送信されます。

3. 情報の利用目的

取得した情報は、以下の目的にのみ利用します。

• 認証リクエストの送受信および認証処理の実行
• 端末のペアリングおよび識別
• サービス提供元が求める認証時の位置情報の提供
• 周辺デバイスの検出および接続
• 本サービスの機能提供に必要な技術的処理

なお、本サービスはアクセス解析ツールおよび広告配信 SDK を使用していません。

4. 第三者提供

当社は、取得した情報を第三者に提供しません。ただし、以下の場合を除きます。

• 利用者本人の同意がある場合
• 法令に基づき開示が求められた場合
• 利用者がペアリングしたサービス提供元への公開鍵・端末情報・プッシュ通知トークンの送信(モバイル版の機能提供に必要な範囲に限る)

5. 情報の管理

当社は、取得した情報について以下の管理を行います。

• 暗号鍵(秘密鍵)は端末内のセキュアストレージに保管し、端末外への送信は行いません。
• 生体認証情報は端末の OS が管理し、本アプリがアクセスすることはありません。
• カメラで取得した画像データは、QR コード読み取り処理後に破棄します。
• 不要となった情報は、速やかに削除します。

6. Chrome 拡張機能版について

本セクションは Chrome 拡張機能版「Auri Auth」に適用されます。Chrome 拡張機能版は TOTP シークレットを端末内で暗号化保存し、複数端末間の同期は Chrome の同期機能(chrome.storage.sync)を介して行います。当社サーバーへのデータ送信は一切行いません。

6.1 取得・保管する情報

• 利用者が登録した TOTP シークレットキー
• サービス名・アカウント名(利用者が任意に入力)
• 利用者が設定したマスターパスワードから派生した暗号化済みデータ

6.2 暗号化方式

• TOTP シークレット等のデータは AES-256-GCM 方式で暗号化して保存します。
• 暗号化鍵は利用者のマスターパスワードから PBKDF2 (SHA-256、600,000 回反復) により導出します。
• マスターパスワード自体は当社サーバーを含む第三者に送信されず、また平文での保存も行いません。検証は AES-GCM の認証タグによる復号成否によって行います。

6.3 同期について

• 暗号化済みのアカウントデータは、Chrome ブラウザ標準機能の chrome.storage.sync により、利用者の Google アカウントを通じて利用者自身の他端末の Chrome に自動同期されます。
• 同期されるデータは暗号化された状態であり、Google を含む第三者は復号に必要なマスターパスワードを保有しないため内容を閲覧できません。
• 当社のサーバーは関与せず、当社が同期データを取得・保管することはありません。

6.4 要求する権限

Chrome 拡張機能版は以下の権限のみを要求します。

• storage: 暗号化済みアカウントデータの保存および Chrome 同期機能による端末間同期のため。
• clipboardRead: QR コード画像のクリップボード貼り付けによる入力受付のため。クリップボード内容は QR コード解析の目的でのみ参照し、保存・送信は行いません。

6.5 QR コード画像

利用者が貼り付けまたはドロップした QR コード画像は、ブラウザ内のローカル処理でのみ解析し、解析後は保持しません。当社サーバーを含む第三者への送信は行いません。

6.6 解析・広告

Chrome 拡張機能版はアクセス解析ツールおよび広告配信 SDK を使用しません。

7. お問い合わせ

本ポリシーに関するお問い合わせは、以下よりお願いいたします。

• 運営者: 株式会社ff
• お問い合わせ先: https://auri.itsherpa.net/

8. 改定について

当社は、必要に応じて本ポリシーの内容を改定することがあります。改定後のプライバシーポリシーは、本サービスまたは当社ウェブサイト上に掲載した時点から効力を生じるものとします。重要な変更を行う場合は、本サービス内での通知等、適切な方法でお知らせいたします。

---

制定日: 2026年3月20日
改定日: 2026年5月3日 (Chrome 拡張機能版に関する記述を追加)