コンテンツにスキップ

エシカルハッカーユーザー利用規約

  1. 本規約は、BBHunt Japan株式会社(以下「当社」といいます。)が提供するBBHunt Japanプラットフォーム(以下「本サービス」といいます。)におけるエシカルハッカーユーザー(第二条に定義)としての利用に関する一切の関係に適用されます。
  2. エシカルハッカーユーザーは、本サービスの利用を開始した時点で、本規約に同意したものとみなされます。
  3. 当社が本サービス上で随時掲載するルール、諸規定等は本規約の一部を構成するものとします。
  1. 「本サービス」とは、当社が運営するバグバウンティプラットフォームであり、企業等の組織(以下「クライアント」といいます。)が自社サービスの脆弱性診断を依頼し、セキュリティーリサーチャーが脆弱性を発見・報告するためのプラットフォームを意味します。
  2. 「エシカルハッカーユーザー」(以下「ハッカー」といいます。)とは、本サービスに登録し、クライアントのサービスに関する脆弱性の診断及び報告を行う登録ユーザーをいい、エシカルハッカー、サイバーセキュリティの専門家、セキュリティーリサーチャー等の全ての登録ユーザーを含みます。
  3. 「脆弱性情報」とは、ハッカーがクライアントのサービスに関して発見し、本サービスを通じて報告する脆弱性に関する情報を意味します。
  4. 「報奨金」とは、クライアントがハッカーに対して支払う脆弱性報告に対する報酬を意味します。
  5. 「プログラム」とは、クライアントが本サービス上で公開する脆弱性診断の依頼内容、スコープ、報奨金額等を意味します。
  1. 本サービスのハッカーとしての利用を希望する者(以下「登録希望者」といいます。)は、本規約を遵守することに同意し、当社の定める情報を当社の定める方法で提供することにより、登録を申請することができます。
  2. ハッカーとしての登録には、以下の条件を満たす必要があります。 (1) 18歳以上であること (2) 日本が輸出制裁やその他の貿易制限を発動している国の居住者でないこと、又はその国から本サービスを利用していないこと (3) 日本語又は英語でコミュニケーションが可能であること (4) 当社の従業員でないこと(過去の従業員も含む)。また、各プログラムに参加するにあたり、当該プログラムのクライアントの従業員でないこと(過去の従業員も含む) (5) 反社会的勢力等に該当しないこと (6) 第四条の定めにより本人確認を完了していること
  3. 当社は、登録希望者が前項の条件を満たさない場合又は以下のいずれかに該当する場合、登録を拒否することができます。 (1) 本規約に違反するおそれがあると当社が判断した場合 (2) 登録情報に虚偽、誤記又は記載漏れがあった場合 (3) 過去に本サービスの利用登録を取り消された者である場合 (4) その他、当社が登録を適当でないと判断した場合
  1. ハッカーは、本サービスの利用にあたり、当社所定の本人確認(Know Your Customer、以下「KYC」)プロセスを完了する必要があります。
  2. KYCプロセスには、以下の情報を提供することが含まれます。 (1) 本人確認書類(パスポート、運転免許証、又は当社が認める他の公的身分証明書) (2) 住所を確認できる書類(公共料金の請求書、銀行明細書等) (3) 当社が指定するその他の情報
  3. 当社は、KYCプロセスの結果、ハッカーの身元を確認できない場合又は虚偽の情報が提供された場合、当該ハッカーの登録を拒否又は取消すことができます。
  4. ハッカーは、KYCプロセスで提供した情報に変更があった場合、速やかに当社に通知し、更新された情報を提供するものとします。
  5. 当社は、KYCプロセスで収集した個人情報を、本人確認以外の目的に使用することはありません。
  1. ハッカーが報奨金を受け取るためには、有効なPayPalアカウントを登録し、当社による確認を完了する必要があります。
  2. ハッカーは、支払口座の情報(PayPalアカウント等)を正確に提供するものとし、虚偽の情報を提供してはなりません。
  3. ハッカーは、支払口座の情報に変更があった場合、速やかに当社に通知し、更新された情報を提供するものとします。
  4. 当社は、支払口座の確認が完了していないハッカーに対しては、報奨金の支払いを保留することができるものとします。
  5. 当社は、将来、PayPal以外のその他の決済方法を導入する場合があります。
  1. ハッカーは、自己の責任においてアカウント情報を管理するものとし、第三者に利用させたり、貸与、譲渡、名義変更、売買等をしてはなりません。
  2. アカウント情報の管理不十分、第三者の使用等による損害の責任はハッカーが負うものとし、当社は一切の責任を負いません。
  3. ハッカーは、アカウント情報が盗まれ、又は第三者に使用されていることが判明した場合には、直ちに当社に通知するものとします。
  1. ハッカーは、本サービス上に掲載されたプログラムに参加し、当該プログラムのスコープ内において脆弱性の診断を行うことができます。
  2. ハッカーは、プログラムに参加する前に、当該プログラムの規約、スコープ、及び報奨金額を確認し、これに同意する必要があります。
  3. ハッカーは、プログラムのスコープ外の調査を行ってはなりません。
  1. ハッカーは、発見した脆弱性を当社所定の報告フォームを通じて報告するものとします。
  2. 報告は、以下の品質基準を満たす必要があります。 (1) 脆弱性の再現方法が明確に記載されていること (2) 脆弱性の影響範囲及び深刻度が説明されていること (3) 画像や動画のみの報告ではなく、テキストによる説明が含まれていること (4) 一件の報告につき一件の脆弱性が報告されていること
  3. ハッカーは、当社又はクライアントからの質問に対し、誠意を持って回答するものとします。
  1. クライアントがハッカーの報告を受領し、報奨金の支払いを決定した場合、当社所定の方法によりハッカーに通知されます。
  2. クライアントが報奨金の授与手続きを完了し、PayPal請求書を支払った後、当社はハッカーに対して報奨金をPayPalにより支払うものとします。
  3. クライアントは、ハッカーへの報奨金の支払いの取払いの取扱いに対する対価として、当社に対して報奨金手数料を支払うものとします。報奨金手数料はクライアントが負担するものであり、ハッカーの報奨金から控除されるものではありません。
  4. ハッカーが報奨金の支払いを受領した時点で、当該報奨金にかかる一連の取引が完了するものとします。
  5. ハッカーは、報奨金の受領にあたり、第五条に基づき登録されたPayPalアカウントを指定するものとします。
  6. 報奨金には、ハッカーの所在地により、税金が課される場合があります。ハッカーは、自らの責任において税務申告を行うものとします。

ハッカーは、本サービスの利用にあたり、以下の行為をしてはなりません。

  1. プログラムのスコープ外の調査
  2. 認証情報の総当たり又は推測によるアクセス
  3. ソーシャルエンジニアリング
  4. サービス拒否攻撃(DoS攻撃)の実施
  5. 自動化されたスキャナーやツールのみを使用した報告の提出
  6. クライアントの従業員、顧客又はパートナーに対する攻撃
  7. 個人情報又は機密データの抽出、ダウンロード又は流出
  8. 発見した脆弱性を利用したデータの閲覧、削除、変更又は公開
  9. 脆弱性の公開(当社又はクライアントの事前の書面による同意なしに)
  10. 他人の個人情報への不正アクセス
  11. 当社又は他のユーザーの知的財産権の侵害
  12. 犯罪行為に関連する行為又は公序良俗に反する行為
  13. コンピューターウィルスその他の有害なプログラムの送信
  14. 当社による本サービスの運営の妨害
  15. その他、当社が不適切と判断する行為

第九条 安全な港(セーフハーバー)

Section titled “第九条 安全な港(セーフハーバー)”
  1. 当社は、本サービス上で公開されている各プログラムについて、クライアントに対し、本規約及び各プログラムの規約に従い誠実に行われた脆弱性の診断及び報告に対して法的措置を行わない旨の同意を求めるものとします。
  2. ハッカーは、本規約及び各プログラムの規約に従い、誠実に脆弱性の診断及び報告を行った場合、当該プログラムのクライアントからのセーフハーバー保護を受けることができるものとします。但し、当該保護の範囲及び内容は、各クライアントが定めるところによるものとします。
  3. 当社は、クライアントによるセーフハーバー保護の提供について、その実現を保証するものではありません。クライアントがセーフハーバー保護を提供しない場合又はクライアント以外の第三者が法的措置を講じた場合において、当社は一切の責任を負いません。
  4. ハッカーの活動が本規約又は各プログラムの規約に遵守していない場合、本条のセーフハーバーは適用されません。
  5. ハッカーは、本条に基づくセーフハーバー保護に関連して生じた一切の損害について、当社に対して請求しないものとします。当社は、セーフハーバー保護の提供又は不提供に関連して生じた一切の損害について、ハッカー又は第三者に対する責任を負いません。
  1. ハッカーは、本サービスを通じて得た全ての情報を当社及びクライアントの機密情報として取り扱うものとします。
  2. ハッカーは、機密情報を以下の場合にのみ使用することができます。 (1) 当社又はクライアントに脆弱性を報告するため (2) 報告に関連して、当社又はクライアントが要求する追加情報を提供するため
  3. ハッカーは、当社又はクライアントの事前の書面による同意なしに、機密情報を使用、開示又は配布してはなりません。
  4. 当社又はクライアントの要求に応じて、ハッカーは全ての機密情報を永久に消去するものとします。
  1. ハッカーは、脆弱性報告がハッカーのオリジナルであり、報告する権利を有していることを表明し、保証するものとします。
  2. ハッカーは、報告を行うことにより、当社及びクライアントに対し、当該報告をいかなる目的にも使用する権利を与えるものとします。
  3. 本サービスに関する知的財産権は全て当社又は正当な権利者に帰属しています。
  1. 当社は、ハッカーの個人情報を個人情報保護法(APPI)に基づき、適切に取り扱います。
  2. ハッカーの個人情報の取扱いについては、当社のプライバシーポリシーに定めるところによります。
  1. 当社は、本サービスの提供の中断、停止、終了、利用不能又は変更によりハッカーに生じた損害について、一切の責任を負いません。
  2. 当社は、クライアントとハッカーとの間の報奨金の支払いに関する紛争について、一切の責任を負いません。
  3. 当社は、ハッカーが本サービスを通じて得た情報に基づいて行った行為により生じた損害について、一切の責任を負いません。
  1. 当社は、ハッカーが以下のいずれかに該当する場合、事前に通知することなく、アカウントの一時停止又は登録を取り消すことができます。 (1) 本規約に違反した場合 (2) 登録情報又は本人確認(KYC)の情報に虚偽があることが判明した場合 (3) 反社会的勢力等に該当する又は該当するおそれがあると当社が判断した場合 (4) 1年以上本サービスの利用がなく、当社からの連絡に対して応答がない場合 (5) その他、当社が登録の継続を適当でないと判断した場合
  2. 前項に基づき登録が取り消された場合、未払いの報奨金の支払い義務は消滅するものとします。

第十五条 反社会的勢力の排除

Section titled “第十五条 反社会的勢力の排除”
  1. ハッカーは、本サービスの利用開始時点において、自己及び自己の経営に実質的に関与する重要な使用人が反社会的勢力等に該当しないことを表明し、かつ利用期間中該当しないことを保証するものとします。
  2. ハッカーは、本サービスの利用に関連して、暴力的な要求行為、法的な責任を超えた不当な要求行為、脅迫的な言動又は暴力を用いる行為を行わないことを保証するものとします。
  1. 当社は、本規約を変更できるものとします。
  2. 当社は、本規約を変更した場合には、ハッカーに当該変更内容を通知するものとし、当該変更内容の通知後、ハッカーが本サービスを利用した場合又は当社の定める期間内に登録取消の手続をとらなかった場合には、ハッカーは、本規約の変更に同意したものとみなされます。

第十七条 準拠法及び管轄裁判所

Section titled “第十七条 準拠法及び管轄裁判所”
  1. 本規約の準拠法は日本法とします。
  2. 本規約に起因し又は関連する一切の紛争については、大阪地方裁判所又は大阪簡易裁判所を第一審の専属的合意管轄裁判所とします。

本規約に定めのない事項又は本規約の解釈に疑義が生じた場合には、ハッカーと当社は、互いに信義誠実の原則に従って協議の上速やかに解決を図るものとします。

本規約は日本語版を正文とし、日本語版と英語版の解釈が異なる場合は日本語版が優先します。