KnotKnot

プライバシーポリシー

制定日: 2026年2月6日  /  最終改定日: 2026年3月15日

Trail Line Logi.株式会社(以下「当社」)は、当社が提供するサービス「Knot」(以下「本サービス」)において取得する、ユーザーに関する情報(個人情報を含み、以下「利用者情報」)を、本プライバシーポリシーに従い取り扱います。

データ管理者(事業者情報)

  • 事業者名: Trail Line Logi.株式会社
  • 所在地: 〒573-0005 大阪府枚方市池之宮2-21-27
  • 連絡先: support@knot-store.jp
  • ウェブサイト: https://knot-store.jp

第1条(利用者情報の取得)

当社は、適正かつ公正な手段により利用者情報を取得します。本サービスでは、ユーザーの同意または適用法令に基づき、以下の情報を取得することがあります。

(1) ユーザーが入力・登録する情報

アカウント情報

  • 氏名(表示名)
  • メールアドレス
  • パスワード(※当社はbcryptjsによるハッシュ化を行い、平文のまま保存しません)

グループ情報

  • グループ名、グループロゴ
  • 所属・役割(管理者/会計係/監査役/メンバー)
  • メンバーアバター画像
  • 招待コード

投稿・登録コンテンツ

  • Knot Chat: メッセージ、スレッド、添付情報、リアクション、返信
  • Knot ToDo: タスク内容、担当者、期限、状態
  • Knot Notes: ノート、プロパティ、リレーション、テンプレート
  • Knot Event / Calendar: イベント情報、出欠、場所、振替情報
  • Knot Accounting: 収支・帳簿、承認フロー、年度締め、予算
  • Knot Document / Records: 文書、画像、写真、添付ファイル
  • Knot Voting: 投票テーマ、選択肢、投票・コメント
  • Knot Invoice: 請求書、領収書、取引先情報、適格請求書発行事業者番号
  • Knot Workflow: 申請フォーム、承認ルート、承認履歴
  • Knot AI: 質問内容、会話履歴、アクション指示、レポート生成履歴

(2) 自動的に取得される情報

  • 端末情報・利用環境情報(OS、ブラウザ種別等)
  • ログ情報(アクセス日時、操作履歴等)
  • ネットワーク情報(IPアドレス)
  • Cookie等(ログイン維持、セキュリティ対策用)
  • 二要素認証情報(MFAセッション、OTP試行回数)
  • 信頼デバイス情報(デバイス名、デバイストークン、有効期限)
  • プッシュ通知トークン(FCMトークン)
  • アクセス解析情報(Umamiによる収集)

(3) デバイス機能へのアクセス

カメラ

カメラを使用して以下の操作を行います。

  • グループロゴの撮影・登録
  • Knot Chatでのメッセージへの写真添付
  • Knot Accountingでの経費証憑の撮影・保存
  • Knot Recordsでの写真記録の作成

写真ライブラリ

写真ライブラリを使用して以下の操作を行います。

  • グループロゴ・アバター画像のアップロード
  • チャットメッセージへの画像添付
  • 活動記録への写真追加
  • 撮影した写真の保存

生体認証(Face ID / Touch ID)

iOS/Androidアプリでは、安全なログインのために生体認証を利用できます。生体認証データはデバイス内で処理され、当社のサーバーには送信されません。

プッシュ通知

Firebase Cloud Messagingを使用して、以下の通知を配信します。

  • タスクのアサイン通知
  • イベントリマインダー(24時間前、1時間前)
  • チャットの@メンション・返信通知
  • 承認依頼・承認完了通知
  • その他グループ活動に関する通知

第2条(利用目的)

当社は、取得した利用者情報を以下の目的で利用します。

  1. 本サービスの提供、本人確認、認証、ログイン維持
  2. グループ活動機能の提供
  3. 問い合わせ対応、サポート
  4. 利用規約違反や不正行為の検知、防止、調査、対応
  5. サービスの品質改善、機能改善、利用状況の統計分析
  6. 新機能、更新情報等の案内(ユーザーが受信設定を行っている場合)
  7. AI機能の提供(グループデータの分析、質問応答、レポート生成)
  8. 法令等に基づく対応

第3条(第三者提供)

当社は、利用者情報のうち個人情報について、以下の場合を除き、あらかじめユーザーの同意なく第三者に提供しません。

  1. 利用目的の達成に必要な範囲で、業務委託先に取り扱いを委託する場合
  2. 合併・事業譲渡その他事業承継に伴い提供される場合
  3. 法令に基づく場合(裁判所、警察等の適法な要請を含む)
  4. 人の生命・身体・財産の保護のために必要で、同意取得が困難な場合
  5. その他、個人情報保護法等で認められる場合

第4条(委託・外部サービスの利用)

当社は、本サービスの提供にあたり、以下の外部サービスを利用しています。

  • Cloudflare R2: 添付ファイル・画像等の保存
  • Resend: トランザクションメール配信(認証コード送信含む)
  • Sentry: エラー監視・障害解析
  • Firebase Cloud Messaging: iOS/Androidプッシュ通知
  • Stripe: 決済処理(プラン課金)
  • Google Gemini API: AI機能(AIプラン専用)
  • Umami: プライバシー配慮型アクセス解析(セルフホスト)

Sentryにおけるデータ保護

エラー監視サービス(Sentry)では、以下の機密情報は自動的に除外されます:

  • パスワード
  • メールアドレス
  • 認証トークン

Stripeにおけるデータ保護

決済処理サービス(Stripe)では、PCI DSS準拠のセキュリティ基準に従い、クレジットカード情報等の決済情報を安全に取り扱います。当社はカード番号等の機密情報を直接保存しません。

Firebaseにおけるデータ保護

プッシュ通知サービス(Firebase Cloud Messaging)では、デバイストークンのみを保存し、通知配信に利用します。通知内容にはメッセージ本文等の個人情報は含めず、タイトルと概要のみを送信します。

Google Gemini APIにおけるデータ保護

AI機能(AIプラン専用)では、Google Gemini APIを使用してグループデータの分析、質問応答、レポート生成を行います。

  • 送信されるデータ: ユーザーの質問・指示内容、グループの統計データ(匿名化・集計済み)
  • 個人を特定する情報(メールアドレス等)は送信しません
  • 会話履歴は当社サーバーに保存され、ユーザーが削除可能です
  • Google Gemini APIはユーザーデータをモデルの学習に使用しません
  • 月間200万トークンの利用上限があり、使用量を記録します

第5条(国外移転)

当社は、委託先の所在地等により、利用者情報を日本国外で取り扱う場合があります。

  • Cloudflare R2: グローバル(Cloudflareネットワーク)
  • Resend: 米国
  • Sentry: 米国
  • Firebase: 米国
  • Stripe: 米国
  • Google Gemini API: 米国

この場合、当社は適用法令に従い、必要な措置を講じます。

第6条(ユーザーの権利)

ユーザーは、適用法令に基づき、当社に対して以下の請求を行うことができます。

  1. 利用者情報の開示、訂正、追加、削除
  2. 利用停止、消去、第三者提供の停止
  3. データポータビリティ(法令で認められる範囲)

当社は、本人確認の上、合理的な期間内に対応します。

データエクスポート機能

本サービスでは、Knot Exportモジュールを通じて、ユーザー自身でデータをCSVまたはPDF形式でエクスポートすることができます。

コンテンツの削除

ユーザーは、自身が作成したコンテンツ(チャットメッセージ、投票、文書、写真記録等)を削除することができます。また、グループ管理者は、グループ内のすべてのコンテンツを削除する権限を持ちます。

  • 削除操作は取り消すことができません
  • 削除されたコンテンツは復元できません
  • すべての削除操作は監査ログに記録されます
  • 監査ログには削除前のデータ、実行者、日時等が記録されます

第7条(Cookie等の利用)

当社は、本サービスの提供・セキュリティ確保のため、Cookie等を利用します。

  • セッションCookie: ログイン状態の維持(30日間)
  • セキュリティCookie: CSRF対策、不正アクセス防止

本番環境では、すべてのCookieにHttpOnlyおよびSecure属性を設定しています。

第8条(安全管理措置)

当社は、利用者情報の漏えい、滅失、毀損等を防止するため、以下の安全管理措置を講じています。

  • パスワード保護: bcryptjsによるハッシュ化
  • 二要素認証(MFA): メールOTPによる本人確認(有効期限15分、試行5回まで)
  • 信頼デバイス: 登録デバイスは30日間MFAをスキップ可能
  • CSRF保護: Origin/Refererヘッダー検証
  • レート制限: ログイン5回/60秒、書込20回/60秒、OTP再送信1回/60秒
  • セキュリティヘッダー: HSTS、X-Frame-Options、CSP
  • 通信暗号化: HTTPS/TLS
  • アクセス制御: 役割ベースアクセス制御(RBAC)
  • 監査ログ: 全操作の記録

第9条(保管期間)

当社は、利用目的の達成に必要な期間、利用者情報を保管します。

  • アカウント情報: 退会後30日間
  • 会計データ: 法定保存期間(7年)
  • 監査ログ: 5年間
  • AI会話履歴: ユーザーが削除するまで、またはグループ削除時まで
  • AI使用量データ: 請求処理完了後1年間
  • その他投稿コンテンツ: グループ削除時まで

第10条(漏えい等が発生した場合)

当社は、漏えい等の事故が発生した場合、以下の措置を実施します。

  1. 事実関係の調査
  2. 被害拡大防止措置
  3. 再発防止策の策定・実施
  4. 適用法令に従った監督機関への報告(速報3〜5日以内、確報30日以内)
  5. 影響を受けるユーザーへの通知

第11条(プライバシーポリシーの変更)

  1. 当社は、本プライバシーポリシーを変更することがあります。
  2. 変更後の内容は本サービス上または当社ウェブサイト上で公表します。
  3. 法令上同意が必要な場合には、当社所定の方法で同意取得を行います。
  4. 重要な変更を行う場合は、効力発生日の2週間前までにユーザーに通知します。

第12条(お問い合わせ窓口)

利用者情報の取扱いに関するお問い合わせは、以下までご連絡ください。

トップページに戻る