プライバシーポリシー

1. はじめに

canow(カナウ、以下「本サービス」)は、目標達成のための戦略的情報管理サービスです。 本プライバシーポリシーは、本サービスにおける個人情報の取り扱いについて説明します。 本サービスをご利用いただくことで、本ポリシーに同意いただいたものとみなします。

2. 収集する情報

2.1 アカウント情報

  • メールアドレス(ログインID として使用)
  • パスワード(Bcrypt によるハッシュ化後に保存)
  • アカウント作成日時、最終ログイン日時

2.2 目標・習慣管理データ

本サービスの主要機能として、以下のデータを収集・保存します:

  • Domain(活動領域):仕事、スポーツ等のカテゴリ名
  • Destination(KGI):最終到達目標のタイトル、説明、期限
  • Waypoint(KFS):中間目標のタイトル、説明
  • Checkpoint(KPI):習慣・指標のタイトル、目標値、頻度設定
  • CFP(期限付き必達事項):タスクのタイトル、説明、期限、完了状態

2.3 活動ログ(Flight Data)

習慣の記録として、以下のデータを収集します:

  • データ種別(睡眠、トレーニング、仕事、学習、創作活動等)
  • 記録内容(時間、距離、回数等の数値データ)
  • 記録日時
  • データソース(手動入力、外部サービス連携)

2.4 カスタム指標

ユーザーが定義するカスタム指標の情報:

  • 指標名、単位、入力タイプ
  • カテゴリ分類

2.5 APIトークン情報

外部連携用のAPIトークンについて:

  • トークン名(ユーザーが設定)
  • トークンハッシュ(SHA256、平文は保存しません)
  • 権限スコープ、有効期限
  • 最終使用日時

3. 外部サービスとの連携

3.1 Google Calendar連携

習慣のリマインダーをGoogleカレンダーに同期する機能を提供しています。

  • 収集データ:Googleアカウントのメールアドレス、OAuthトークン
  • 送信データ:イベントタイトル、日時、リマインダー設定
  • 保存方法:OAuthトークンはAES-256-GCMで暗号化して保存
  • 解除方法:設定画面からいつでも連携を解除できます

3.2 AI連携(MCP Server)

Claude.ai、ChatGPT等のAIサービスと連携するためのMCP(Model Context Protocol)サーバーを提供しています。

  • 認証方式:OAuth 2.1 / OpenID Connect
  • アクセス可能データ:目標、習慣、活動ログ等のユーザーデータ
  • 認証情報:OAuth Client ID/Secret(Secretはハッシュ化して保存)
  • 解除方法:設定画面からクレデンシャルを削除できます

3.3 フィットネスサービス連携(将来機能)

以下のサービスからの活動データ取り込みに対応予定です:

  • TrainingPeaks
  • Garmin Connect
  • Strava

※ 連携時には各サービスのプライバシーポリシーもご確認ください。

4. 情報の利用目的

収集した情報は、以下の目的で利用します:

  • 本サービスの提供、運営、改善
  • ユーザー認証およびアカウント管理
  • 目標達成の進捗管理機能の提供
  • 外部サービスとの連携機能の提供
  • ユーザーサポートへの対応
  • サービスに関する重要なお知らせの送信
  • 不正利用の防止およびセキュリティの確保

5. 情報の保存と保護

5.1 データ保存場所

  • Google Cloud Platform(日本リージョン)上で運用
  • Cloud SQL for PostgreSQL(データベース)
  • Cloud Run(アプリケーション実行環境)

5.2 暗号化とセキュリティ対策

  • 通信はすべてTLS(HTTPS)で暗号化
  • パスワードはBcryptでハッシュ化して保存
  • APIトークンはSHA256でハッシュ化して保存
  • Google OAuthトークンはAES-256-GCMで暗号化して保存
  • データベースへのアクセスは認証済みサービスからのみ許可

5.3 データ保持期間

ユーザーデータは、アカウントが有効な間保持されます。 アカウント削除時には、関連するすべてのデータを削除します。

6. 第三者への情報提供

以下の場合を除き、お客様の個人情報を第三者に提供することはありません:

  • お客様の同意がある場合
  • 法令に基づく開示請求があった場合
  • 人の生命、身体または財産の保護のために必要な場合
  • 外部サービス連携においてお客様が明示的に許可した場合

7. Cookieとセッションの使用

本サービスでは、以下の目的でCookieを使用します:

  • セッションCookie:ログイン状態の維持(ブラウザを閉じると削除)
  • 認証トークン:「ログイン状態を保持」選択時の継続的な認証

本サービスでは、トラッキング目的のCookieや第三者広告Cookieは使用していません。

8. ユーザーの権利

8.1 データへのアクセス

本サービスにログインすることで、ご自身のすべてのデータにアクセスできます。

8.2 データの修正・削除

  • 目標、習慣、活動ログ等のデータは、サービス内でいつでも編集・削除できます
  • アカウント削除をご希望の場合は、お問い合わせください

8.3 外部連携の解除

  • Google Calendar:設定画面から「接続を解除」をクリック
  • MCP連携:設定画面からクレデンシャルを削除
  • APIトークン:設定画面から個別に削除可能

9. 未成年者について

本サービスは、13歳未満の方を対象としていません。 13歳未満の方が本サービスを利用していることが判明した場合、 当該アカウントおよび関連データを削除する場合があります。

10. ポリシーの変更

本ポリシーは、法令の変更やサービス内容の変更に伴い、予告なく改定される場合があります。 重要な変更がある場合は、サービス内での通知またはメールでお知らせします。 変更後のポリシーは、本ページに掲載した時点で効力を生じます。

11. お問い合わせ

本プライバシーポリシーに関するご質問やご要望は、 サービス内のお問い合わせ機能よりご連絡ください。

制定日: 2024年12月

最終更新日: 2025年12月22日