プライバシーポリシー
最終更新日: 2026年6月4日
株式会社camomile(本店:大阪市西区南堀江1-25-12-407号室、代表取締役:竹部達郎、以下「当社」)は、当社が提供するInstagram DM自動化・チャットボットSaaS「LocoFlow」(以下「本サービス」)における個人情報の取扱いについて、以下のとおり定めます。本サービスのソフトウェア開発・技術保守は当社が合同会社TUSGに業務委託しており、同社は個人情報保護法上の委託先の地位にあります。利用者の個人情報の管理責任は当社が負います。
1. 取得する個人情報
- 事業者・代理店登録時の代表者氏名、電話番号、メールアドレス、店舗・拠点の所在地
- Instagram連携により取得するアクセストークン(暗号化して保管)、連携アカウントの識別子・ユーザー名
- 本サービスを通じて反応した一般消費者(Instagram利用者)の識別子(スコープ付きID)、反応・コメント等のテキスト(配信判定に必要な範囲)
- クレジットカード情報(決済代行業者Stripeが保持し、当社は顧客ID等のみ保管)
- 代理店の振込先口座情報(AES-256-GCMで暗号化保管)
- IPアドレス、ブラウザ情報、ログイン履歴、操作ログ
2. 利用目的
- 本サービスの提供(自動DM配信・分析等)および機能の改善
- 料金請求およびその確認
- 本人確認、不正利用の防止およびセキュリティ確保
- 利用者への重要なお知らせの送付
- 代理店報酬の支払い処理(振込先口座情報)
- 法令に基づく開示・対応
3. Instagram連携データの取扱い
Meta/Instagram APIから取得するアクセストークンは暗号化(AES-256-GCM)して保管し、接続解除時に無効化・削除します。DM本文・送信内容は原則として最小限の範囲で扱い、Instagram利用者の識別子は配信・重複防止に必要な範囲に限定します。本サービスはMetaのプラットフォーム規約・データポリシーに従ってデータを取り扱います。
4. 第三者提供
当社は、(1)利用者本人の同意がある場合、(2)法令に基づく場合、(3)人の生命・身体・財産の保護のために必要がある場合、(4)その他個人情報保護法により認められる場合を除き、取得した個人情報を第三者に提供しません。
5. 個人情報の取扱いの委託
当社は、本サービスの提供、決済処理、認証、ホスティング、システム保守、障害対応、セキュリティ対応その他必要な範囲で、個人情報の取扱いの全部または一部を外部事業者に委託します。委託先に対して必要かつ適切な監督を行い、契約において秘密保持・安全管理措置・再委託の制限・漏えい時の報告義務等を定めます。主な委託先は以下のとおりです。
| 委託先 | 委託内容 | 所在国 |
|---|---|---|
| 合同会社TUSG | ソフトウェア開発・技術保守 | 日本(大阪府) |
| Stripe Payments Japan株式会社 / Stripe, Inc. | 決済処理 | 日本・米国 |
| Supabase, Inc. | データベース・データ保管 | 米国 |
| Vercel, Inc. | アプリケーションのホスティング・配信 | 米国 |
| Clerk, Inc. | 認証・アカウント管理 | 米国 |
| Meta Platforms, Inc. | Instagram連携・メッセージ送信 | 米国 |
| OpenAI, L.L.C.(AI返信機能を利用する場合) | DM文面の自動生成 | 米国 |
委託先には必要かつ十分な範囲でのみ個人情報を提供し、適切な安全管理措置を講じるよう契約上義務付けています。利用者個人情報の管理責任は当社(株式会社camomile)が単独で負います。
6. 保管期間
個人情報は、利用目的が達成された後、法令で保管が義務付けられている期間(例:帳簿関係は7年)を除き、合理的な期間で削除します。目安として、Webhook生データは約30日、送信・配信ログは約13ヶ月、監査ログは約5年を基本とします。解約後の利用者データは30日間保管後に削除します。
7. 開示・訂正・利用停止の請求
本人は当社に対し、保有個人データの開示、訂正、追加、削除、利用停止、第三者提供の停止を請求できます。請求は下記窓口へメールにてお申し出ください。本人確認のため本人確認書類の写しの提示をお願いする場合があります。原則として30日以内に回答します。なお、開示等の請求にあたり1件あたり1,000円の手数料を頂戴する場合があります。
利用者は管理画面(/billing 等)から、自らの保有データをCSV/PDF形式でいつでもダウンロードできます。
8. Cookieの使用
本サービスはログイン状態の維持のためセッションCookie等を使用します。これらはHttpOnly/Secure/SameSite=Laxで発行され、第三者トラッキングには使用しません。広告配信用の第三者Cookieは使用していません。なお、紹介(アフィリエイト)リンク経由のお申し込みを識別するため、第一者Cookie(lf_ref)を使用する場合があります。
9. 安全管理措置
- すべての通信はHTTPS(TLS)で暗号化
- 認証はClerkによる業界標準の仕組みを採用(多要素認証に対応)
- Instagramアクセストークン・代理店振込先口座はAES-256-GCMで暗号化保管
- テナント(事業者)間のデータ分離をデータベースの行レベルセキュリティ(RLS)等で強制
- アカウント・権限・ログイン・請求・代理店報酬・店舗/拠点設定等の重要操作について監査ログを記録
- 不正・過負荷を防ぐためのレート制限
10. 漏洩等が発生した場合の対応
当社は、個人情報の漏洩・滅失・毀損その他個人の権利利益を害するおそれがある事態(以下「漏洩等」)を覚知した場合、速やかに原因究明・被害範囲の特定・二次被害の防止措置を講じます。個人情報保護法に基づき、個人情報保護委員会への報告および本人への通知を、法令に定める期間・方法により行います。利用者の管理下にある消費者情報について漏洩等が発生した場合は、速やかに利用者へ通知し、利用者による対応に協力します。
11. 国外移転について
本サービスは、ホスティング(Vercel/Supabase)、決済(Stripe)、認証(Clerk)、Instagram連携(Meta)、AI返信(OpenAI)等の過程で、データの一部が米国等に所在する委託先のサーバを通過・保管されることがあります。これら委託先は、当該国の法令に基づく個人情報保護の体制を整備しているか、または当社との間で十分な水準を確保するための契約を締結しています。
12. お問い合わせ窓口
株式会社camomile 個人情報保護管理者
メール: info@camomile.co.jp / 電話: 06-6643-9526(平日10:00〜18:00)
所在地: 〒550-0015 大阪府大阪市西区南堀江1丁目25番12号 407号室
※ 本文書は開発段階のドラフトです。公開前に弁護士の確認を受けてください。