PlaTask

プライバシーポリシー

最終更新日:2026年3月2日

1. はじめに

PlaTask(以下「本サービス」)は、組織・チーム向けのタスク・プロジェクト管理Webアプリケーションです。本サービスは、ユーザーのプライバシーを尊重し、個人情報の保護に努めます。本ポリシーでは、本サービスにおける個人情報の取り扱いについて説明します。

2. 収集する情報

本サービスでは、以下の情報を収集します。

2.1 アカウント情報

  • メールアドレス(ログインおよび通知に使用)
  • 氏名・氏名カナ(プロフィール表示およびユーザー識別に使用)
  • パスワード(scrypt 方式でハッシュ化して保存。平文は保持しません)
  • プロフィール画像(任意。アバター画像としてアップロード可能)
  • 所属組織情報(会社名、所属会社ID)

2.2 業務データ

  • プロジェクト情報(名称、説明、期間、ステータス、メンバー構成)
  • タスク情報(タイトル、説明、優先度、期限、推定工数、ステータス、担当者、成果物定義、タグ)
  • コメント(タスクに対するコメント内容)
  • 添付ファイル(タスクおよびコメントに添付されたファイル。管理者が設定した許可形式に準拠。デフォルト対応形式: png, jpg, jpeg, gif, pdf, doc, docx, xls, xlsx, txt, csv, zip。デフォルト上限: 10MB)
  • AI品質チェック結果(スコア、改善提案、推奨タグ等)

2.3 問い合わせ情報

  • 問い合わせ件名・カテゴリ・本文
  • 問い合わせに対する返信内容
  • 問い合わせ転送先メールアドレス(ユーザーが設定した場合)

2.4 自動的に収集される情報

  • アクセス日時
  • IPアドレス(アカウント登録時・パスワードリセット時にデータベースに記録)
  • ブラウザの種類・バージョン(サーバーログに記録)
  • ログイン成功・失敗の記録(メールアドレスの先頭3文字のみをマスク記録)

3. 情報の利用目的

収集した情報は、以下の目的で利用します。

  • 本サービスの提供・運営・改善
  • ユーザー認証およびアカウント管理
  • タスク・プロジェクト管理機能の提供
  • 問い合わせの受付・対応・返信通知
  • アカウント登録確認メール・パスワードリセットメール・問い合わせ転送メールの送信
  • AI機能によるタスク情報の分析・品質チェック・改善提案の生成(Amazon Bedrock利用時)
  • 不正利用の防止およびセキュリティの確保(レート制限、アカウントロック等)
  • 会社管理者によるユーザー管理・組織設定

4. 利用するAWSサービスとデータの取り扱い

本サービスは、Amazon Web Services(AWS)の各種サービスを利用してインフラストラクチャを構成しています。各サービスにおけるデータの取り扱いは以下のとおりです。

4.1 AWS Elastic Beanstalk(アプリケーションホスティング)

本サービスのWebアプリケーションは、AWS Elastic Beanstalk上で稼働しています。アプリケーションの処理に伴い、ユーザーのリクエストデータがAWSのサーバーで処理されます。

  • ホスティングリージョン内でのデータ処理
  • AWSのセキュリティ基準に基づくインフラ管理
  • アプリケーションログの一定期間保持

4.2 AWS SES(メール送信)

以下のメール送信に、Amazon Simple Email Service(SES)を使用します。

  • 新規登録招待メール — 管理者が発行した登録リンクの送信
  • パスワードリセットメール — パスワード再設定用リンクの送信
  • 問い合わせ転送メール — 問い合わせ返信の通知転送

送信先メールアドレスがAWS SESに送信されます。メール送信ログがAWS側に一定期間保持される場合があります。メール本文には登録用・パスワードリセット用の一時的なトークンURLが含まれます。

4.3 Amazon S3(ファイルストレージ)

タスクおよびコメントに添付されたファイル、プロフィール画像は、Amazon S3に保存されます。

  • 添付ファイルはプロジェクトID・タスクIDに基づくキーで保存されます
  • アクセスはアプリケーションを通じた認証済みユーザーに限定されます
  • ファイルの暗号化(サーバーサイド暗号化)を適用しています
  • アップロード時にファイルのマジックバイト検証を行い、偽装されたファイルの保存を防止しています

4.4 Amazon Bedrock(AI機能)

本サービスでは、タスク管理の支援のためにAmazon Bedrockの生成AI機能(Claude Haiku 4.5モデル等)を利用する場合があります。

  • AI処理のために以下のデータがAmazon Bedrockに送信されます:
    • タスクのタイトル・説明文
    • プロジェクト名
    • 優先度・期限・見積工数
    • 成果物定義(タイトル、格納先パス、命名規則)
    • タグ名
    • 添付ファイル名(ファイルの内容自体は送信されません)
  • AWS Bedrockでは、送信されたデータがモデルのトレーニングに使用されることはありません
  • AI処理の結果は本サービス内でのみ利用され、外部に共有されません
  • AI利用の履歴(トークン数、処理時間、スコア等)はデータベースに記録されます
  • ユーザーおよび会社管理者は、AI機能の利用を無効にすることができます

4.5 Amazon RDS for PostgreSQL(データベース)

本サービスのデータは、Amazon RDS上のPostgreSQLデータベースに保存されます。

  • アカウント情報・業務データ(プロジェクト、タスク、コメント、問い合わせ等)がRDS上に保存されます
  • データベースへのアクセスはVPC内のアプリケーションサーバーからのみ許可されており、外部からの直接アクセスはできません
  • 保存データは暗号化(AES-256)を適用しています
  • 自動バックアップにより一定期間のデータが保持されます

4.6 データの保存リージョン

本サービスで取り扱うデータは、原則としてAWSの東京リージョン(ap-northeast-1)内で保存・処理されます。一部のAWSサービスでは、サービスの可用性確保のため他リージョンでの処理が行われる場合があります。

5. セキュリティ対策

本サービスは、収集した個人情報を適切に管理し、不正アクセス・紛失・改ざん・漏洩の防止に努めます。

  • パスワードはscrypt方式でハッシュ化して保存します(平文での保存は行いません)
  • 登録トークン・パスワードリセットトークンはHMAC-SHA256でハッシュ化して保存し、有効期限を設定しています
  • 通信はSSL/TLSにより暗号化されます(本番環境では HSTS を適用)
  • CSRF(クロスサイトリクエストフォージェリ)対策を全フォームに適用しています
  • セキュリティヘッダー(X-Content-Type-Options, X-Frame-Options, Content-Security-Policy等)を設定しています
  • 認証エンドポイントにレート制限を適用し、ブルートフォース攻撃を防止しています
  • ログイン試行の失敗回数に応じたアカウントロック機能を実装しています
  • セッション固定化攻撃対策として、ログイン成功時にセッションを再生成しています
  • S3上のファイルにはサーバーサイド暗号化を適用しています
  • データベースへのアクセスはアプリケーションサーバーに制限しています
  • アクセス権限を必要最小限に制限しています(IAMポリシーによる制御)
  • ユーザー列挙攻撃を防止するため、パスワードリセット時に未登録メールアドレスでも同一のレスポンスを返します

6. 情報の共有・第三者提供

本サービスは、以下の場合を除き、ユーザーの個人情報を第三者に提供しません。

  • ユーザーの同意がある場合
  • 法令に基づく要請がある場合
  • ユーザーの生命・身体・財産の保護のために必要な場合
  • 上記AWSサービスの利用に伴うデータ処理(AWSは業務委託先として扱われます)

なお、AWSはAWS データプライバシーに基づき、顧客データの保護に取り組んでいます。

同一組織内のユーザー間では、業務上必要な範囲で以下の情報が共有されます。

  • 氏名、プロフィール画像(プロジェクトメンバー、タスク担当者として表示)
  • タスク・プロジェクトの作成・編集・コメント等の業務データ

7. Cookieの利用

本サービスでは、セッション管理のためにCookieを使用します。

  • Cookieはユーザーの認証状態(ログインセッション)を維持するために使用されます
  • CookieにはHttpOnly属性を設定し、JavaScriptからのアクセスを防止しています
  • 本番環境ではSecure属性を設定し、HTTPS通信時のみCookieを送信します
  • SameSite属性を「Lax」に設定し、クロスサイトリクエストでのCookie送信を制限しています
  • セッションの有効期間は会社管理者の設定に従います(デフォルト: 7日間)
  • ブラウザの設定によりCookieを無効化できますが、その場合は本サービスにログインできなくなります

本サービスでは、広告目的やトラッキング目的のCookieは使用していません。

8. データの保持期間と削除

  • アカウント情報: アカウントが有効な間保持されます
  • 業務データ(タスク・プロジェクト・コメント等): 論理削除方式を採用しており、削除操作後もデータベース上にレコードが保持されます。ただし、添付ファイルの実体は削除操作時に即時物理削除され、復元できません
  • 問い合わせ情報: 問い合わせスレッドが存在する間保持されます
  • AI品質チェック履歴: 利用統計・コスト管理のためにデータベースに永続的に保持されます
  • 登録トークン: 使用後または有効期限(デフォルト24時間)経過後に削除されます
  • パスワードリセットトークン: 使用後または有効期限経過後に削除されます
  • サーバーログ: ローテーション設定に基づき保持されます(最大5MB × 5世代)
  • プロジェクトの自動アーカイブ: 完了後一定日数(会社設定に依存、デフォルト30日)経過したプロジェクトは自動的にアーカイブされます

9. ユーザーの権利

ユーザーは、自身の個人情報について以下の権利を有します。

  • 登録情報(氏名、氏名カナ、プロフィール画像)の確認・修正
  • パスワードの変更
  • プロフィール画像の削除
  • AI機能の利用有効・無効の切り替え
  • 問い合わせ転送先メールアドレスの設定・変更・削除
  • アカウントの削除の要求(管理者への問い合わせが必要です)
  • 個人情報の利用停止の要求
  • 保有する個人データの開示請求

10. マルチテナンシーとデータの分離

本サービスは会社(組織)単位でデータを分離して管理しています。ユーザーは自身が所属する会社のデータにのみアクセスできます。異なる会社のデータが他の会社のユーザーに公開されることはありません。

11. ポリシーの変更

本ポリシーは、サービスの変更や法令の改正に応じて更新される場合があります。重要な変更がある場合は、本サービス上で通知します。変更後のポリシーは、本サービス上に掲載された時点で効力を生じます。

12. お問い合わせ

本ポリシーに関するお問い合わせや個人情報に関するご請求は、本サービスの問い合わせ機能または管理者を通じてご連絡ください。

← 新規登録に戻る