1事業者情報
本ポリシーは、株式会社スタンダード運輸 (以下「当社」) がグループ内で運用する社内コミュニケーション・健康経営プラットフォーム CoWell、ならびに物流オペレーション系姉妹アプリ LogiHub における個人情報の取扱いを定めるものです。
- 運営: 株式会社スタンダード運輸 (代表取締役 小林 猛)
- 所在地: 海老名市
- システム責任者: 代表取締役 小林
- 個人情報取扱担当: 管理部 (立石)
💡 CoWellは スタンダード運輸グループ専用の自社運用システム です。LINEやTeamsのように不特定多数が利用するクラウドサービスとは性格が異なり、会話・健康情報・業務記録は すべてグループ内に閉じる設計 です。
2取得する情報
CoWell では、以下の情報を取得します。記載のないものは取得しません。
2-1. アカウント情報 (登録時)
- 氏名 (表示名)・ニックネーム・ログインID・初期パスワード (登録時のみ)
- 所属拠点・所属グループ (dm_group)・職種 (ドライバー/倉庫/事務/施工/製造)
- 生年月日 (Box健診データ突合のため必須)
- 顔写真およびAI生成アバター画像 (任意)
2-2. 利用ログ
- ログイン日時・最終アクセス時刻・在席ステータス (在席/退席/会議中/集中)
- 出退勤打刻時刻・PC起動時刻 (常駐スクリプト導入端末のみ)
- 各ページの閲覧履歴 (内部統制目的の監査ログ)
- 同意取得記録 (consent_logs)
2-3. コミュニケーション
- チャット (DM/グループ) のメッセージ本文・添付ファイル・既読状態・通話履歴
- 掲示板・みんなの広場 (plaza) の投稿本文・画像・カテゴリ
- 反応ボタンの押下記録 (8種: 👍/❤️/😊/💪/👏/💡/🙏/😢)
- コメント・引用・ささやき (whisper) 履歴
- サークル活動の参加状況・申請履歴・予定
2-4. 健康関連情報 (個人ごとの本人開示・自己入力)
- 食事写真とAI栄養分析データ (9項目: カロリー/塩分/食物繊維/野菜/タンパク質等)
- 血圧・心拍記録 (任意入力 / Fitbit連携)
- 体調メモ・お悩み相談チャット履歴 (本人とAIのみ)
- 個人アクションプラン (myplan)
- ヘルスリテラシー5問 (CCHL設問の回答)
- Box健診ファイル (年次健診結果 PDF。本人と保健師のみ閲覧)
2-5. 業務報告
- 業務連絡 / 運管POST (車両不具合・ヒヤリハット・現場の声)
- 事故報告書 (製品事故・車両事故・荷主向けBC報告)
- 聞き取りカード (推進メンバーによる代理入力)
2-6. LogiHub 関連 (該当者のみ)
- バーコードスキャン履歴・商品マスタ (写真含む)
- ピッキング操作ログ・ダメージ報告写真
- 配車組成データ・ルート情報 (準備中)
取得しない情報: 銀行口座番号・クレジットカード番号・マイナンバー・家族構成・宗教・思想信条等。給与情報は別システム管理で CoWell では取扱いません。
3利用目的
取得した情報は、以下の目的に限り利用します。
- 業務連絡・社内コミュニケーション: チャット・掲示板・サークル活動の場の提供
- 健康経営の推進: 個人アクションプランの自動生成、推進メンバー・保健師による健康施策の立案
- 労務管理: 出退勤打刻・サービス残業の見える化 (PC起動時刻との照合)
- 事故・ヒヤリハットの記録と分析: 安全管理の継続的改善
- 内部統制: 監査ログの保管、不正アクセスの検知
- 学術研究への協力: 帝京大学公衆衛生学研究科 (福田研究室) との共同研究で匿名化集計データを提供 (本人同意済の範囲のみ)
- サステナビリティ報告: ICAO・SBTi・GRI等の対外報告に匿名集計データを使用
5業務委託先
システム運営上、以下の事業者へ業務を委託しています。委託先には適切な監督を行います。
| 委託先 | 用途 | 所在 | 取扱情報 |
|---|---|---|---|
| GMOインターネット (ConoHa VPS) | サーバーホスティング | 日本 | システム全データ (暗号化保存) |
| Box, Inc. | バックアップ・健診ファイル保管 | 米国 (SOC2 Type II準拠) | 暗号化バックアップ・健診PDF |
| Google LLC (Gemini API) | 食事分析・AI相談・栄養スコアリング | 米国 | 食事写真・相談本文 (単発・蓄積なし) |
| Cloudflare, Inc. | DNS・CDN・DDoS対策 | 米国 | HTTP通信のメタデータのみ |
| Let's Encrypt (ISRG) | SSL証明書発行 | 米国 (非営利) | ドメイン名のみ |
✅ Gemini API は学習データに使われません。 Google の API 契約条件で、API経由のデータは学習用途に転用されないことが保証されています。
6保管期間
| カテゴリ | 保管期間 | 削除トリガー |
|---|---|---|
| アカウント情報 | 在職中 + 退職後3年 | 労務上の証跡保持後に削除 |
| チャットメッセージ | 無期限 (内部統制目的) | 本人申出 + 管理者承認で削除可 |
| みんなの広場 投稿 | 無期限 | 本人による削除可 / 削除時 deleted_at にマーク (物理削除しない) |
| 食事ログ・栄養分析 | 無期限 (個人プラン最適化のため) | 本人申出で全削除可 |
| 血圧・心拍記録 | 無期限 | 本人申出で全削除可 |
| 事故報告・ヒヤリハット | 10年 (労働安全衛生法に準拠) | 定期削除 |
| 監査ログ・アクセスログ | 5年 | ローテーション削除 |
| ささやき (whisper) | 2.5秒 (完全揮発) | 自動消滅 |
| ダメージ写真 (bc-scan) | 90日 | 自動削除 |
| Box バックアップ | 世代管理 (日次30日+月次12ヶ月) | 順次削除 |
7健康情報の特別取扱い
健康情報は要配慮個人情報に該当するため、特に厳格に取扱います。
7-1. 公開範囲のデフォルトは「本人のみ」
血圧・健診ファイル・体調メモ・CoWell個人履歴は、本人以外は閲覧できません。管理者・推進メンバー・保健師にも見えません。
7-2. 個人プラン (myplan) の3段階公開設計
個人アクションプランは、本人がコントロールできる3段階公開設定があります。デフォルトは「自分だけ」です。
| 段 | 公開先 | 表示粒度 | 同意 |
|---|---|---|---|
| 段1 | 本人のみ | すべて | デフォルト |
| 段2 | 推進メンバー (約3名+管理者) | 実名+詳細プラン本文 | opt-in |
| 段3 | 全社員 (ニックネーム) | 「✨ ○○さんが △△を始めました」のみ。失敗・挫折は非表示 | opt-in / いつでも取下可 |
7-3. AIに渡すデータ
食事分析・AI相談時には Gemini API へその時の相談内容と直近データのみが「単発」で送られ、AI側に学習・蓄積されません (Gemini API 契約条件)。
7-4. AIが行わないこと
- 個別の医学的診断 (「あなたは高血圧症です」のような断定)
- 薬剤の推奨・処方
- 個別医療行為の代替 (緊急時は「すぐに救急」と返答)
- 恋愛・家庭問題・転職等、業務上の健康管理を超える領域への踏込み
7-5. 4層 AI安全フィルタ
AIチャット (バディ・ヘルスアドバイザー) には自殺念慮・自傷を検知する4層フィルタを実装しています。検知時は緊急連絡先案内に切替え、管理者へ自動通報します。
8安全管理措置
8-1. 技術的対策
| 項目 | 内容 |
|---|---|
| 通信の暗号化 | TLS 1.3 / HTTPS (Let's Encrypt 証明書、Cloudflare proxy) |
| 保存時の暗号化 | VPS ディスク・バックアップを暗号化 |
| サーバー所在地 | 日本国内 (ConoHa VPS / GMOインターネット) |
| パスワード保管 | bcrypt 一方向ハッシュ化 (復元不可) |
| パスワード強度 | 10文字以上 + 英大小+数字+記号必須 + 予測語ブロック |
| ファイアウォール | UFW で不要ポート全閉鎖 |
| セッション | 1アカウント1セッション (乗っ取り検知容易) |
| ログイン試行制限 | 15分30回でブロック (ブルートフォース防止) |
| バックアップ | Box (SOC2 Type II準拠) に暗号化保存・世代管理 |
| CSRF/XSS 対策 | Helmet + 入力サニタイズ + CSP |
| レート制限 | 15分3000リクエスト/IP の API limiter |
| Referrer-Policy | strict-origin-when-cross-origin |
8-2. 組織的・人的対策
- 権限分離: 管理者 / 推進メンバー / ゲストレビュアー / 一般ユーザー で閲覧範囲を分離
- アクセスログ: いつ誰が何を閲覧したか全記録 (監査可能)
- 第三者開発者なし: 全コードは代表 (小林) と社内技術陣の管理下
- 外部委託なし: 海外エンジニア・外部ベンダーへのデータ開示は一切なし
- AI学習への流用なし: 会話内容を生成AIの学習データに使用しない
- 退職時: アカウント停止 + 個人特定情報の削除を即実施
- 同意フロー: 初回ログイン時にニックネーム前段で3項目同意取得・consent_logs 監査
8-3. 透明性 (率直にお伝えします)
⚠ 大手SaaSに劣る点も透明性のため明記します:
- 第三者セキュリティ認証は未取得 (ISO27001/Pマーク等)。中小企業規模のため取得コストの問題
- E2E暗号化は未実装 (管理者は技術的に内容閲覧可能 → 業務システムとしての位置付け)
- 24時間SOC体制はなし。脆弱性対応は代表と技術陣の手動対応
- 単一VPS構成 (Boxバックアップで復旧)
💡 つまり、「世界最高水準の堅牢性」ではなく、「LINEやTeamsより我が社の事情に最適化された安全性」という位置付けです。
9本人の権利
個人情報保護法に基づき、ご自身の情報について以下の権利を有します。
- 開示請求: 当社が保有する自分の情報の開示を求められます
- 訂正・追加・削除請求: 内容が事実でない場合、訂正等を求められます
- 利用停止・消去請求: 法令違反・目的外利用が判明した場合、停止を求められます
- 同意の撤回: 個人プラン公開設定 (段2/段3) はいつでも段1に戻せます
- 退会・データ消去: 在職中はアカウント凍結、退職時は3年経過後にデータ削除
請求は 第13条 の窓口までご連絡ください。本人確認の上、原則として2週間以内に対応します。
10クッキー・端末情報
CoWell では以下のクッキー・ローカルストレージを利用します。
- 認証トークン (localStorage cohub_token): JWT トークン。ブラウザ閉じても保持され、ログイン状態を維持します
- UI設定 (localStorage m_fz): 文字サイズ・テーマ等。端末ローカルにのみ保存
- セッションCookie: なし (JWT で代替)
- 第三者トラッキング: なし。広告クッキーや解析用クッキーは一切設置しません
11LINE・Teamsとの比較
業務利用を想定した、率直な比較表です。
| 項目 | 個人LINE | LINE WORKS | Teams | CoWell |
|---|---|---|---|---|
| データ所在地 | 日本+海外※1 | 日本中心 | 米国中心※2 | 日本国内のみ |
| 運営主体 | LINEヤフー | LINEヤフー | 米Microsoft | 当社自社 |
| ベンダー社員のアクセス | 技術的に可能 | 技術的に可能 | 監査付きで可能 | 当社管理者のみ |
| 業務記録としての保管 | 不向き | 可 | 可 | 業務専用設計 |
| 法令開示の経路 | 海外含む可能性 | 日本中心 | 米国法影響あり | 日本国内法のみ |
| AI学習への利用 | 一部利用の可能性 | 設定次第 | 既定で不使用設定可 | 一切なし |
| 第三者認証 | ISO27001等 | ISMS | ISO27001/SOC等 | なし(中小企業) |
| カスタマイズ性 | 不可 | 限定的 | 限定的 | 完全自由 |
| 障害時の影響範囲 | 数億人規模 | 数百万社規模 | 全世界規模 | 当社のみ |
※1 2021年、LINEのユーザーデータに対し中国の業務委託先からアクセス可能な状態だったことが報道されました (現在は是正済み)。
※2 米国CLOUD法により、米国政府は米国企業のクラウドデータに開示請求できる場合があります。
※2 米国CLOUD法により、米国政府は米国企業のクラウドデータに開示請求できる場合があります。
12事故時の対応
万一、不正アクセスや情報漏洩が疑われた場合の対応手順です。
- 即時通報: 代表 小林 ([email protected])
- 24時間以内に該当アカウント凍結・調査開始
- 影響範囲を全ユーザーに通知
- 個人情報保護委員会への報告 (法令に基づき必要な場合)
こんな時はすぐご連絡ください
- 身に覚えのないログイン通知が届いた
- パスワードが勝手に変更されていた
- 知らない端末からのアクセス履歴がある
- 不審なメッセージを受信した・送信した覚えがある
- スマホ・タブレットを紛失した
13お問い合わせ
- システム不具合・パスワード再発行: 管理部 立石
- 個人情報の開示・訂正・削除依頼: 管理部 (本人確認のうえ対応)
- セキュリティに関するご懸念: 代表 小林 ([email protected])
- サークル活動・健康施策: 推進メンバー
本ポリシーは予告なく更新されることがあります。重要な変更がある場合は CoWell 上で事前にお知らせします。
制定日: 2025年4月27日 / 最終改定: 2026年5月13日 (LogiHub分離・サークル機能・反応ボタン8種を反映)