最終更新: 2026年5月18日

プライバシーポリシー

Moru hub で扱うアカウント情報、文書、ログの基本的な取り扱いです。

本ページはサービス運用のための公開案内です。正式な契約・個別条件は Moru合同会社 との書面または個別契約を優先します。
  • アカウント情報は認証、権限管理、監査ログのために利用します。
  • アップロード文書とベクトルデータはテナント単位で分離して保管します。
  • 入力内容と社内文書は、モデル学習目的では利用しない運用を前提とします。
  • 削除・確認の依頼は info@moru.tech までお問い合わせください。

1. 取得する個人情報

当社は、本サービスの提供に伴い、以下の個人情報を取得します。

(1) アカウント情報: 氏名、所属組織名、メールアドレス、ハッシュ化されたパスワード、MFA 設定情報。(2) 利用情報: ログイン日時、IP アドレス、ブラウザ情報、利用機能、操作履歴。(3) コンテンツ: 利用者が本サービスにアップロードまたは入力した文書、検索クエリ、生成された回答。(4) 外部連携情報: M365 / Google Workspace / Slack / Discord 等の連携先 OAuth トークン (アプリケーション層で AES-256-GCM 暗号化のうえ保管)。(5) 決済関連情報: 個別契約に基づく請求・支払履歴 (利用料金は別途指定の決済代行事業者を通じて処理される場合があります)。

2. 利用目的

取得した個人情報は次の目的のために利用します。

(1) 本サービスの提供、認証、権限管理、アクセス制御。(2) 利用料金の請求および回収。(3) お問い合わせ・お申込みへの対応、契約者・利用者への重要な通知。(4) 本サービスの品質改善、不正利用の検知・防止、セキュリティ事故の調査。(5) 法令に基づく対応、または公的機関からの正当な要請への対応。

なお、利用者がアップロードした社内文書および検索クエリは、LLM プロバイダ (Azure OpenAI 等) のモデル学習目的には利用されない運用を前提とします。

3. 第三者提供 (APPI 第27条)

当社は、APPI 第27条に基づき、次のいずれかに該当する場合を除き、利用者の個人情報を本人の同意なく第三者に提供しません。

(1) 法令に基づく場合。(2) 人の生命、身体または財産の保護のために必要があり、本人の同意取得が困難な場合。(3) 公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意取得が困難な場合。(4) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合で、本人の同意取得により当該事務の遂行に支障を及ぼすおそれがある場合。

4. 業務委託 (APPI 第27条第5項第1号)

当社は、本サービスの提供に必要な範囲で個人情報の取扱いを以下の業務委託先に委託する場合があります (APPI 第27条第5項第1号に基づく委託のため、第三者提供には該当しません)。委託先との間では、適切な秘密保持契約および個人情報保護に関する契約を締結し、APPI 第25条 (委託先の監督) に基づき必要かつ適切な監督を行います。

(1) クラウドインフラ提供事業者: Vercel Inc. (CDN・アプリケーション実行環境、グローバルエッジ + 日本リージョン)、Supabase Inc. (データベース・認証・ストレージ、ap-northeast-1 (東京) リージョン)。(2) LLM・埋め込みベクトル提供事業者: Microsoft Corporation (Azure OpenAI Service、Japan East リージョン)。(3) 観測性・障害監視: Functional Software, Inc. (Sentry、US リージョン、PII scrub 後のエラー metadata・trace)。

5. 個人情報の保有期間

当社は、個人情報を利用目的の達成に必要な期間に限り保有します。具体的には次のとおりです。

(1) アカウント情報: 契約終了から 90 日間 (削除要請があった場合は速やかに削除)。(2) 利用ログ・Moru アプリ監査ログ: 法令要件、契約条件、tenant settings で定める期間。認証ログ、基盤ログ、エラー観測ログは各提供事業者の plan・保存設定・drain 設定に従います。(3) コンテンツ: 契約終了から 30 日間。それ以降は復元不能な方法で削除します。(4) 請求・支払関連情報: 法令で定める期間 (原則として 7 年)。

6. 安全管理措置 (APPI 第23条・第24条・第25条)

当社は、APPI 第23条 (安全管理措置)、第24条 (従業者の監督)、第25条 (委託先の監督) に基づき、個人情報の漏えい、滅失、毀損を防止するため、以下の安全管理措置を講じています。

(1) 組織的安全管理措置: 個人情報保護責任者の設置、従業者への定期的な教育、取扱規程の整備。(2) 人的安全管理措置: 従業者との秘密保持契約の締結、退職時の情報返却・削除義務。(3) 物理的安全管理措置: 業務委託先データセンターでの入退室管理、サーバー機器の物理的保護 (各クラウドプロバイダの SOC2 / ISO27001 等の認証に依拠)。(4) 技術的安全管理措置: テナント単位の論理分離 (Row Level Security)、通信経路の TLS 1.2 以上による暗号化、OAuth トークン等機微情報のアプリケーション層暗号化 (AES-256-GCM)、管理者操作および契約者設定に応じた全利用者の多要素認証 (MFA) 必須化、不正アクセス検知。

7. ご本人の権利 (APPI 第32条~第35条)

利用者は、当社が保有する自己の個人情報について、APPI に基づき以下の請求を行うことができます。

(1) 第32条 (保有個人データに関する事項の周知等) に基づく、利用目的の通知。(2) 第33条 (開示) に基づく、保有個人データの開示請求 (電磁的記録の提供を含む)。(3) 第34条 (訂正等) に基づく、内容の訂正、追加または削除。(4) 第35条 (利用停止等) に基づく、利用停止、消去、第三者提供の停止。(5) 第28条第3項に基づく、外国にある第三者への提供に関する情報の提供。

請求方法: 本ポリシー末尾の「お問い合わせ窓口」までご連絡ください。本人確認のため、当社所定の方法で本人であることを確認させていただきます。請求への対応には、原則として受領から 14 営業日以内に回答します。

8. 苦情・お問合せ窓口

個人情報の取扱いに関する苦情・お問合せは、本ポリシー末尾の「お問い合わせ窓口」までご連絡ください。

当社の対応に関し、なお解決しない場合は、認定個人情報保護団体 (該当する場合) または個人情報保護委員会へお問合せいただくこともできます。

9. Cookie 等の利用 (分析・外部送信)

本サービスは利用者の認証セッション維持および利用状況の把握のため、Cookie および類似技術を使用しています。本項は電気通信事業法第 27 条の 12 (情報送信指令通信に係る通知等) に基づく外部送信の通知も兼ねます。

(1) 必須 Cookie: 認証セッション、CSRF 対策、表示言語設定。本サービス提供に不可欠なため、無効化された場合は本サービスを利用できません。

(2) 分析 Cookie (Google Analytics 4 への外部送信):

送信先: Google LLC (米国を含む Google のグローバルインフラ)。送信元目的: 当社が本サービスのアクセス傾向を把握し、機能改善・パフォーマンス最適化に利用すること。受信側目的: Google が GA サービスを当社に提供するとともに、Google プライバシーポリシーに従い自社サービス品質改善等に利用すること。

送信される情報の例: GA4 のクライアント識別 Cookie (例: `_ga`、`_ga_<measurement_id>`)、ブラウザの User-Agent、リクエスト URL、参照元 URL、画面解像度、言語設定、IP アドレスから派生する地域情報、ページ滞在時間およびイベントタイムスタンプ。GA4 は仕様上 IP アドレスを永続的に記録・保管しません (Google 公表)。当社はあわせて `anonymize_ip` 設定 (旧 Universal Analytics 由来の互換オプション) も `true` で送信していますが、これらにより完全な匿名化が保証されるものではなく、ブラウザ・端末単位の識別は維持されます。

停止方法: Google が提供するオプトアウトアドオン (https://tools.google.com/dlpage/gaoptout) のインストール、または各ブラウザの Cookie 設定にて当該 Cookie を無効化してください。詳細な Google 側の取扱いは Google プライバシーポリシー (https://policies.google.com/privacy) を参照ください。

(3) その他の Cookie: 現時点で広告 Cookie・ソーシャル連携 Cookie・第三者リターゲティング Cookie は使用していません。今後追加する場合は本ポリシーを改訂し、必要に応じて同意取得 UI を設置します。

10. 外国にある第三者への提供 (APPI 第28条)

当社は本サービスの提供にあたり、以下のとおり外国にある第三者 (委託先) を利用する場合があります。利用者は、本プライバシーポリシーに同意することで、APPI 第28条第1項 (外国にある第三者への提供の同意) および同条第2項 (同意取得時の参考情報の提供) に基づき、当該提供に同意するものとします。本項 (1) (2) (3) は、第28条第2項に基づき同意取得時に提供する参考情報を兼ねます。

(1) 移転先の名称・所在国: ① Functional Software, Inc. (Sentry) — 提供国はアメリカ合衆国 (米国)。② Microsoft Corporation のグローバル基盤 (Azure OpenAI のリージョン外部の管理・障害対応機能) — 主たる処理国は米国です。なお、Microsoft のグローバルデータセンターは継続的に拡張・再配置されるため、個別の処理国を当社で事前に網羅的に特定することは困難です。最新の所在国一覧は Microsoft が公開する https://datacenters.microsoft.com を参照ください。③ Vercel Inc. (CDN・グローバルエッジ) — 主たる処理国は米国です。Vercel のエッジロケーションも継続的に変動するため、個別ロケーションの事前特定は困難です。最新の所在国一覧は https://vercel.com/docs/edge-network/regions を参照ください。

(2) 当該外国の個人情報保護制度の概要: 米国には日本の APPI 又は EU の GDPR に相当する包括的な連邦個人情報保護法は存在せず、業種別 (HIPAA、GLBA 等) および州別 (CCPA / CPRA 等) の規制ならびに連邦取引委員会 (FTC) の不公正・欺瞞的行為禁止 (FTC Act 第5条) によるエンフォースメントが行われています。個人情報保護委員会が公表する「外国における個人情報の保護に関する制度等の調査」 (米国) を参照してください。Microsoft / Vercel の処理国に米国以外が含まれる場合、その国の制度概要は当該データセンター所在国に応じて変動しますが、いずれも各事業者の DPA に基づき米国又は EU 水準の保護を契約上維持することを当社は確認しています。

(3) 移転先が講ずる安全管理措置の概要: 当社が確認している範囲では、Functional Software, Inc. は SOC 2 Type II、Microsoft Corporation は SOC 2 Type II / ISO/IEC 27001 / ISO/IEC 27018、Vercel Inc. は SOC 2 Type II 等の第三者認証を取得しています。当社は各社との間で Data Processing Agreement (DPA) の締結またはそれに準ずる契約条項の受諾を行い、暗号化・アクセス管理・監査・データ漏洩通知・サブプロセッサ管理等の安全管理措置を契約上確保するよう努めています。各認証および契約条件の最新ステータスは各事業者の公開資料に従い、当社で随時確認します。

なお、Sentry 連携では `sendDefaultPii:false` と scrub hook により request body・cookie・sensitive query・span URL を送信前に除去または mask します。また、任意の例外 message / extra に利用者が登録した文書本文・チャットクエリ・回答本文・token を含めない実装規約を適用します。詳細は本ポリシー末尾の「お問い合わせ窓口」までご請求ください。

11. プライバシーポリシーの変更

当社は、法令の改正、本サービスの内容変更、その他の事情により本ポリシーを変更することがあります。

重要な変更については、変更内容および施行時期を本サービス上に掲示するか、契約者の連絡先メールアドレスに通知します。利用者は、施行日以降に本サービスを利用することにより、変更後のポリシーに同意したものとみなされます。

お問い合わせ窓口
Moru合同会社 サポート窓口 (info@moru.tech)
施行日: 2026年5月18日