メインコンテンツへ移動

クッキーポリシー

1. クッキーに関する一般情報

KINMU DIGITAL S.L.(所在地: Calle Teide, 4, 28703 Madrid, Spain、CIF: B24996803)は、Kinmuプラットフォーム(https://kinmu.app)およびモバイルアプリでクッキーを使用します。クッキーとは、ユーザーがプラットフォームにアクセスした際に、ユーザー端末のハードディスク(パソコン、タブレット、スマートフォン、またはその他のインターネット接続端末)に保存される小さなファイル(通常は英数字)です。クッキーは、ユーザーのセッション情報、閲覧設定、認証データ、端末に関する技術情報、およびプラットフォームの互換性と動作に関する情報を保存するために使用されます。クッキーは、Kinmuが直接作成する場合も、Kinmuが契約する第三者の技術サービス提供者によって作成される場合もあります。

本クッキーポリシーは、スペインのクッキー規制(情報社会サービスおよび電子商取引に関する法律34/2002(LSSI-CE)、欧州議会および理事会の指令2002/58/EC、EU規則2016/679(GDPR)、個人データ保護に関する有機法3/2018(LOPDGDD))に完全に準拠しています。

2. クッキーに関する同意

Kinmuは、プラットフォーム運用に必須の技術的クッキーと、必須ではないクッキーを区別します。適用法令に従い、必須クッキー(認証・セキュリティ・基本機能に必要なクッキー)は、その不可欠な技術的性質に照らし、事前の明示的同意を要しません。

必須でないクッキーについては、プラットフォームへの最初のアクセス時に同意管理システムが表示され、ユーザーはすべてのクッキーを承認する、すべての非必須クッキーを拒否する、または承認するカテゴリをカスタマイズすることができます。ユーザーはいつでもプラットフォームの設定から環境設定にアクセスしてクッキーの設定を変更でき、変更はすぐに有効になります。非必須クッキーへの同意の撤回は、撤回前のそのようなクッキーの使用の合法性に影響しません。

3. 認証およびセッションクッキー

Kinmuは、認証、セッション維持、およびプラットフォームの安全な運用のために以下の技術的クッキーを使用します。

アプリケーションセッション: ユーザーがプラットフォームにログインすると作成され、ユーザー端末に保存されるセッションクッキーで、Kinmuサーバー上のプロフィールとリクエストを紐づける一意のセッションIDを含みます。このクッキーにより、Kinmuはユーザーのアクティブなセッション状態を維持できます。このクッキーがなければ、プラットフォームは連続するリクエスト間でユーザーを記憶できず、ユーザーは保護された機能にアクセスできません。クッキーはユーザーの最後のアクティビティから30分後、またはブラウザを閉じたときに自動的に期限切れになります。

アクセス・トークン: プラットフォーム機能へのアクセス権限を提供する暗号化JWT(JSON Web Token)を含むクッキーです。このトークンはKinmuサーバーによって暗号署名されており、Kinmuの秘密鍵へのアクセスなしには偽造できません。サーバーはリクエストを処理する前にトークン署名を検証し、無効なトークンを拒否します。トークンは6時間ごとに自動的に期限切れになり、ユーザーがアクティブな状態であれば、ユーザーの操作なしに新しいトークンが自動的に生成されます。

Anti-CSRFトークン(XSRF-TOKEN): クロスサイトリクエストフォージェリ(CSRF)攻撃に対する保護を提供するセキュリティクッキーです。このクッキーには、データを変更するリクエスト(POST、PUT、DELETE)のヘッダーに含める必要があるランダムな一意のトークンが含まれており、リクエストを処理する前にサーバーによって検証されます。この保護がなければ、別のサイトの攻撃者がユーザーのブラウザにプラットフォームへの不正リクエストを実行させる可能性があります。ログアウト時に期限切れになります。

プラットフォーム設定(kinmu_preferences): インターフェース言語(スペイン語または英語)、ビジュアルテーマ(ライトまたはダーク)、インターフェース要素のレイアウトなどのユーザーインターフェース設定を保存するクッキーです。このクッキーにより、プラットフォームはセッション間でユーザーの設定を記憶でき、ユーザーは一貫したエクスペリエンスを維持できます。最終更新から90日後に期限切れになります。

4. 技術的分析クッキー

公開マーケティングサイトでは、Kinmuはユーザーの同意後にのみ分析クッキーおよび類似技術を使用します。これには、製品およびウェブ分析のために直接読み込まれるPostHogと、Google Tag Manager経由で読み込まれるGoogle Analytics 4が含まれます。Google Tag Managerは同意を回避するためには使用されず、分析タグはBasic Consent Modeの方針に従い、同意後に読み込まれます。

これらの分析ツールは、ページビュー、流入元、CTAクリック、スクロール深度、コンバージョンを集計形式で測定するため、ph_*posthog_ga_ga_*_gidまたは類似のCookie/ローカルストレージキーを使用する場合があります。

Kinmuはまた、Cookieを使用しないサーバーログによる技術分析も行います。IPアドレスは匿名化され、セキュリティおよびサービス可用性のために限定期間のみ保存されます。

5. マーケティングおよび広告クッキー

公開マーケティングサイトでは、Kinmuはマーケティング同意後にGoogle Tag Managerを通じて広告およびコンバージョン測定タグを使用する場合があります。これにはFacebook/Instagramキャンペーン向けのMeta Pixelが含まれ、将来TikTokピクセルIDが設定された場合にはTikTok Pixelが含まれる可能性があります。

マーケティングCookieには、有効化されたキャンペーンやプラットフォームに応じて、_fbp_fbcfrttclid_ttpttwidなどの識別子が含まれる場合があります。これらのタグはマーケティング同意前には読み込まれません。Kinmuはユーザーデータを広告プラットフォームに販売しません。

6. 第三者クッキーおよび外部プロバイダー

公開サイトで現在使用されるプロバイダーは、Google Tag ManagerおよびGoogle Analytics 4(Google)、PostHog、Meta Pixel、そして将来設定される場合のTikTok Pixelです。ユーザーはCookie設定から、いつでもこれらの設定を承認、拒否、変更できます。

Kinmuモバイルアプリ(iOSおよびAndroid)は従来のクッキーを使用せず、端末のネイティブストレージシステムを使用します。モバイルアプリの場合、認証およびセッションデータは以下に保存されます。

iOS: iOS Keychain(アクセスに生体認証(Face IDまたはTouch ID)またはデバイスパスワードが必要な、オペレーティングシステムの安全なストレージサービス)。認証トークンはAppleの標準に従って暗号化して保存されます。

Android: Android Keystore(アクセスにユーザー認証が必要な安全な秘密鍵リポジトリ)。トークンはデバイスベースの暗号化によって保護されて保存されます。

両方のモバイル実装は、ユーザーの明示的な同意なしに第三者アプリケーションが認証データにアクセスすることを許可しません。

7. クッキーの保存期間と有効期限

Kinmuは、セキュリティおよび運用上のニーズに従って、クッキーの自動有効期限を実装しています。

認証セッションクッキーは、ユーザーの最後のアクティビティから30分後またはブラウザを閉じたときに自動的に期限切れになり、期限切れ後にユーザーは再度ログインする必要があります。

アクセストークンクッキーは、ユーザーがアクティブである間は6時間ごとに自動的に更新されます。これにより、ユーザーは手動操作を行うことなく、複数日にわたってログイン状態を維持することができます。ブラウザが閉じられると、すべてのセッションクッキーは自動的に削除されます。

ユーザー設定のクッキーは90日間保持され、セッション間でインターフェース設定を維持できます。

ユーザーはブラウザのプライバシー設定からKinmuに関連するすべてのクッキーをいつでも手動で削除でき、その場合は再ログインが必要になります。

8. クッキーのセキュリティ属性

Kinmuが作成するすべてのクッキーは、データ保護法やウェブセキュリティ標準で求められるセキュリティ属性を実装しています。

HttpOnly属性: 機密情報(セッション、認証、トークン)を含むクッキーはすべてHttpOnly属性が付与され、ユーザーのブラウザ内のJavaScriptコードがクッキーの内容を読み取れないようにします。この属性は、悪意のあるコード注入(クロスサイトスクリプティング - XSS)による攻撃ベクトルを排除し、ユーザーセッションの窃取を防ぎます。

Secure属性: すべてのクッキーはSecure属性が付与され、暗号化されたHTTPS接続でのみクッキーの送信が強制されます。ブラウザは暗号化されていないHTTP接続でのクッキー送信を拒否し、通信傍受攻撃(Man-in-the-Middle)から保護します。

SameSite属性: すべてのクッキーはSameSite=Strict属性が付与され、外部サイトからリダイレクトされた際にクッキーが自動送信されるのを防止します。この属性は、ユーザーのブラウザにKinmuへの不正リクエストを実行させようとするクロスサイトリクエストフォージェリ(CSRF)攻撃から保護します。

9. クッキーにおけるプライバシーとデータ保護

Kinmuが作成するクッキーには、プラットフォームの運用に必要な技術情報のみが含まれており、Kinmuのプライバシーポリシーに従って処理されます。クッキーには、氏名、メールアドレス、識別番号、電話番号、健康情報などの識別可能な個人データは含まれていません。

ただし、クッキーには、Kinmuが連続したリクエストを同じ認証済みユーザーに関連付けることを可能にする一意のセッションIDが含まれています。この識別子はKinmuサーバー上のユーザーデータベースと紐づけられており、クッキーとデータベースの組み合わせによってKinmuはユーザーを識別しパーソナライズされた機能を提供します。ユーザーは、EU規則2016/679第15条に基づくアクセス権を行使することで、Kinmuがデータベースに保持している個人データを確認できます。詳しくは dpo@kinmu.app までご連絡ください。

Kinmuは、クッキーデータが偶発的または悪意のある変更にさらされることを制限するための措置を講じています。クッキーはトランジット時に暗号化されて送信(HTTPS)され、ネットワーク上の第三者が暗号鍵なしにクッキーの内容を読み取ることは不可能です。クッキーは暗号署名アルゴリズムによって改ざんから保護されており、クッキーへの変更はサーバーによる署名検証時に自動的に検出されます。

10. クッキーに関するユーザーの権利

欧州のプライバシーおよびクッキー法に従い、ユーザーは以下の権利を有します。

クッキーの拒否または削除: ユーザーは、ブラウザのプライバシー設定にアクセスすることで、クッキーのインストールを拒否できます。最新のブラウザ(Chrome、Firefox、Safari、Edge)は、既存のクッキーを削除し、将来のクッキーを防ぐためのインターフェースを提供しています。ユーザーは通常、設定 > プライバシー > 履歴 > クッキーからこれらの設定にアクセスできます。

同意のカスタマイズ: Kinmuにアクセスすると、同意管理ツールが表示され、ユーザーはどのクッキーカテゴリを受け入れるかを選択できます。ユーザーはいつでもプラットフォーム内のプライバシーオプションにアクセスするか、dpo@kinmu.app に連絡することで同意をカスタマイズできます。

同意の撤回: 以前に非必須クッキーに同意したユーザーは、いつでもその同意を即時効果で撤回できます。同意の撤回は、撤回前に使用されたクッキーの合法性に影響しません。

クッキーブロッカーの使用: ユーザーはブラウザ拡張機能(クッキーブロッカー、Privacy Badger、uBlock Origin)をインストールして、第三者および追跡クッキーを自動的にブロックできます。このようなツールは一部のウェブサイトの機能に部分的に影響を与える可能性があり、ユーザーはプライバシーと機能性のトレードオフを評価する責任があります。

情報の要求: ユーザーは dpo@kinmu.app に連絡して、使用されているクッキーに関する詳細情報、それらが含む情報、保持期間、およびユーザーの権利について要求できます。

11. モバイルアプリにおけるクッキー

Kinmuモバイルアプリ(iOS向けApple App Store、Android向けGoogle Play Storeで利用可能)は、従来のHTTP クッキーの代わりにオペレーティングシステムの安全なストレージシステムに保存された認証トークンを使用します。これらのトークンはクッキーと同様に機能しますが、オペレーティングシステムによって提供されるより高いセキュリティレベルを備えています。

iOSでは、トークンはiOS Keychainに保存されます。Keychainは、アクセスに生体認証またはデバイスパスワードを必要とする暗号化ストレージサービスです。

Androidでは、トークンはAndroid Keystoreに保存されます。Keystoreは、デバイス認証を必要とする暗号化鍵のリポジトリです。

両方の実装は、ユーザーの明示的な同意なしに第三者アプリケーションがトークンにアクセスすることを防止します。ユーザーはオペレーティングシステムの設定でKinmuアプリのトークンへのアクセスを取り消すことができます(iOS 設定 > Kinmu または Android 設定 > アプリ > Kinmu > 権限)。

モバイルアプリは第三者広告または行動追跡を実装していません。アプリは同意なしにユーザーデータを第三者に送信せず、Kinmuサーバーとのすべての通信はHTTPS経由で暗号化されています。

12. 地域別の同意

クッキー同意の管理は、ユーザーの地域の法律に従って実施されます。

欧州連合内のユーザー: 欧州連合内のユーザーには、ePrivacy指令2002/58/ECおよびGDPRに従い、非必須クッキーをインストールする前に明示的な同意を求める同意管理ツールが表示されます。ユーザーには、すべてを許可、すべてを拒否、またはクッキーをカスタマイズする選択肢が提示されます。

欧州連合外のユーザー: 欧州連合外の管轄区域にいるユーザーは、現地法令が求めない場合、事前同意の要件なしにクッキーに関する情報通知を受ける場合があります。ただし、Kinmuは地域に関わらずユーザーのプライバシー設定を尊重します。

Kinmuはユーザーの地域に基づいてクッキーの内容やプラットフォーム機能を変更せず、デフォルトですべてのユーザーにEU基準を適用します。

13. 本ポリシーの変更

Kinmuは、法令の変更、新しいセキュリティ慣行、または新機能への対応のため、本クッキーポリシーをいつでも変更することがあります。重要な変更は、本ポリシーのヘッダーのタイムスタンプを更新し、プラットフォーム上での通知により告知されます。ユーザーは変更を把握するために本ポリシーを定期的に確認する必要があります。

変更後もプラットフォームを継続して使用することは、変更の承認を構成します。ユーザーが変更を受け入れない場合は、dpo@kinmu.app に連絡してアカウントおよび個人データの削除を要求できます。

14. クッキーに関する連絡先

Kinmuにおけるクッキーの実装、同意設定に関する質問、またはクッキーに関連する技術的問題の報告については、以下に連絡してください。

個人情報保護担当者: dpo@kinmu.app
テクニカルサポート: support@kinmu.app

Kinmuは15営業日以内にお問い合わせに回答するよう努めます。

Kinmu Digital S.L.
Calle Teide, 4
28703 Madrid, Spain
CIF: B24996803
https://kinmu.app