1. はじめに
Tomori(以下「本サービス」)を運営する当社は、お客様の個人情報およびメンタルヘルスに関する情報(以下「要配慮個人情報」を含む)を適切に保護することが社会的責務であると考え、以下のプライバシーポリシーに基づき、個人情報の適正な取り扱いと保護に努めます。
2. 収集する情報
本サービスでは、以下の情報を収集します。
2.1 アカウント情報
- 企業名、担当者名、メールアドレス
- パスワード(ハッシュ化して保存)
- 所属部署、役職
2.2 ストレスチェックデータ(要配慮個人情報)
- 職業性ストレス簡易調査票(57項目)の回答内容
- ストレス判定結果(総合スコア、高ストレス判定)
- 受検履歴
2.3 AIカウンセリングデータ
2.4 利用ログ
- アクセス日時、IPアドレス
- ブラウザ情報、デバイス情報
3. 情報の利用目的
収集した情報は、以下の目的にのみ利用します。
- ストレスチェックの実施および結果の集計・分析
- AIカウンセリング機能の提供
- 管理者向けダッシュボードでの統計データ表示(個人が特定されない形式)
- 高ストレス者への適切なフォローアップ支援
- サービスの品質改善・新機能開発
- お問い合わせへの対応
- 法令に基づく対応
4. 要配慮個人情報の取り扱い
ストレスチェック結果を含むメンタルヘルスに関する情報は、個人情報保護法における「要配慮個人情報」に該当します。当社は以下の方針に基づき、これらの情報を厳重に管理します。
- ストレスチェックの個人結果は、本人の同意なく事業者(管理者)に提供しません
- 管理者が閲覧できるのは、部署単位の集計データ(10人以上の集団分析)のみです
- 高ストレス者の判定結果は、本人への通知と産業医面談の案内にのみ使用します
- AIカウンセリングの会話内容は、管理者を含む第三者に開示しません
5. 情報の安全管理
当社は、個人情報の漏洩、滅失、毀損を防止するため、以下の安全管理措置を講じています。
- 通信の暗号化: すべての通信はSSL/TLSにより暗号化
- パスワード保護: bcryptアルゴリズムによるハッシュ化保存
- 認証管理: JWT(JSON Web Token)による安全なセッション管理
- アクセス制御: ロールベースのアクセス制御(RBAC)
- 個人情報フィルタ: AI処理前に個人識別情報を自動マスキング
- データベース: クラウドデータベースの暗号化ストレージを使用
6. 第三者提供
当社は、以下の場合を除き、お客様の個人情報を第三者に提供しません。
- お客様の同意がある場合
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合
なお、AIカウンセリング機能の提供にあたり、メッセージ内容をOpenAI社のAPIに送信します。 この際、個人を識別する情報(氏名、メールアドレス等)は自動的にマスキング処理を行い、 特定の個人を識別できない形式で送信されます。
7. データの保存期間
- ストレスチェック結果: 法令に基づき5年間保存
- AIカウンセリング履歴: アカウント有効期間中保存(ユーザーによる削除可能)
- アカウント情報: 契約終了後90日間保持した後、完全削除
- 利用ログ: 12ヶ月間保存
8. お客様の権利
お客様は、以下の権利を有します。
- 開示請求: ご自身の個人情報の開示を請求できます
- 訂正・削除: 個人情報の訂正または削除を請求できます
- 利用停止: 個人情報の利用停止を請求できます
- データエクスポート: ストレスチェック結果をCSV形式でダウンロードできます
- チャット履歴削除: AIカウンセリングの履歴をいつでも削除できます
9. Cookie の利用
本サービスでは、認証情報の保持にhttpOnly Cookieを使用しています。 このCookieはセッション管理のみに使用され、トラッキングや広告目的では使用しません。
10. 厚生労働省ガイドラインへの準拠
本サービスのストレスチェック機能は、労働安全衛生法第66条の10に基づく 「心理的な負担の程度を把握するための検査」に準拠しています。 厚生労働省「労働安全衛生法に基づくストレスチェック制度実施マニュアル」に則り、 検査結果の取り扱いにおいて適切な管理を行っています。
11. ポリシーの変更
本ポリシーは、法令の改正やサービス内容の変更に伴い、予告なく変更されることがあります。 重要な変更がある場合は、サービス内の通知またはメールにてお知らせいたします。
12. お問い合わせ窓口
個人情報の取り扱いに関するお問い合わせは、以下までご連絡ください。