プライバシーポリシー

要約: meet-flow はお客様のデータを外部サーバーに収集・保存しません。すべての認証情報はお使いのブラウザ内にローカル保存され、Google Calendar API および CA PASS API との通信にのみ使用されます。

1. はじめに

本プライバシーポリシーは、Chrome拡張機能「meet-flow」（以下「本拡張機能」）が取り扱う情報について説明するものです。本拡張機能は、NASCAスケジュール登録画面からGoogle Meetリンクを発行し、説明欄に自動追記する機能を提供します。

本拡張機能を利用することにより、本プライバシーポリシーに同意したものとみなされます。

2. 収集する情報

本拡張機能が取り扱う情報は以下のとおりです。

情報の種類	内容	保管場所
Google認証トークン	Google Calendar APIへのアクセスに使用するOAuth 2.0アクセストークン	ローカル
CA PASS認証情報	CA PASSへのアクセスに使用するセッションCookie	ローカル
Googleメールアドレス	認証済みユーザーのGoogleアカウントメールアドレス	ローカル
社員番号	NASCAのスケジュール画面から取得する参加者の社員番号	一時的
スケジュール情報	タイトル、日時、繰り返し設定などNASCA画面上のフォーム入力値	一時的
操作ログ	拡張機能の利用状況（ボタンクリック、エラー発生等）のイベントログ	ローカル

収集しない情報

本拡張機能は以下の情報を収集しません。

NASCAのスケジュール画面以外のブラウジング履歴・閲覧データ
パスワードやクレジットカード情報などの機密情報
ユーザーの位置情報
他のChrome拡張機能のデータ

3. 情報の利用目的

収集した情報は、以下の目的にのみ使用されます。

情報	利用目的
Google認証トークン	Google Calendar APIを通じたMeet付きイベントの作成
CA PASS認証情報	ユーザー認証の確認、社員番号からメールアドレスへの変換
Googleメールアドレス	操作ログへのユーザー識別情報の付与（任意）
社員番号	CA PASS APIを通じたメールアドレスの取得（Meet参加者招待用）
スケジュール情報	Google Calendarイベントの作成パラメータとして使用
操作ログ	拡張機能の品質改善およびトラブルシューティング

4. 情報の保管

ローカルストレージ

認証トークンおよび操作ログは、Chrome拡張機能の chrome.storage.local API を使用してお使いのブラウザ内にのみ保存されます。この情報は外部サーバーに自動送信されることはありません。

メモリ上の一時データ

スケジュール情報（タイトル、日時、参加者の社員番号等）はMeet発行処理時にメモリ上で一時的に使用され、処理完了後に破棄されます。ブラウザのストレージには永続保存されません。

Cookieの利用

CA PASSの認証にはブラウザの標準的なCookie機構を使用しています。本拡張機能が独自にCookieを設定・作成することはありません。

5. 第三者サービスとの連携

本拡張機能は、機能提供のために以下の外部サービスと通信します。

Google API — 使用するOAuthスコープ

本拡張機能は、Google OAuth 2.0を通じて以下のスコープ（アクセス権限）をリクエストします。

スコープ	用途	アクセス範囲
calendar.events `auth/calendar.events`	ユーザーのGoogleカレンダーにGoogle Meet付きの予定を新規作成するために使用します。	予定の作成（POST）のみ。既存の予定の読み取り・変更・削除は行いません。
userinfo.email `auth/userinfo.email`	認証済みユーザーのメールアドレスを取得し、内部の操作ログにおけるユーザー識別に使用します。	メールアドレスのみ。マーケティングや第三者提供の目的では使用しません。

Google Calendar API

通信先: www.googleapis.com
目的: Meet付きカレンダーイベントの作成
送信データ: スケジュールのタイトル、日時、繰り返し設定、参加者メールアドレス
認証: OAuth 2.0アクセストークン
Googleのプライバシーポリシー: https://policies.google.com/privacy

Google OAuth 2.0

通信先: accounts.google.com
目的: ユーザー認証およびアクセストークンの取得・更新
送信データ: 認証リクエスト（ユーザーのパスワードは本拡張機能を経由しません）

Google Userinfo API

通信先: www.googleapis.com
目的: 認証済みユーザーのメールアドレス取得（ログ用）
送信データ: OAuth 2.0アクセストークン

CA PASS (CRX)

通信先: crx.aa9z.com
目的: ユーザー認証の確認、社員番号からメールアドレスへの変換
送信データ: セッションCookie（自動）、社員番号（メールアドレス取得時）

7. 拡張機能の権限

本拡張機能が要求するChrome権限とその理由は以下のとおりです。

権限	使用目的
identity	Google OAuth 2.0 によるユーザー認証。Google Calendar APIへのアクセストークン取得に使用します。
storage	認証トークンおよびログバッファのローカル保存。ブラウザ再起動後もセッションを維持するために使用します。
ホスト権限 `googleapis.com`	Google Calendar API および Userinfo API へのHTTPリクエスト送信。
ホスト権限 `crx.aa9z.com`	CA PASS の認証確認API、ログインAPI、社員番号変換APIへのアクセス。
コンテンツスクリプト	NASCAのスケジュール登録/編集画面にのみ注入。「新規Meet発行」ボタンの表示とフォームデータの取得に使用します。

コンテンツスクリプトはNASCAのスケジュール登録画面（/schedule/new）およびスケジュール編集画面（/schedule/edit）でのみ動作します。それ以外のWebページでは一切のスクリプトが実行されません。

8. データの保持期間

データ	保持期間
Google認証トークン	トークンの有効期限まで（通常1時間）。期限切れ後に自動削除されます。
CA PASSセッション	ブラウザのCookieポリシーに準じます。
操作ログ	ローカルストレージ内に最大1,000件まで。送信成功後にクリアされます。
スケジュール情報	Meet発行処理の完了後に即時破棄。永続保存されません。

ユーザーは拡張機能のポップアップ画面から「認証を解除」ボタンを押すことで、保存されたすべての認証情報を即座に削除できます。

9. ユーザーの権利

ユーザーは以下の権利を有します。

認証の解除: 拡張機能のポップアップ画面からいつでも認証を解除し、保存されたトークンを削除できます。
拡張機能のアンインストール: Chromeの拡張機能管理画面からいつでも本拡張機能をアンインストールできます。アンインストール時に、本拡張機能が保存したすべてのローカルデータはChromeによって自動的に削除されます。
Googleアカウント連携の取り消し: Googleアカウントの権限設定から、本拡張機能のアクセス権限をいつでも取り消すことができます。
データの確認: Chromeのデベロッパーツール（Application > Storage）から、本拡張機能が保存しているデータを確認できます。

10. セキュリティ

本拡張機能は以下のセキュリティ対策を実施しています。

HTTPS通信: すべての外部API通信はHTTPS（TLS暗号化）を使用します。
OAuth 2.0: Google APIへのアクセスにはOAuth 2.0標準プロトコルを使用し、ユーザーのGoogleパスワードを直接取り扱いません。
Manifest V3: Chrome拡張機能の最新のセキュリティ基準であるManifest V3に準拠しています。
最小権限の原則: 機能提供に必要な最小限の権限のみを要求します。
スコープの限定: コンテンツスクリプトはNASCAのスケジュール関連ページにのみ注入されます。
トークンの自動失効: 認証トークンは有効期限管理され、期限切れ時に自動的に無効化・再取得されます。

11. ポリシーの変更

本プライバシーポリシーは、機能の追加・変更に伴い更新される場合があります。重要な変更がある場合は、拡張機能のアップデートを通じてユーザーに通知します。

最新のプライバシーポリシーは常にこのページで確認できます。ページ上部の「最終更新日」を確認してください。

12. お問い合わせ

本プライバシーポリシーに関するご質問やお問い合わせは、以下の方法でご連絡ください。

拡張機能の管理者までSlackまたはメールでご連絡ください。