プライバシー第一のアーキテクチャ

信頼とコンプライアンス

Caiiooはローカルで実行されるソフトウェアです。当社がお客様のデータを処理、保存、またはアクセスすることはありません。すべての処理はお客様のデバイス上、ブラウザ内で行われ、お客様の管理下にあります。

データのエクスポートなし
データ処理者ではありません
外部侵入ポイントなし
プライバシー・バイ・デザイン
ESOF Security CertifiedESOFセキュリティ認定済み

仕組み

Caiiooは、完全にローカルデバイス上で動作するローカルソフトウェアアプリケーションおよびクロスプラットフォームシステムです。SaaSプラットフォームとは異なり、当社はお客様の会話、プロンプト、設定、出力、添付ファイルを受信、処理、または保存するサーバーを保有していません。サードパーティのAIサービスへの接続は、お客様の認証情報を使用してデバイスから直接行われます。当社はソフトウェアベンダーであり、当社のクラウドサービスはライセンス管理と暗号化されたプライベートリレーのみに使用されます。

データ処理とプライバシー

GDPR

非データ処理者としてのステータス

Caiiooはローカル実行型のソフトウェアアプリケーションです。SaaSプラットフォームとは異なり、Caiioo社は拡張機能で扱われるデータを処理、保存、またはアクセスすることはありません。すべてのデータ処理は、ユーザーのローカルブラウザ環境内で行われます。

GDPRにおいて、Caiiooはソフトウェアベンダーであり、顧客に代わって個人データを扱わないため、データ処理者(Data Processor)には該当しません。

エクスポートなし

データのエクスポートなし

この拡張機能は、安全なエンベロープ(封筒)として機能するように設計されています。機密情報、プロンプト、個人データがCaiiooのサーバーに送信されることは一切ありません。

当社のシステムにエクスポートされる唯一のデータは、機密性のない請求およびアカウント管理用のメタデータ(メールアドレス、表示名、アバター)に限定されます。

HIPAA および規制遵守

HIPAA

ビジネスアソシエイトではありません

Caiiooは、HIPAAで定義されている保護対象保健情報(PHI)を作成、受信、維持、または送信しません。この拡張機能は、ローカルのテキストエディタやブラウザと同様に、ローカルツールとして機能します。

Caiioo(会社)はユーザーが処理するデータに日常的にアクセスすることはないため、事業提携者(Business Associate)や下請業者には該当しません。

ダイレクト接続

ユーザー制御の接続性

サードパーティLLMへの接続は、ユーザーのデバイスから直接確立されます。Caiiooがこれらのデータストリームのプロキシや仲介者として機能することはありません。お客様のAPIキー、お客様の認証情報、お客様の直接接続です。

セキュリティ・アーキテクチャ

SOC 2

SOC 2 の適用性

Caiiooは顧客データをホスト、保存、または管理しません。そのため、クラウドサービスの管理に焦点を当てたSOC 2 Type II監査は、当社のビジネスモデルには適用されません。当社のセキュリティの焦点は以下にあります:

  • コードの整合性 — 暗号署名されたリリースと公開監査トレイル
  • セキュア・サンドボックス — ブラウザ拡張機能のアーキテクチャにより厳格な隔離を強制
GDPR

GDPR準拠

データ最小化とプライバシー・バイ・デザインを通じて、GDPRに完全に準拠しています。個人データを受け取らない仕組みを徹底することで、データの所在や国際転送に関連するリスクを排除しています。

  • データの最小化 — アカウント識別のためのメールアドレス、氏名、アバターのみを収集
  • プライバシー・バイ・デザイン — お客様のデータへのアクセスを不可能にするアーキテクチャ
ゼロ・エントリ・ポイント・アーキテクチャ

Caiiooは「ゼロ・エントリー・ポイント」のクライアントアプリケーションです。ブラウザの安全なサンドボックス内のみで実行され、ユーザーが許可した既存のSaaSプロバイダーへのアウトバウンド接続のみを行うことで、組織の外部攻撃対象領域を拡大することなくAI機能を提供します。

アーキテクチャのセキュリティ原則

Caiiooのアーキテクチャは、設計段階からリスクのカテゴリーそのものを排除しています。

攻撃対象領域の不拡大

Caiiooはサーバーとして機能せず、クライアント側のエージェントです。拡張機能がユーザーのデバイスや企業のファイアウォール上のポートを開放することはありません。Google WorkspaceやクラウドLLMへの接続は、組織ですでに承認されているものと同じHTTPS/TLSプロトコルを使用して、ブラウザからアウトバウンドで開始されます。プロキシとして機能する「Caiiooクラウド」が存在しないため、攻撃者がCaiiooのインフラを侵害して顧客の内部ネットワークにアクセスすることは不可能です。

セキュア・エンベロープ

CaiiooはChrome/Edgeの拡張機能サンドボックス内で動作します。これによりプロセス分離が実現され、ソフトウェアはブラウザ外のユーザーのファイルシステムや他のアプリケーションにアクセスできません。また、権限の範囲も限定されており、拡張機能はユーザーが明示的に許可した特定のウェブページやAPIとのみやり取りします。

非預かり型のデータフロー

Caiioo(会社)がデータ交換の当事者になることはありません。標準モデルでは、データはブラウザからLLMプロバイダーへ直接流れます。ローカルモデルでは、データがユーザーデバイスから出ることはありません。どちらのシナリオでも、Caiiooのサーバーはサブスクリプション状態に関連するメタデータのみを扱い、プロンプトやドキュメントの内容を扱うことは決してありません。

デプロイメントモデル

標準(ハイブリッドクラウド)

ブラウザはクラウドAIプロバイダーやGoogle Workspaceに直接接続します。Caiiooの認証サーバーは請求に関するメタデータのみを受信します。

エアギャップ(完全ローカル)

すべてのAI処理をローカルのOllamaサーバー経由で行います。外部への接続はライセンス認証のみで、データの外部エクスポートはゼロです。

ご自身で検証してください

このページに記載されているプライバシーに関する主張は構造的なものです。つまり、私たちの約束ではなく、コードの記述方法によって担保されています。誰でも閲覧、監査、参照できるように、セキュリティ上重要なファイルを公開リポジトリで公開しています。

GitHubでセキュリティ上重要なコードを読む

公開リポジトリに含まれるもの

  • OAuth接続モジュール — Google WorkspaceのOAuthトークンがサーバーではなく、ユーザーのデバイスに暗号化されて保存されていることを証明します。
  • リレーのWebSocket Durable Object — メッセージバスがエンドツーエンドで暗号化されていることを証明します。弊社は暗号文をルーティングしますが、内容を読み取ることはできません。
  • OAuthコード交換ハンドラー — トークンを保持しないステートレスなプロキシであることを証明します。
  • 完全なデータベーススキーマとマイグレーション — どのようなカラムが存在し、さらに重要なこととして、どのようなカラムが存在しないかを証明します。
  • ARCHITECTURE.mdの解説 — 各プライバシーの主張を、特定のファイルと言い回しに紐付けて説明しています。

公開リポジトリに含まれないもの

エージェント・オーケストレーター、サイドパネルUI、モードとプロンプト、内部管理ツール、およびデプロイ用スクリプトは、引き続きプロプライエタリ(非公開)です。これらはプライバシーの主張を支える根幹ではなく、オープンソース化については別途検討されます。

実際のネットワークトラフィックを監視する

コードを読むことが検証方法として最適でない場合は、Caiiooの使用中にネットワークモニター(macOSではLittle Snitch、WindowsではGlassWire、その他ではWiresharkなど)を実行してください。あなたのWorkspaceデータは、お使いのデバイスからGoogleへ直接送信されます。当社のインフラストラクチャへのトラフィックは、OAuthコード交換、ライセンス検証、コンテンツの取得、暗号化されたデバイス間メッセージバス、およびオプトインのメッセージングWebhookという、列挙可能な少数の操作に限定されています。これらの通信にWorkspaceのコンテンツが含まれることはありません。

ブログ記事で全トラフィック表を確認する →

セキュリティ上の問題を発見されましたか?

私たちはセキュリティ研究者を協力者として扱います。[email protected] までメールをいただくか、透明性リポジトリ内の SECURITY.md にある完全な開示ポリシーをお読みください。2営業日以内の確認回答を約束いたします。

データフロー・アーキテクチャ

データの所在とアクセス権限について

お客様のデバイス内

  • 会話内容と履歴
  • APIキーと認証情報
  • 設定とカスタマイズ
  • ファイルと添付資料

直接接続

デバイスはお客様の認証情報を使用して、AIプロバイダー(OpenRouter、Ollama、Geminiなど)に直接接続します。Caiiooがこの接続を仲介することはありません。

Caiiooサーバー

  • 会話データなし
  • 個人情報なし
  • 請求用メタデータのみ
Caiioo

Caiioo vs. AIクラウドサービス

ホップ数の削減、外部への恒久的なコピーの排除、ローカル優先の保存と処理により、攻撃対象領域を最小限に抑えます。

従来のAI SaaS

あなた

プロンプト、ファイル、会話、習慣、好み、コンテキスト
すべてがサーバーに送信される

SaaSプラットフォーム(中央集権型)

全ユーザーのデータ 単一のデータベース内
トレーニングパイプライン あなたのデータで「彼ら」のモデルを改善
行動分析 利用プロファイリング、広告ターゲティング
従業員によるアクセス スタッフがチャットを閲覧可能
サードパーティパートナー 広告主、データブローカー
政府・法的要請 召喚状、捜索令状
すべてのデータが下流へ流れる

統合仲介者

SaaSが統合をプロキシ カレンダー、メール、ファイルがプラットフォームを経由
すべてを把握 予定、連絡先、文書が記録・保持される

内部AIパイプライン(非公開)

独自のAIモデル 「サービス改善」のためにデータを保持
サブプロセッサー 同意なく第三者のAIにデータを転送
ログ保持 プロンプトを30〜90日以上保存
ZDR保証なし サブプロセッサーがデータを保持、記録、または学習に利用する可能性があります

ホップごとに、管理外の場所にデータのコピーが増えていきます

データ漏洩単一のサーバーから数百万件が流出
企業による不正利用規約変更やデータの売却
サプライチェーンからの流出サブプロセッサーの侵害によるデータ露出
政府による監視一括令状や大量のデータ収集
犯罪者なりすまし、詐欺、恐喝
不正従業員内部関係者による閲覧、コピー、売却
6つ以上のデータコピーが
管理不可能なサーバーに分散しています
データの保存先:
  • 中央データベース
  • 学習パイプライン
  • 分析システム
  • サブプロセッサーのログ
  • パートナーのシステム
  • 不明なダウンストリームサービス
Caiioo(プライバシー優先 + データ保持ゼロ)

あなた

プロンプト、ファイル、会話、習慣、設定、コンテキスト
デバイス内に保持
あなたのデバイス — すべてここに保管されます

あなたのデバイス (ローカルファースト)

あなたのデータあなただけのもの
コンテキスト認識 データは、Caiiooが回答する際の正確性とスタイルの向上に役立てられます
AIエージェント ローカルで実行
E2E暗号化プライベート同期 あなたの Durable Object
AIモデル — パスを選択

オプションA: ローカル (Ollama)

完全オンデバイスAI モデルはローカルで実行されます。データはマシン外に出ず、ネットワークへの露出もゼロです。

デバイスの境界内に留まります

オプションB: OpenRouter (ZDR)

ZDRの強制適用 エンタープライズ契約により、データ保持ゼロを保証します
ログなし、保存なし プロンプトはプロバイダーによって保持されません
学習なし APIトラフィックは学習から除外されます
いつでも切り替え可能 Claude、GPT、Gemini — ロックインはありません

プロンプト入力 → 回答出力 → 保持データなし。
現在のプロンプトのみを送信(ステートレス)。契約で保証されています。

外部 — デバイスの境界を越えます

選択的なアウトリーチ — プロンプトに必要なものだけを送信
ツール&API連携 (BYOA)
あなたの認証情報、直接接続 — あなたの指示通りに動作

BYOA — アカウント持ち込み方式

あなたのOAuth、あなたの接続 Google Calendar、メール、ファイルは、あなたの認証情報でサービスAPIに直接接続されます
SaaSプロキシなし Caiiooが統合データに触れることはありません。データはお客様とAPIの間のみに留まります。
中間者ログなし カレンダー、連絡先、ファイル — すべて直接アクセスされます。Caiioo によるキャッシュや保持は行われません。
0あなたのデータの永続的なコピー
他者のサーバー上において
データの保存場所:
  • あなたのデバイス
以上です。
ZDR = データ保持ゼロ
ログなし。保存なし。学習なし。
OpenRouterにより契約で強制されています。
CaiiooのZDRフィルターは以下のみを保証します
ZDR準拠モデルのみを表示します。

具体的なリスク比較: シナリオ別の攻撃対象領域

リスクシナリオ従来のSaaSCaiioo攻撃対象領域
中央集権的なデータ漏洩
攻撃者によるサーバーインフラの侵害		 単一の事象で数百万人のユーザーのチャット、ファイル、個人データが流出。中央集権型DBは格好の標的となります。 侵害対象となる中央集権的なストレージが存在しません。各ユーザーのデータは自身のデバイス上にのみ存在します。個別のデバイスのリスクは残りますが、大量流出は起こりません。vs最小限
AIパイプラインのデータ保持
プロバイダーのログに保存されるプロンプト		 SaaSは「サービス改善」のためにプロンプトを30〜90日以上保持します。再委託先も保持する可能性があります。 OpenRouterはZDRを強制しており、ログの保持もストレージへの保存も行いません。ローカルモデルは何も保持しません。*vs最小限
サプライチェーン / 再委託先からの流出
同意なく第三者AIへ転送されるデータ		 SaaSは未知の再委託先を経由してデータをルーティングする場合があります。下流工程でのZDR保証はありません。 OpenRouterのZDRは、ZDRフィルタリングがオンの時に表示されるすべてのプロバイダーをカバーします。ローカルモデルにはネットワークへの露出がありません。vs最小限
ユーザーデータによるモデル学習
AI学習に使用されるプライベートな会話		 オプトアウト設定は深く埋もれており、個人向けプランではデフォルトでオンになっていることが多いです。再委託先が保持データで学習する可能性もあります。 ZDRプロバイダーには学習に利用できるデータがありません。APIトラフィックは契約上除外されています。ローカルモデルがデバイスから離れることはありません。vs最小限
スピアフィッシング / ID攻撃
漏洩したAIとの会話が悪用される標的型攻撃		 漏洩したチャットから興味、スケジュール、連絡先、文体が明らかになり、標的型フィッシングに理想的な情報となります。 サーバー側に保存されないため、攻撃者が利用できる大量のデータが存在しません。転送中の短時間の処理は存在しますが、外部に持ち出せる永続的なデータはありません。vs最小限
行動および利用状況のプロファイリング
プロファイルに集約される利用データ		 プライバシーポリシーでは通常、利用状況の分析、パートナーとのデータ共有、行動プロファイリングが許可されています。 分析パイプラインなし。パートナーへのアクセスなし。保持されるログなし。Caiiooはローカルで処理し、OpenRouterは会話を保存しません。vs最小限
政府 / 法的要請
召喚状、捜索令状、大量データ提供命令		 企業は従う義務があります。保持されたログや再委託先の記録はすべて強制的に開示される可能性があります。 召喚の対象となるサーバー側のデータが存在しません。ZDRプロバイダーは何も保持しません。Private Syncはエンドツーエンドで暗号化されています。vs最小限
一方的なポリシー / 利用規約の変更
企業による遡及的なデータ利用の拡大		 データは企業側にあります。遡及的な規約変更により、学習、広告、共有へと利用範囲が拡大される恐れがあります。 Caiiooは収益化するためのデータを保持しません。ZDRプロバイダーも何も保持しません。ポリシーの変更は、保存されなかったデータには影響しません。vs最小限

* このチャートはCaiiooのZDRフィルターが有効であることを前提としています。ZDRモードがオンの場合、CaiiooはOpenRouterが契約上データ保持ゼロ(ZDR)を強制しているAIモデルのみを表示します。ZDRを提供していないプロバイダーはモデルリストから自動的に除外されます。

根本的な違い

従来のSaaSは、機密データの中央集権的なハニーポットを作り出し、ゼロデータ保持の保証がない不透明な再委託先のチェーンにデータを渡しています。

Caiiooはデータをデバイス上に保持し、Ollamaを介してローカルでAIを実行するか、OpenRouterのZDRゲートウェイ経由で呼び出しをルーティングし、自身の認証情報(BYOA)で直接ツールに接続します。これにより、いかなるサーバーにもデータの恒久的なコピーが存在しないことを保証します。

Caiiooはどのようにプライバシーを保護しますか?

Caiiooは、プライバシー優先のエージェントプラットフォームとしてゼロから設計されました。製品のあらゆる層に組み込まれた具体的な保護策は以下の通りです。

専門家による設計

Caiiooは、情報プライバシーフェロー(FIP)、CISSP認定セキュリティ専門家、CIPP認定プライバシー専門家、およびAIGP認定AIガバナンス専門家によって、データ保護顧問との協議のもと設計されました。これにより、ゼロから構築された真の「プライバシー・バイ・デザイン」のエージェントプラットフォームとなっています。

No.プライバシー原則実装内容仕組み
1データの最小化徹底したデータの最小化

アカウントの請求用にメールアドレスと表示名のみを収集します。利用データ、閲覧履歴、会話内容、分析データなどは一切収集しません。これまでも、これからも。

2通知と同意ジャストインタイムのアクション同意

AIが影響力のあるアクションを実行したり、外部のサードパーティに接続したりする前に、Caiiooは意図、アクションの詳細、リスクレベルを示す明確な通知を表示し、お客様の明示的な承認を求めます。

3データポータビリティ完全なデータポータビリティ

データはあなたのものです。内蔵のバックアップおよび復元システムを通じて、いつでもエクスポートできます。ロックインされることはありません。会話、設定、構成を自由に持ち出すことができます。

4機密性と完全性ゼロ知識証明による暗号化プライベート同期

PBKDF2鍵導出(100,000回反復)を用いたAES-256-GCM暗号化を採用。データはユーザーのGoogle Driveに保存され、Googleですら解読できない形式で暗号化されます。パスフレーズを紛失した場合、当社でも復元することはできません。

5目的の限定アナリティクスとテレメトリの排除

分析サービス、トラッキングピクセル、イベント収集、外部へのエラー報告などは一切行いません。当社は、お客様が製品をどのように使用しているかを一切把握できません。

6同意と透明性段階的な権限リクエスト

OAuthスコープは、特定の機能を初めて使用する際にのみ要求され、事前の一括要求は行いません。何を、なぜ要求しているのか、その都度明確に説明します。

7消去権(第17条)消去する権利

ピンポイントな削除から完全な消去まで、包括的なデータ削除ツールを提供します。個別の会話の削除、キャッシュのクリア、または全データの完全消去など、削除対象を自由にコントロールできます。

8保存期間の制限重要なものは残し、不要なものは捨てる

「全削除か無しか」を強制するプラットフォームとは異なり、Caiiooでは残すものにフラグを立て、残りを自動的に破棄することができます。設定可能な保持ポリシーにより、時間の経過とともに蓄積されたデータをクリーンアップします。

9プライバシー・バイ・デザイン&デフォルトローカルファーストのアーキテクチャ

OllamaによるAIモデルのローカル実行、デバイス上での音声認識(Whisper)およびTTS(Kokoro)、そして全データのローカル保存に対応。完全にオフラインで動作し、外部にデータを送信する必要はありません。

10保存期間の制限ゼロデータ保持(ZDR)モデルの選択

ZDRポリシーに基づいてAIモデルをフィルタリング・選択できます。プロバイダーはリクエストを処理した後、即座にデータを破棄します。ログ記録、学習、データ保持は行われません。

11データ主体の権利きめ細かな位置情報制御

位置情報の共有なし、市区町村レベルの精度、または詳細な住所から選択できます。ワンクリックで無効化でき、キャッシュされたすべての位置データは即座に永久削除されます。

12透明性透明性の高いAIアクション

データの書き込み、修正、送信、削除を行うすべてのツールは、ユーザーの明示的な承認を必要とします。読み取り専用ツール(検索、閲覧、要約)は中断することなく実行されます。副作用を伴う処理が実行される前に、意図、アクションの詳細、リスクレベルを確認できます。重要な操作が隠されたり、自動的に行われたりすることはありません。

セキュリティ体制についてご質問がありますか?

拡張機能を通じてデータがどのように流れるかについての詳細は、プライバシーポリシー全文をお読みいただくか、今すぐCaiiooを使い始めてください。

プライバシーポリシーを読む無料で始める