最終更新日:2026年5月6日
セキュリティポリシー
SASALAB(個人事業主)(以下「当社」)は、ヒヤログ(以下「本サービス」)において ユーザーのデータを安全に保護するため、以下のセキュリティ対策を実施しています。 本ポリシーは、企業の情報セキュリティ審査・導入検討の参考としてご活用ください。
1. インフラストラクチャ
| クラウド基盤 | Amazon Web Services(AWS)/ 東京リージョン(ap-northeast-1) |
| CDN | Amazon CloudFront(グローバルエッジネットワーク) |
| SSL/TLS | 全通信をTLS 1.2以上で暗号化(HTTPS強制) |
| 可用性目標 | 99.9%(月次) |
| バックアップ | 日次自動バックアップ・30日間保持 |
2. データ保護
| データ分離 | 行レベルセキュリティ(RLS)により組織間のデータを完全分離 |
| 保存時暗号化 | データベース・ストレージの保存データを暗号化(AES-256) |
| 通信暗号化 | 全API通信をTLS/HTTPS暗号化 |
| 決済情報 | クレジットカード情報は当社サーバーに保存しない(Stripe PCI DSS準拠) |
| パスワード | bcryptによるハッシュ化(平文保存なし) |
3. アクセス制御
| 認証方式 | メール+パスワード認証 / OAuth2.0(Google等) |
| 多要素認証 | 対応予定(リリース後順次提供) |
| セッション管理 | JWTトークン・有効期限管理・自動失効 |
| 権限管理 | ロールベースアクセス制御(RBAC):管理者・一般ユーザー等 |
| 内部アクセス | 最小権限の原則に基づく従業者アクセス管理 |
4. 監視・検知
| ログ管理 | アクセスログ・操作ログの記録・保存(6ヶ月間) |
| 異常検知 | 不正アクセス・異常なAPIリクエストの自動検知 |
| 脆弱性管理 | 依存ライブラリの定期的な脆弱性スキャン・アップデート |
| インシデント対応 | セキュリティインシデント発生時、72時間以内にユーザーへ通知 |
5. 開発・運用セキュリティ
| 開発環境分離 | 本番・ステージング・開発環境を完全分離 |
| コードレビュー | 全コード変更はレビュープロセスを経て本番反映 |
| 依存関係管理 | npm audit等による定期的な脆弱性チェック |
| シークレット管理 | APIキー・認証情報はAWS Secrets Manager等で管理(コードに含めない) |
6. 物理的セキュリティ
本サービスのインフラはAWSデータセンターで運用されています。 AWSデータセンターはISO 27001、SOC 1/2/3、PCI DSSなど 国際的なセキュリティ認証を取得しており、物理的なセキュリティは AWSのセキュリティ基準に準拠しています。
7. コンプライアンス
| 個人情報保護法 | 日本の個人情報保護法に準拠 |
| GDPR | EU一般データ保護規則への対応を検討中 |
| ISO 27001 | 準拠を目指して取り組み中 |
| データ保存場所 | 日本国内(AWSアジアパシフィック東京リージョン) |
8. セキュリティに関するお問い合わせ
セキュリティに関する脆弱性の報告・お問い合わせは、以下の窓口までご連絡ください。 報告いただいた脆弱性については、責任ある開示(Responsible Disclosure)の原則に基づき対応します。
| セキュリティ報告先 | info@hiyarihatto.org |
| 件名 | 【セキュリティ報告】と明記してください |
| 初回回答 | 受付後3営業日以内 |
| 対応完了報告 | 修正完了後にご報告します |
※ 悪意ある目的での脆弱性利用は、不正アクセス禁止法等の法律に違反する可能性があります。
制定日:2026年5月6日
SASALAB(個人事業主)