お客様の大切なデータを守ることは、私たちの最も重要な責務です。
FUJIMIN PASSは、小規模店舗のオーナー様が安心してご利用いただけるよう、業界標準のセキュリティ技術を採用しています。 「ITに詳しくないけど大丈夫?」というご不安にお応えするため、どのような対策を行っているかをわかりやすくご説明します。
すべてのログインは暗号化された認証トークン(JWT)で管理されています。 パスワードは元に戻せない形式(ハッシュ化)で保存しており、万が一データベースが流出しても、パスワードそのものを読み取ることはできません。
また、短時間に何度もログインを試みるような不正なアクセスは自動的にブロックされます。
データベースの仕組みとして「行レベルセキュリティ(RLS)」を採用しています。 これはデータベースそのものが「このデータはこのお店のもの」と自動的に判断し、他のお店のデータを一切表示しない仕組みです。
アプリケーション側の不具合が仮に発生しても、データベース層で確実にブロックされるため、他のお店にデータが見えることはありません。
お客様のブラウザと当社サーバー間の通信は、すべてSSL/TLS(HTTPS)で暗号化されています。 これはインターネットバンキングや大手ECサイトと同じ技術です。 第三者が通信の中身を盗み見ることはできません。
決済処理はすべてStripe社(国際的なセキュリティ認証 PCI DSS Level 1 を取得)に委託しています。当社のサーバーにカード番号が保存されることはありません。
AIによるチャット応答やシフト自動生成などの機能は、ご契約プランに応じた利用上限が設定されています。 意図しない大量利用や不正利用が発生しない仕組みになっています。
「いつ・誰が・何をしたか」を監査ログとして記録しています。 万が一トラブルが発生した場合でも、原因を迅速に特定し対応できる体制を整えています。
使用しているソフトウェアの脆弱性チェックを定期的に実施し、問題が見つかった場合は速やかに対応しています。 また、全アプリケーションのセキュリティ設定を横断的に確認する監査を行っています。
| 認証方式 | NextAuth.js v5 + JWT(HS256署名)/ FUJIMIN PASS SSO統合 |
|---|---|
| パスワード | bcrypt(12ラウンド)によるハッシュ化 |
| テナント分離 | PostgreSQL Row Level Security(FORCE RLS) |
| 通信 | TLS 1.3 / HSTS(max-age=31536000) |
| セキュリティヘッダー | CSP / X-Frame-Options: DENY / X-Content-Type-Options / Referrer-Policy / Permissions-Policy |
| ORM | Prisma(パラメータ化クエリによるSQLインジェクション対策) |
| レートリミット | 認証・チャット等の重要APIにIP単位の制限を適用 |
| 決済 | Stripe(PCI DSS Level 1)/ Webhook署名検証(HMAC-SHA256) |
| LINE Token | AES-256-GCM暗号化保存 |
| 監視 | Sentry(エラートラッキング)/ 監査ログ(AnalyticsAuditLog) |
| ホスティング | Vercel(SOC 2 Type II準拠)/ Supabase PostgreSQL(AWS上、SSL強制) |
| 最終監査日 | 2026年04月04日(全5アプリ横断セキュリティ監査実施済み) |
最終監査: 2026-04-04