セキュリティポリシー
BCP-AI(以下「当サービス」といいます)は、ユーザーの皆様に安心してサービスをご利用いただくため、情報セキュリティの確保を最重要課題の一つと位置づけ、以下のセキュリティポリシーに基づき、適切な情報セキュリティ対策を実施します。
1. 情報セキュリティ管理体制
当サービスは、情報セキュリティを確保するため、以下の体制を整備しています。
- 情報セキュリティ責任者を設置し、組織全体のセキュリティ管理を統括します
- 定期的なセキュリティ教育・訓練を実施し、従業員のセキュリティ意識を向上させます
- 情報セキュリティに関する規程・マニュアルを整備し、適切な運用を行います
2. 技術的セキュリティ対策
2.1 データの暗号化
ユーザーの個人情報およびBCP文書データは、以下の方法で暗号化されます。
- 通信時: SSL/TLS(HTTPS)による暗号化通信を使用
- 保存時: データベース内のデータを暗号化して保存
- パスワード: bcryptによる強力なハッシュ化を実施
2.2 アクセス制御
不正アクセスを防止するため、以下の対策を実施しています。
- ユーザー認証: ID・パスワードによる認証を実施
- セッション管理: JWT(JSON Web Token)による安全なセッション管理
- ログイン試行制限: 5回の失敗で15分間アカウントをロック
- 権限管理: ロールベースアクセス制御(RBAC)による適切な権限管理
2.3 脆弱性対策
システムの脆弱性を最小限に抑えるため、以下の対策を実施しています。
- 定期的なセキュリティパッチの適用
- SQLインジェクション対策(パラメータ化クエリの使用)
- XSS(クロスサイトスクリプティング)対策
- CSRF(クロスサイトリクエストフォージェリ)対策
2.4 監視・ログ管理
不正アクセスや異常な動作を早期に検知するため、以下の対策を実施しています。
- システムログの記録・保存(ログイン、データアクセス、設定変更等)
- 監査ログの記録(重要な操作の追跡可能性を確保)
- 異常検知システムによる24時間監視
2.5 決済セキュリティ
有料プランの決済処理は、外部決済サービス「Stripe」(Stripe, Inc.)を通じて行われます。当サービスのサーバーにクレジットカード情報が保存されることはありません。
| セキュリティ項目 | 内容 |
|---|---|
| セキュリティ基準 | PCI DSS Level 1準拠(クレジットカード業界の最高レベルのセキュリティ基準) |
| カード情報の保護 | トークン化技術により、カード番号が当サイトのサーバーを経由・保存されない設計 |
| 決済画面の暗号化 | Stripe Checkout画面はTLS 1.2以上で暗号化された通信を使用 |
| 不正利用防止 | Stripe Radarによる機械学習ベースの不正検知システム |
Stripe社のセキュリティについての詳細は、Stripe PCIコンプライアンスガイドをご参照ください。
3. 物理的セキュリティ対策
当サービスは、信頼性の高いクラウドサービス(Manus)を利用しており、以下の物理的セキュリティ対策が実施されています。
- データセンターへの入退室管理
- 24時間365日の監視体制
- 火災・地震等の災害対策
- 定期的なバックアップの実施
4. データ保持・削除ポリシー
ユーザーのデータは、以下のポリシーに基づいて管理されます。
- データ保持期間: サービス利用中およびアカウント削除後30日間
- データ削除: ユーザーからの削除要請に基づき、30日以内に完全削除
- バックアップデータ: 最大90日間保持(災害復旧用)
5. インシデント対応
セキュリティインシデントが発生した場合、以下の対応を行います。
- インシデントの検知・報告体制の整備
- 迅速な原因調査と影響範囲の特定
- 被害の拡大防止と復旧対応
- 影響を受けたユーザーへの速やかな通知
- 再発防止策の策定と実施
6. 個人情報保護
当サービスは、ユーザーの個人情報保護を最優先に考え、以下の方針で運営しています。
- 財務データや従業員の個人情報(住所・電話番号等)の入力は不要です
- 連絡先一覧等の雛型はExcel形式で別途ダウンロード提供し、システム内には保存されません
- 入力された情報は、BCP作成のみに使用され、第三者に提供されることはありません
7. 第三者サービスの利用
当サービスは、以下の第三者サービスを利用しています。各サービスは、それぞれのセキュリティポリシーに基づいて運用されています。
| サービス | 用途 | セキュリティ基準 |
|---|---|---|
| Manusプラットフォーム | ホスティング・認証基盤 | SSL/TLS暗号化通信 |
| AI言語モデル | BCP文書生成 | APIキー認証・暗号化通信 |
| Stripe, Inc. | クレジットカード決済処理 | PCI DSS Level 1準拠 |
各サービスは、それぞれのセキュリティポリシーに基づいて運用されています。Stripe社のセキュリティについては、Stripe PCIコンプライアンスガイドをご参照ください。
8. ユーザーの皆様へのお願い
セキュリティを確保するため、ユーザーの皆様には以下の点にご協力をお願いします。
- 強固なパスワードの設定(8文字以上、英大文字・小文字・数字を含む)
- パスワードの定期的な変更
- パスワードの第三者への開示禁止
- 共有端末でのログアウト徹底
- 不審なメールやリンクへの注意
9. セキュリティポリシーの見直し
当サービスは、技術の進歩や脅威の変化に対応するため、本セキュリティポリシーを定期的に見直し、必要に応じて改定します。改定した場合は、本ウェブサイト上で公表します。
10. お問い合わせ
セキュリティに関するお問い合わせは、下記のボタンからお願いいたします。
制定日:2026年2月7日
改定日:2026年2月12日(Stripe決済セキュリティに関する記載を追加)