セキュリティへの取り組み

ログインは業界標準の認証トークン方式で管理しており、ブラウザに残るのは検証可能な認証情報のみです。 パスワードは元に戻せない形式（ハッシュ化）で保存しており、万が一データベースが流出しても、パスワードそのものを読み取ることはできません。

また、短時間に何度もログインを試みるような不正なアクセスは自動的にブロックされます。

データベースの仕組みとして「行レベルセキュリティ（RLS）」を採用しています。 これはデータベースそのものが「このデータはこのお店のもの」と自動的に判断し、他のお店のデータを一切表示しない仕組みです。

アプリケーション側の不具合が仮に発生した場合でも、データベース層で二重に防御する設計を採用しており、他のお店のデータが見える事態を防ぎます。

お客様のブラウザと当社サーバー間の通信は、すべてSSL/TLS（HTTPS）で暗号化されています。 これはインターネットバンキングや大手ECサイトと同じ技術です。 第三者が通信の中身を盗み見ることはできません。

決済処理はすべてStripe社（国際的なセキュリティ認証 PCI DSS Level 1 を取得）に委託しています。当社のサーバーにカード番号が保存されることはありません。

AIによるチャット応答やシフト自動生成などの機能は、ご契約プランに応じた利用上限が設定されています。 意図しない大量利用や不正利用が発生しにくい仕組みを設けています。

「いつ・誰が・何をしたか」を監査ログとして記録しています。 万が一トラブルが発生した場合でも、原因を迅速に特定し対応できる体制を整えています。

使用しているソフトウェアの脆弱性チェックを定期的に実施し、問題が見つかった場合は速やかに対応しています。 また、全アプリケーションのセキュリティ設定（認証・認可・通信暗号化・入力検証など全12項目）を横断的に確認する監査を行っています。

※ 監査は AI（Claude）によるコード静的解析と運用者によるレビューを組み合わせた自動セキュリティ監査として実施しています。第三者認証機関（ISO 27001 / SOC 2 等）による監査は今後の取得を計画中です。