セキュリティポリシー(情報セキュリティ方針)
1. 目的
本セキュリティポリシーは、当社が提供する就職活動支援プロダクト(以下「本サービス」)において、利用者の情報資産を適切に保護し、情報セキュリティ事故を未然に防止することを目的とします。
2. 適用範囲
本ポリシーは、本サービスの開発、運用、保守および利用に関連して取り扱われるすべての情報資産に適用されます。
3. 管理体制
本サービスの情報セキュリティに関する責任者を定め、適切な管理体制を構築します
セキュリティに関する判断・対応は責任者が統括します
4. 技術的セキュリティ対策
4.1 認証・認可
Firebase Authentication によるユーザー認証を採用
認証済みユーザーのみが個人データへアクセス可能
管理者権限はサーバーサイドで厳格に制御
4.2 通信の安全性
本サービスはすべて HTTPS により通信を暗号化します
セッショントークンは HttpOnly Cookie を使用し、クライアントから直接参照できない構成とします
4.3 データ保護
データは Google Firestore 等のクラウドサービス上に安全に保存されます
外部APIキーや認証情報は環境変数として管理し、ソースコードには含めません
4.4 外部サービス連携
Stripe、Firebase、外部AI API 等の第三者サービスは、各社が提供するセキュリティ基準に準拠して利用します
5. 運用上の対策
不正アクセス、情報漏えい等の兆候を検知した場合、速やかに調査・是正措置を行います
セキュリティ上の脆弱性が判明した場合、優先度を定めて修正対応を行います
6. インシデント対応
情報セキュリティ事故が発生した場合、影響範囲を特定し、必要に応じて利用者へ適切に通知します。
7. 改定
本ポリシーは、法令改正やサービス内容の変更等に応じて、必要に応じて見直し・改定します。