セキュリティ方針
inovie株式会社(以下「当事業者」)は、FitDesign AI(以下「本サービス」)における お客様データの保護を重要な責務と認識し、以下の方針に基づきセキュリティ対策を実施します。
1. 基本方針
- お客様データの機密性・完全性・可用性を確保するため、合理的な技術的・組織的安全管理措置を講じます。
- 法令および関連ガイドラインを遵守し、継続的な改善を行います。
- セキュリティに関するお問い合わせは、末尾の連絡先までご連絡ください。
2. 取り扱うデータ
本サービスでは、主に以下のデータを取り扱います。
- アカウント情報(メールアドレス、認証情報等)
- 組織・店舗情報(店舗名、業態、住所等)
- ブランドキット情報(ロゴ、配色、フォント、NGワード等)
- 生成に利用するテキスト・参考画像・生成結果画像
- 利用ログ(アクセス日時、操作履歴、エラーログ等)
個人情報の取扱いの詳細はプライバシーポリシーをご参照ください。
3. インフラ・データ保管
- 本サービスの基盤は Supabase(PostgreSQL・認証・ストレージ)および Vercel 等のクラウドサービス上で運用しています。
- データ通信は TLS(HTTPS)により暗号化します。
- データベースおよびストレージへのアクセスは、必要最小限の権限で制御します。
- バックアップはクラウド事業者の機能に加え、必要に応じて運用側でも復旧手順を整備します。
4. 認証・アクセス制御
- 利用者認証は Supabase Auth により行い、パスワードはハッシュ化して保管します。
- 組織単位でメンバー権限(オーナー・メンバー等)を分離し、他組織のデータへアクセスできないよう Row Level Security(RLS)等で制御します。
- 管理機能は、当事業者が指定したサービス管理者のみが利用できるよう制限します。
- API キーやシークレットは環境変数で管理し、ソースコードや公開リポジトリに含めません。
5. 生成 AI・第三者サービス
- 画像生成処理には OpenAI 等の第三者 AI 基盤を利用します。入力データは各基盤事業者の利用規約・ プライバシーポリシーに従って処理されます。
- メール通知には Resend 等、分析・監視には各種 SaaS を利用する場合があります。
- 第三者サービスの選定にあたり、セキュリティ・コンプライアンス面を考慮します。
6. 開発・運用
- 本番環境への変更はレビュー・デプロイフローを経て反映します。
- 依存パッケージの脆弱性に留意し、必要に応じて更新を行います。
- ログには個人情報を過剰に記録しないよう配慮します。
- 開発・検証用データと本番データを分離します。
7. インシデント対応
セキュリティインシデントまたは個人情報の漏えい等が疑われる事象を認知した場合、 原因調査・影響範囲の特定・再発防止策の実施を行い、法令上必要な場合は 監督官庁およびお客様への報告・通知を行います。
8. お客様にお願いすること
- アカウント情報(パスワード等)の適切な管理
- 組織メンバーへの最小権限の付与
- 第三者の個人情報・機密情報を同意なく入力しないこと
- 不審なアクセスやログイン通知があった場合の速やかなご連絡
9. お問い合わせ
セキュリティに関するご質問・脆弱性のご報告は、kuwatani@inovie.jpまでご連絡ください。