セキュリティポリシー
制定日: 2026年7月18日 / 運営: 合同会社A-LightDay
1. 基本方針
合同会社A-LightDayは、クラウド型統合業務管理サービス「BIZRAIL」において、契約者のデータを安全に取り扱うため、以下の方針にもとづき情報セキュリティ対策を実施します。
2. テナント分離
本サービスはマルチテナント方式で提供され、全ての業務テーブルにテナント識別子を必須とする設計により、契約者間のデータを論理的に分離しています。テナントをまたいだ横断アクセスができないよう、アクセス経路を制限しています。
3. アクセス制御
利用者はロールベースアクセス制御(RBAC)にもとづき、権限のある機能・データにのみアクセスできます。契約者は企業管理者権限により、自社内のユーザー・部署・ロール・権限を管理できます。運営側の管理機能(スーパー管理者)は、契約企業の管理者とは別の権限体系で分離しています。
4. 認証・パスワード管理
パスワードはソルト付きハッシュ(PBKDF2)で保存し、平文では保持しません。管理者アカウントについては2段階認証(TOTP)によるログインに対応しています。一定回数のログイン失敗があったアカウントは、一時的にロックされます。
5. 通信・データの保護
本サービスへの通信は暗号化された経路で行います。セッション情報はHTTPのみでアクセス可能な属性を付与し、CSRF対策トークンによるリクエスト検証を実施します。入力値に対してはXSS・SQLインジェクション対策のための検証・エスケープ処理を行います。
6. 監査ログ・ログイン履歴
本サービスは、主要な操作(作成・更新・削除・承認・ログイン等)を監査ログとして記録します。運営側がサポート目的でテナントのデータにアクセスする場合(サポートモード)は、契約者側の承認、アクセス範囲の限定、取得内容のマスク、GETを含む全操作の記録を伴う手順で実施します。
7. バックアップ・可用性
本サービスのデータベースは日次でバックアップを取得します。障害発生時は、取得済みのバックアップから復旧を行う手順を整備しています。外形監視により、サービスの死活状況を確認しています。
8. 本番・開発・デモ環境の分離
本番環境、開発環境、デモ環境は分離して運用します。デモ環境のデータは定期的にリセットされ、本番環境の契約者データとは独立しています。
9. AI機能のデータ取扱い
AI機能は、都度の応答生成のためにのみテナントの業務データを参照し、モデルの学習(再学習・ファインチューニング)には利用しません。AIの提案内容がそのまま業務データとして確定されることはなく、確定操作には必ず利用者本人の確認を要します。AI機能はプロバイダーを抽象化しており、利用モデル・提供事業者を差し替え可能な設計です。
10. 脆弱性対応・依存関係の管理
当社は、利用しているソフトウェア・ライブラリの既知の脆弱性情報を継続的に確認し、必要に応じて更新を行います。重大な脆弱性を認知した場合は、速やかに影響範囲を調査し、対応します。
11. 契約終了時の取扱い
契約が終了したテナントについては、猶予期間中はログインを制限したうえでデータを保持し、猶予期間経過後に当社所定の手順でデータを削除します。契約者は契約終了前に必要なデータのエクスポートを行ってください。
12. インシデント発生時の対応
情報漏えい等のセキュリティインシデントを認知した場合、当社は影響範囲の調査、契約者への速やかな通知、再発防止策の実施に努めます。
お問い合わせ窓口
合同会社A-LightDay(〒150-0013 東京都渋谷区恵比寿1丁目15番9号 日宝恵比寿ビル403 / info@a-lightday.com / 03-6869-3146)