データ取り扱い方針
最終更新日: 2026年3月20日
1. データの種類と保管場所
| データ種別 | 保管先 | 暗号化 |
|---|---|---|
| ユーザー認証情報 | Supabase Auth | bcrypt + TLS |
| 業務データ(顧客・予約等) | Supabase PostgreSQL | AES-256 at rest + TLS |
| ファイル・画像 | Supabase Storage | AES-256 at rest + TLS |
| 決済情報 | Stripe(PCI DSS準拠) | Stripe管理 |
2. アクセス制御
- Row Level Security (RLS)により、テナント間のデータは完全に分離されます。
- API認証にはSupabase JWTトークンを使用します。
- 自動取得、スクレイピング、大量ダウンロードを抑止するための監視、認証およびレート制御を行います。
- 管理者権限は最小限の運営スタッフのみに付与されます。
3. データ提供・出力
当サービスでは、会計、税務、帳票作成、法令対応など業務運用に必要な範囲で、当社所定の形式による出力機能または個別提供を行います。
- 運行記録・日報: PDF / 一部CSV
- 経費データ: CSV
- 確定申告用データ: CSV
- 見積書・料金表などの帳票: PDF
- 顧客マスタ、予約履歴、内部設定、分析データ等のセルフサービスによる全面的な一括エクスポートは提供対象外です。
- データ提供または移行支援は、本人確認、契約内容および法令上の要件を確認したうえで、当社所定の範囲と形式で個別に対応します。
4. データ削除
アカウント削除時には、以下のデータがすべて削除されます。
- プロフィール情報
- テナントデータ(顧客、予約、運行記録、経費等)
- アップロードされたファイル
- Stripe顧客情報(サブスクリプションキャンセル含む)
削除処理は申請から30日以内に完了します。 法令に基づき保持が必要なデータは、必要最小限の期間保持した後に削除します。
5. インシデント対応
データ漏洩等のセキュリティインシデントが発生した場合、 72時間以内に影響を受けるユーザーに通知し、適切な対応を行います。
6. 第三者サービス
| サービス | 用途 | データ所在地 |
|---|---|---|
| Supabase | データベース・認証・ストレージ | 東京リージョン |
| Vercel | アプリケーションホスティング | 東京リージョン |
| Stripe | 決済処理 | PCI DSS準拠環境 |
| Resend | メール送信 | US |