セキュリティ
saiyouba は、ユーザーおよび採用企業から預かるデータを最重要資産と位置づけ、業界標準のセキュリティ対策を講じています。本ページでは、当社のセキュリティへの取り組みを概説します。
1. 認証基盤
当社は、ユーザー認証に Amazon Web Services, Inc. が提供する Amazon Cognito を採用しています。Amazon Cognito は、SOC 1 / 2 / 3、ISO 27001、ISO 27017、ISO 27018、PCI DSS、HIPAA、GDPR 等、国際的に認められた多数のセキュリティ基準に準拠しています。
ユーザーのパスワードは、当社の自社データベースには一切保存されません。すべての認証情報は Amazon Cognito 上でハッシュ化・暗号化のうえ管理され、当社の従業員も生のパスワードを参照することはできません。
2. データの保管場所
本サービスにおいて取得・処理されるすべてのデータ(候補者プロフィール、企業情報、メッセージ、ログ等)は、AWS の日本リージョン(東京 / 大阪)内でのみ保管・処理されます。日本国外のリージョンへユーザーデータを複製または転送することはありません。
3. 暗号化
- 通信の暗号化: 本サービスへのすべての通信は TLS 1.2 以上で暗号化されます。HTTP による平文通信は受け付けません。
- 保管データの暗号化: データベース、オブジェクトストレージ、バックアップを含むすべての保管データは、AWS の管理する暗号化キー(AWS KMS)により AES-256 で暗号化されています。
- 機密性の高い情報: API トークン、リフレッシュトークン、セッション情報等は、HttpOnly・Secure・SameSite=Lax のクッキーで送出され、JavaScript からアクセスできない設計となっています。
4. AI モデルへのデータ提供について
当社は、ユーザーまたは企業から預かったデータを、当社内外を問わず AI モデルの学習データとして提供することは一切ありません。本サービスにおける AI 機能は、ユーザーの明示的なリクエストに対する応答にのみ使用され、入力内容が学習用途に転用されない設計となっています。
5. アクセス制御
- 運用システムへのアクセスは、IAM ロールに基づく最小権限の原則(Least Privilege)で制御されます。
- 本番環境への直接アクセスは原則として禁止され、必要な場合は監査ログを残したうえで実施されます。
- 従業員の入退社時には、アカウント・権限の付与および削除を速やかに行います。
6. ロギングと監視
本サービスの操作ログ、認証ログ、システムログは集約され、異常なアクセスパターンを自動的に検知できる仕組みを整えています。ログは日本リージョン内で保管され、一定期間経過後に自動削除されます。
7. インシデント対応
万が一セキュリティインシデントが発生した場合、当社は速やかに影響範囲を調査し、被害の最小化に努めるとともに、影響を受けるユーザーへの通知、再発防止策の策定、および法令に基づく当局への報告を行います。
8. 脆弱性報告
セキュリティ上の脆弱性を発見された方は、security@saiyouba.com 宛にご連絡ください。報告内容は機密として取り扱い、再現性および影響範囲を確認のうえ、速やかに対応します。脆弱性が修正されるまで、内容を公開せずにいただけますようご協力をお願いいたします。
9. データ削除のリクエスト
ユーザーがアカウントを削除された場合、当社は法令で保持を要求される場合を除き、合理的な期間内に当該ユーザーに関するデータを削除または匿名化します。
10. 継続的な改善
セキュリティは一度きりの取り組みではありません。当社は、技術の進化、新たな脅威、法令の改正に応じて、本ページに記載した対策を継続的に見直し、強化していきます。