コンプライアンスとセキュリティ

最終更新日: 2026-03-15

セキュリティへの取り組み

Veleirasは、非常に個人的な思い出をお預かりしています。この責任を重く受け止め、国際的に認められた基準に沿ったセキュリティ対策を講じています。

このページでは、SOC 2、ISO 27001、および一般データ保護規則（GDPR）のフレームワークに沿って、私たちが自主的に実施している取り組みをご紹介します。

GDPRへの準拠

Veleirasは自主的なサービスとして運営しておりますが、すべての個人データの取り扱いにおいてEU一般データ保護規則（EU 2016/679）の原則を適用しています。

• 基本原則（GDPR第5条） — 適法性、目的の限定、データの最小化、正確性、保存期間の制限、完全性および機密性の原則に基づいてデータを処理しています。
• 処理の法的根拠（GDPR第6条） — データ処理は、ユーザーの明示的な同意またはサービス契約の履行に基づいて行われます。
• データの最小化 — サービスの運営に必要なデータのみを収集しています。不要なデータの要求や保存は一切行いません。
• データ主体の権利（GDPR第15条〜第22条） — ユーザーはいつでもアクセス、訂正、削除、データポータビリティ、および処理への異議申立ての権利を行使できます。
• 処理者の管理（GDPR第28条） — すべてのサードパーティプロバイダーは、GDPRの要件に準拠したデータ処理契約に拘束されています。
• 暗号化と仮名化 — 個人データは転送時および保存時に暗号化され、該当する場合は仮名化技術が適用されます。
• プライバシー・バイ・デザイン（GDPR第25条） — データ保護は設計段階からシステムアーキテクチャに組み込まれています。
• データ侵害の通知（GDPR第33条） — 個人データの侵害が発生した場合、GDPR第33条/第34条の要件に従い、72時間以内に管轄の監督当局に通知し、影響を受ける方々に不当な遅延なく通知することをお約束いたします。

ISO 27001に沿った管理策

当社の技術的管理策は、情報セキュリティ管理のためのISO/IEC 27001附属書Aに基づいています。

• アクセス制御（A.9） — システムおよびデータへのアクセスは、ユーザーと管理者の分離されたロールを通じて権限のある担当者に制限され、管理者権限はリクエストごとに再検証されます。
• パスワードポリシー — パスワードは強力なアルゴリズムでハッシュ化されます。平文での保存は一切行いません。
• セッション管理 — セッションには有効期限が設定され、デバイスフィンガープリントに紐づけられ、定期的に再生成され、ログアウト時に完全に無効化されます。
• 安全な通信（A.13） — すべてのトラフィックはTLS 1.2以上で保護されています。暗号化されていない接続は自動的にリダイレクトされます。
• セキュリティヘッダー — Content Security Policy、X-Frame-Options、X-Content-Type-Options、およびStrict-Transport-Securityが適用されています。
• レート制限 — APIおよびログインフォームは、ブルートフォース攻撃を防止するためにリクエスト頻度の制限で保護されています。
• 監査ログ（A.12） — ログイン、認証失敗、権限変更などのセキュリティイベントは、タイムスタンプと仮名化された識別子とともに記録されます。すべてのサービスへの監査対象範囲を段階的に拡大しています。
• 入力検証 — すべての入力データは、インジェクション攻撃を防止するために、クライアント側およびサーバー側の両方でサニタイズおよび検証されます。

SOC 2トラストサービス原則

当社の運用慣行は、AICPAが定義する5つのトラストサービス原則に沿っています。

• セキュリティ — Webアプリケーションファイアウォール、レート制限、CSRF保護、セッションフィンガープリントにより、不正アクセスからシステムを保護しています。
• 可用性 — 高可用性を保証するプロバイダーでインフラストラクチャをホスティングしています。プラットフォームの成長に伴い、追加の冗長性およびバックアップ対策を評価しています。
• 機密性 — 機密データは暗号化、ネットワークのセグメンテーション、および厳格なアクセス制御によって保護されています。
• プライバシー — 個人データはプライバシーポリシーおよび適用法令に従って、収集、利用、保存されます。

インフラストラクチャとサードパーティサービス

Veleirasは、業界標準に準拠した信頼性の高いインフラプロバイダーを利用しています。

• ホスティング — SOC 2およびISO 27001認証を取得したプラットフォーム上で、EU域内のデータセンターを利用して運営しています。
• CDNおよびDDoS対策 — エンタープライズレベルのプロバイダーによるコンテンツ配信およびDDoS攻撃の軽減を行っています。
• 決済 — 取引はPCI DSS認証を取得した決済処理業者を通じて処理されます。クレジットカード情報は当社のサーバーに一切保存されません。
• トラッキング — サードパーティの分析サービス、トラッキングピクセル、クロスサイトCookieは一切使用しておりません。集計された利用データは、必要に応じて内部的かつ匿名で収集されます。

セキュリティに関するお問い合わせ

セキュリティまたはコンプライアンスに関するご質問がございましたら、お問い合わせページまたはインプリントに記載のメールアドレスよりご連絡ください。

privacy@veleiras.com

---

このページは、自主的に実施しているセキュリティ上の取り組みを記載したものです。法的保証や正式な認証を構成するものではありません。

← Veleirasに戻る