セキュリティ

MeLogは従業員の健康データ（要配慮個人情報）を扱うサービスとして、セキュリティとプライバシーの保護を最優先に設計・運用しています。

最終更新日: 2026年4月1日

暗号化

通信: TLS 1.2以上による全通信の暗号化
保存: AES-256によるデータベースの暗号化（Neon提供）
認証: Clerk社の認証基盤（パスワードの直接保持なし）
決済: Stripe社のPCI DSS Level 1準拠環境で処理

インフラストラクチャ

Vercel（SOC 2 Type II認証取得済み）上で運用
Neon Postgres（暗号化ストレージ・自動バックアップ）
日次自動バックアップ + ポイントインタイムリカバリ
Vercel Firewall によるDDoS防御・レート制限
CDN経由のグローバルエッジ配信

アクセス制御

ロールベースアクセス制御（RBAC）: 管理者・従業員・産業医
Clerk認証（OAuth 2.0 / OpenID Connect準拠）
管理者: スコアとリスクレベルのみ閲覧可能
個人の歩行データ（歩数・速度等）は管理者に技術的に非公開
産業医: 医師資格に基づくアクセス権限の分離
全アクセスのログ記録・監査証跡の保持

法令遵守

個人情報保護法（APPI）準拠
要配慮個人情報（健康データ）の適切な取扱い
労働安全衛生法に基づく産業保健データの管理
データ削除要求: 30日以内に完全削除
個人の歩行データの第三者販売・共有: 一切なし

インシデント対応

セキュリティインシデント対応手順書の整備
データ漏えい発生時: 72時間以内に個人情報保護委員会へ報告
影響を受けるユーザーへの速やかな通知
原因調査・再発防止策の実施と公表
インシデント対応訓練の定期実施

組織的対策

個人情報保護責任者の設置
従業者に対する情報セキュリティ教育の実施
秘密保持契約（NDA）の締結
業務委託先の安全管理措置の確認・監督
情報セキュリティポリシーの策定・運用

データライフサイクル管理

歩行データ: 取得日から2年間保持後に自動削除
コンディションスコア: 算出日から3年間保持
アクセスログ: 1年間保持
アカウント削除後: 30日以内に全個人データを完全削除
バックアップからの削除: 最大追加30日

脆弱性管理

依存パッケージの定期的なセキュリティアップデート
脆弱性報告の受付・対応プロセスの整備
XSS・CSRF・SQLインジェクション等の対策実装
入力値の検証・サニタイズの徹底
セキュリティヘッダーの適切な設定

設計原則: Signal, not Surveillance

MeLogの基本設計は「信号であり、監視ではない」です。管理者と従業員のデータは、APIレベルで技術的に分離されており、管理者が個人の歩行データ（歩数・速度・歩幅・睡眠）にアクセスすることは、システムの設計上不可能です。管理者が閲覧できるのは、コンディションスコア（0〜100の総合指標）、リスクレベル（低・中・高）、および部署単位の統計データのみです。

委託先のセキュリティ認証

本サービスのインフラストラクチャを構成する主要な委託先は、以下の国際的なセキュリティ認証を取得しています。

サービス	用途	認証・準拠
Vercel	ホスティング	SOC 2 Type II
Neon	データベース	SOC 2 Type II
Clerk	認証	SOC 2 Type II
Stripe	決済	PCI DSS Level 1
Resend	メール配信	SOC 2 Type II

脆弱性の報告

セキュリティ上の脆弱性を発見された場合は、お問い合わせフォームより「テクニカルサポート」カテゴリでご報告ください。報告を受領後、速やかに調査を開始し、確認された脆弱性については修正対応を行います。なお、脆弱性を公開する前に当社へご連絡いただくよう、責任ある開示（Responsible Disclosure）にご協力をお願いいたします。

プライバシーポリシー →|利用規約 →|お問い合わせ →