打刻プラス
資料DL 無料で始める
セキュリティ白書

打刻プラスの情報セキュリティ

TLS 1.3(AES-GCM)による通信暗号化と Supabase at-rest データ保護。
Cloudflare Pages・Vercel・Supabase を組み合わせ、打刻データと個人情報を守ります。

最終更新日: 2026-04-22

通信の暗号化

  • TLS 1.3 による通信暗号化(AES-GCM 方式・最大256bit)
  • HSTS 有効(max-age=63072000 / 2年・includeSubDomains・preload)
  • TLS 証明書はホスティング基盤側で自動更新

本番公開後に SSL Labs / `openssl s_client` / `curl` による外部検証を行い、結果を更新予定です。

データ保存時の暗号化

  • データベース: Supabase(AES-256 at-rest 暗号化)
  • ストレージ: Supabase Storage(AES-256 at-rest 暗号化)
  • 機密値はクラウド KMS によるキー管理

セキュリティヘッダー

次の 6 種類の HTTP レスポンスヘッダーを全エンドポイントで適用しています。

Content-Security-Policy

スクリプト・通信先を限定列挙

Strict-Transport-Security

2年・includeSubDomains・preload

X-Frame-Options

SAMEORIGIN(クリックジャック対策)

X-Content-Type-Options

nosniff(MIME スニッフ防止)

Referrer-Policy

strict-origin-when-cross-origin

Permissions-Policy

最小権限(打刻で必要な geolocation のみ許可)

インフラ

公開サイト
Cloudflare Pages
アプリケーション
Vercel(東京リージョン)
データベース
Supabase(東京リージョン)
DDoS 対策
Cloudflare / Vercel Edge Network
エラー監視
Sentry(エラートラッキング)

認証・認可

  • Supabase Auth による認証(JWT)
  • Row Level Security(RLS)によるテナント単位のアクセス制御
  • セッションは HttpOnly Cookie で管理
  • 管理者権限と一般従業員権限を分離
  • アクセスログとエラー監視をもとに異常を検知

情報セキュリティ基本方針

Blinx株式会社は、打刻プラスの運営にあたり、お客様の情報資産を守るために以下の基本方針を定めます。

  1. 情報資産の保護:業務上取り扱う個人情報・勤怠データ・機密情報を、適切な技術的・組織的措置により保護します。
  2. 法令・規範の遵守:個人情報保護法・労働関連法規・その他適用される法令・ガイドラインを遵守します。
  3. リスクへの対応:情報セキュリティリスクを継続的に評価し、脅威に応じた管理策を実施します。
  4. インシデント対応:セキュリティ事象が発生した場合、迅速に対応し、影響を最小化するとともに再発防止に取り組みます。
  5. 継続的改善:情報セキュリティマネジメントシステムを定期的に見直し、継続的に改善します。

制定: 2026年4月 / Blinx株式会社 代表取締役

認証取得状況

プライバシーマーク(JIS Q 15001)

申請中

マネジメントシステム整備・運用体制の構築中

ISMS(ISO/IEC 27001)

取得予定

スコープ策定・リスクアセスメント着手予定

個人情報保護法対応

対応済

個人情報保護法・同施行令・ガイドラインへの準拠

プライバシーマーク 取得ロードマップ

JIS Q 15001 に基づく個人情報保護マネジメントシステム(PMS)を構築し、プライバシーマークの取得を目指しています。

完了

1. 現状分析

個人情報の洗い出し・フローマッピング・リスク評価

進行中

2. PMS 文書整備

個人情報保護方針・管理規程・手順書の策定

予定

3. 教育・運用開始

従業員教育の実施・インシデント対応訓練

予定

4. 内部監査

PMS 適合性の内部チェック・是正処置

予定

5. 審査・取得

審査機関による書類審査・現地審査・登録

ISMS(ISO/IEC 27001)取得ロードマップ

情報セキュリティマネジメントシステムの構築・運用を通じて、ISO/IEC 27001 認証の取得を予定しています。

進行中

1. スコープ定義

対象システム・部門の確定

予定

2. リスクアセスメント

情報資産の識別・脅威・脆弱性評価

予定

3. 管理策選定(SoA)

ISO/IEC 27001 附属書 A をベースに管理策を選定

予定

4. 内部監査・マネジメントレビュー

ISMS 運用の適合性確認

予定

5. 認証審査

第三者認証機関による Stage 1・Stage 2 審査

インシデント対応

万一の情報漏えい・サービス停止の事象を検知した場合、blinx株式会社 は以下の対応を行います。

  1. 検知から 1 時間以内に影響範囲の初期評価を実施
  2. 影響のある利用者へ速やかに通知(重大事象は 72 時間以内を目標)
  3. 個人情報保護委員会・関係行政機関への報告義務を履行
  4. 根本原因分析と再発防止策を事後報告書として公開

セキュリティに関するご質問・脆弱性のご報告は、下記までお願いいたします。

Email: marketing@blinx.jp