社会福祉法人運営支援システム
平日 9:00-18:00 📞 099-214-2600
KoKo+navi
資料だけ見てみる 無料デモを申込む

セキュリティ

Security & Privacy

大切なデータをお預かりする立場として、
万全の体制で守ります。

「ココ+ナビ」は、社会福祉法人様の理事会資料・規程・職員情報といった機微な情報をお預かりするシステムです。 私たちは、技術的な防御策と運用上のポリシーの両面から、皆さまの大切なデータを安全にお守りすることを最重要事項として運営しております。 本ページでは、当社が実施しているセキュリティ対策と運用ポリシーの全体像をご案内いたします。

通信は全て暗号化

SSL/TLSによる暗号化通信。第三者による盗聴・改ざんを防止します。

ロール別アクセス制御

役職に応じた権限管理で、必要な人に必要な情報のみを開示します。

法人単位のデータ分離

他法人様のデータと相互に閲覧されることはございません。

このページの内容

Technical Measures

「ココ+ナビ」のセキュリティ対策

通信経路から認証、サーバー基盤、データベース層に至るまで、 多層的なセキュリティ対策により、利用者様の大切な情報をお守りしております。

01

通信の暗号化

全ての通信を SSL/TLS で暗号化しております。ブラウザとサーバー間でやり取りされる情報が第三者に盗聴・改ざんされることを防ぎます。

02

サーバー環境

国内大手サーバーにて運用しており、サーバー事業者によるWeb改ざん検知・自動バックアップ・不正アクセス遮断などの基盤レベルのセキュリティ対策が適用されています。

03

認証・パスワード管理

パスワードを安全に保管し、不正ログインを防止する仕組みを実装しています。

  • パスワードは bcrypt 方式で暗号化して保存しており、運用者・開発者であっても元のパスワードを参照することはできません。
  • ログイン失敗が一定回数連続した場合、自動的に一時ロック し、総当たり攻撃を防止します。
04

セッション・Cookieの保護

ログイン状態を保持するCookieは、強固な属性設定により保護しています。

  • ログイン情報を保持するCookieは暗号化されています。
  • JavaScriptからの読み取りを禁止する HttpOnly 属性を設定しています。
  • HTTPS通信時のみ送信する Secure 属性を設定しています。
  • 外部サイトからの送信を制限する SameSite 属性を設定しています。
05

アクセス権限の制御

役職や所属に応じた緻密な権限管理により、情報へのアクセスを最小限に制御します。

  • ロール別アクセス制御を行い、利用者ごとに参照・編集できる機能を制限しています。
  • 法人単位でのデータ分離を実装しており、他法人様のデータが相互に閲覧されることはありません。
06

一般的なWeb攻撃への対策

使用フレームワークの標準機能により、以下の代表的な攻撃を防止しています。

  • CSRF:トークン検証を全フォームで実施
  • XSS:画面表示時に HTMLエスケープを自動適用
  • SQLインジェクション:パラメータバインディングによる安全なクエリ発行
07

データ保全

誤操作や障害発生時にもデータを安全に保つ仕組みを整えています。

  • 主要なデータは論理削除方式とし、誤操作による完全消失を防ぎます。
  • データベースの定期バックアップを取得し、障害発生時の復旧に備えています。

本システムは今後のセキュリティ修正につきましても、必要に応じて適用してまいります。

Operational Policy

運用ポリシー

技術的な対策に加え、お預かりしたデータの取り扱いに関する運用上のお約束をご案内いたします。

POLICY 01

目的外利用(2次利用)の
一切禁止

お客様がシステムに入力・保存されたデータ(職員様の個人情報等)を、第三者へのデータ販売や目的外利用に用いることは一切ございません

※ 既に一般に公開されている法人情報に基づき、当社から法人様宛にサービスのお知らせや広告等をメール・郵便物でお送りさせていただく場合がございます。これらは公開情報に基づくご案内であり、システム内に入力されたデータが流用されることは決してございません。
POLICY 02

委託先の厳格な管理

システムの開発・保守を委託している企業とは、厳密な機密保持契約(NDA)を締結しております。また、アクセスできる担当者を制限し、適切な監督(操作ログ・パスワード・入退出記録)の下で運用しております。

POLICY 03

第三者への提供の
原則禁止

法令に基づく場合等の例外を除き、お客様の同意なしに第三者へデータを提供することはございません。

Privacy Policy
詳細につきましては、当社のプライバシーポリシーにも明記しております。
よろしければ併せてご一読くださいませ。
プライバシーポリシーを見る
Continuous Improvement

今後の継続的な強化
ご要望に応じた追加対策

利用法人様のご要望や、業界標準のセキュリティ動向を踏まえ、以下の項目につきましても順次対応・ご提案を進めております。

REFERENCE / 追加でご検討いただける項目

必要に応じてご相談・対応可能な強化メニュー

基本機能に含まれない高度なセキュリティ要件につきましても、法人様の規模やリスク評価に応じて個別にご相談を承っております。実装状況・対応可否についてはお問い合わせください。

A

多要素認証(MFA)対応

パスワードに加え、ワンタイムコード等を用いた二段階認証によるログイン保護。

B

操作ログ・監査ログの取得

「いつ・誰が・何を操作したか」を記録。監査対応・内部統制の根拠資料に。

C

脆弱性診断の定期実施

第三者機関・専門ツールによるセキュリティ診断を計画的に実施。

D

IPアドレス制限

事務所のIPからのみアクセスを許可するなど、利用環境を限定する設定。

E

従業員への情報セキュリティ研修

当社および委託先従業員に対する定期的な研修・誓約書取得の運用。

F

インシデント発生時の連絡フロー

万一の事案発生時における、お客様へのご連絡・原因究明・再発防止のプロセス整備。

G

パスワードポリシー設定

法人様ごとの最低文字数・複雑性要件・有効期限の設定。

H

第三者認証への対応

Pマーク・ISMS(ISO27001)等の取得・準拠状況のご案内。

Trusted Custodian

大切なデータをお預かりする立場として、
今後も万全の体制で管理してまいります。

その他、ご不明な点やご懸念事項がございましたら、どうぞお気軽にご連絡ください。
法人様の規模やご要件に応じて、専任の担当者が個別にご案内いたします。

セキュリティに関するお問い合わせ 📞 099-214-2600(平日 9:00-18:00)