未公開作品を、安心して預けられる設計

本番データはSupabase（AWS東京リージョン）に保管され、インフラレベルで暗号化されます。

バックアップは暗号化したうえで、保管場所を分けて国内に保持しています。

すべての通信はTLSで暗号化し、HSTS（常時HTTPS強制）を全ページに適用しています。

あわせてCSP（コンテンツセキュリティポリシー）、クリックジャッキング防止（X-Frame-Options: DENY）などのセキュリティヘッダを全ページに付与しています。

認証アプリ（TOTP）による二段階認証に対応し、リカバリコードも発行できます。

組織の管理者は、メンバー全員にMFAを必須化することもできます。

役割ベースのアクセス制御（OWNER / ADMIN / MEMBER）で操作権限を分離します。

組織（テナント）間のデータ分離は、アプリケーション層でorganizationIdにより実施しています（Postgres RLSではありません）。実装上の単一の防御線として、横断的なアクセスを設計・テストで防いでいます。

許可したIPアドレス／CIDRからのみアクセスを許可します。オフィス外からの不正アクセスを防ぎます。

メンバー・権限・発注・工程ステータスなど、主要な操作を監査ログに記録します。

素材ファイルの閲覧・ダウンロード履歴を記録するファイルアクセスログを提供します（Pro以上）。

毎日自動でバックアップし、直近30世代を保持します。

決済はStripeのホスト画面で完結します。カード番号は当社のデータベースに一切保存しません（保持するのはStripeの参照IDのみ）。

保存したデータはJSON／CSVでいつでもエクスポートできます。特定ツールにロックインしません。

アカウント削除時には、関連する個人データを30日以内に削除します。

主要データは国内（東京）に保管しますが、決済（Stripe・米国）、AIサポートの会話処理（Anthropic・米国）、エラー監視（Sentry）などの一部処理では、委託先を通じてデータが国外に移転します。詳細はプライバシーポリシーをご確認ください。

SOC 2はまだ取得しておらず、2027年中の取得を目標に準備しています。外部ペネトレーションテストも実施予定です。

取得済みでない認証を「取得済み」とは表示しません。実装している対策のみをこのページで公開しています。