セキュリティと運用方針

• データベースは Supabase（東京リージョン）で運用しています。利用者のすべてのデータは日本国内のサーバーに保管されます。
• データベースは Postgres を採用し、保存時暗号化（at-rest encryption）が適用されています。
• 日次の自動バックアップを行い、災害・障害時のデータ復旧に備えています。

• すべての通信は SSL/TLS で暗号化されます（HTTPS 強制、HSTS 有効）。
• 認証は Magic Link 方式または Google OAuth に対応しています。当社は利用者のパスワードを保管しません。
• 認証基盤として Supabase Auth を利用し、セッション管理・トークン発行を行っています。

• データベースには Row Level Security（行レベルセキュリティ）を適用し、利用者は自身のデータのみアクセス可能です。
• API エンドポイントはすべて認証必須とし、認可チェックをサーバー側で実施します。
• 外部 API キー（Anthropic、Stripe 等）はサーバー側のみで保持し、クライアントには送信しません。

当社は、利用者のプライベートデータ（1to1 記録の本文、人脈情報の詳細等）を平時に閲覧することはありません。

ただし、以下の場合に限り、当社の技術担当者がデータベースにアクセスする可能性があります。いずれの場合も、アクセスは監査ログに記録されます。

• 利用者から技術サポートの依頼があり、当該依頼への対応のために必要不可欠な場合（事前に当該利用者へ通知のうえアクセスします）
• システム障害の調査・復旧のために必要な場合
• 法令に基づく開示請求があった場合

いかなる場合でも、当社が利用者のデータを当社のマーケティング目的・第三者への販売・AI モデルの学習に利用することはありません。

本サービスの AI 機能（マッチング、お繋ぎ文生成、紹介理由文章生成、プロフィール自動入力、期間レポートのサマリー生成）は Anthropic 社の Claude API を経由して処理されます。

• Anthropic 社は、API 経由で送信されるデータを AI モデルの学習に利用しないことを公式に表明しています。
• AI 処理に送信するデータは、当該機能の実行に必要な最小限の範囲に限定しています。
• Anthropic 社のプライバシーポリシーは https://www.anthropic.com/legal/privacy をご確認ください。

個人情報の漏えい、不正アクセス等のインシデントが発生した場合、または発生のおそれがある場合、以下の対応を行います。

• 速やかに事実関係を調査し、影響を受ける利用者へ通知します。
• 個人情報保護委員会への報告が必要な場合、法令に基づき報告を行います。
• 再発防止策を講じ、本ページおよびサービス内で公表します。

当社は、利用者のデータ保護をさらに強化するため、以下の機能を順次提供する予定です。

• Pro Plus プランにおける、1to1 記録のクライアントサイド暗号化（E2E 暗号化）機能の提供
• 監査ログの利用者本人による閲覧機能
• データエクスポート機能の拡充

※ 提供時期はサービス開発状況により変動します。詳細はリリース時に本ページおよびサービス内でお知らせします。

セキュリティに関するご質問、脆弱性のご報告等は以下の窓口までお願いします。

contact@furutori.co.jp