Shodakuでは、セキュリティを最優先事項として設計しています。すべての機能は、プライバシー管理、監査証跡、コンプライアンス要件を初日から考慮して構築されています。
あらゆる層でデータを保護するコアセキュリティの柱。
転送中のデータはすべてTLSで暗号化されます。認証情報は保存時にも暗号化。Cloudflareのグローバルエッジネットワーク上で配信され、DDoS保護機能を備えています。
パスワードレスのマジックリンク認証。盗まれる・漏洩するパスワードはありません。トークンはSHA-256ハッシュ化、ワンタイム使用、15分で有効期限切れ。レート制限で不正利用を防止。
管理者とメンバーのロールベースアクセス。デバイス表示とワンクリック失効によるセッション管理。セッションは30日後に自動的に期限切れとなります。
ユーザーに個人データの可視性と管理権限を提供する組み込み機能です。
すべての操作は、実行ユーザー、IPアドレス、タイムスタンプとともに記録されます。組織管理者が検索・フィルタリング可能。2年間保持。ログ処理がアプリケーションの操作を妨げない非同期設計です。
プロフィール、申請、決裁、監査ログのセルフサービスJSON形式エクスポート。アカウント設定から直接利用可能。エクスポートは7日間ダウンロード可能。
メール確認によるトークン化された削除フロー。申請、決裁、組織メンバーシップを含むすべての個人データの連鎖的削除。削除は即時に実行され、元に戻すことはできません。
IPアドレス、デバイス情報、ログイン時刻とともにすべてのアクティブセッションを表示。ワンクリックで他の全セッションを失効。セッションは30日後に自動期限切れ。
スケジュールジョブが期限切れの認証トークン、古いデータエクスポート、2年間の保持期間を過ぎた監査ログを自動消去。手動での対応は不要です。
Shodakuの組み込み制御がGDPRとAPPIの要件にどう対応しているか。
| フレームワーク | 分野 | Shodakuの対応 |
|---|---|---|
| GDPR Art. 15 | アクセスの権利 | JSON形式のセルフサービスデータエクスポート |
| GDPR Art. 17 | 消去の権利 | 連鎖的データ削除を伴うアカウント削除 |
| GDPR Art. 20 | データポータビリティ | すべての個人データのJSONエクスポート |
| GDPR Art. 25 | プライバシー・バイ・デザイン | パスワードレス認証、最小限のデータ収集 |
| GDPR Art. 28 | 処理委託者 | DPAコミットメント付き外部委託先リスト |
| GDPR Art. 32 | セキュリティ | 暗号化、アクセス制御、監査ログ |
| APPI Art. 23 | 安全管理措置 | 監査ログ、セッション管理、暗号化 |
| APPI Art. 33 | 開示 | セルフサービスデータエクスポート |
信頼できるエンタープライズグレードのインフラプロバイダー上に構築。
DDoS保護機能内蔵のグローバルエッジホスティング
Cloudflareネットワーク上のマネージドデータベース
トランザクションメール配信
X-Frame-Options DENY、X-Content-Type-Options nosniff、厳格なReferrer-Policy、Permissions-Policy(カメラ、マイク、位置情報を無効化)
データはCloudflareのグローバルエッジネットワークに保存され、主要インフラは米国にあります。詳細は 外部委託先 ページをご覧ください。
はい。プロフィール、申請、決裁、監査ログなどすべての個人データをアカウント設定からJSON形式でエクスポートできます。サポートへの連絡は不要です。
申請、決裁、組織メンバーシップを含むすべての個人データが即座に連鎖的に削除されます。セキュリティのため、削除はトークン化されたメールリンクで確認されます。
パスワードはありません。Shodakuはマジックリンク認証のみを使用しています。これにより、クレデンシャルスタッフィング、パスワードの使い回し、フィッシングなどのセキュリティリスクを排除します。
監査ログは2年間保持されます。保持期間後、スケジュールされたクリーンアップジョブにより自動的に消去されます。