VoluncheerNPO法人ボランチア

セキュリティポリシー

基本方針

NPO法人ボランチア(以下「当法人」)は、ボランティアプラットフォーム「voluncheer.or.jp」(以下「本サービス」)において、Google Firebase、Vercel、AWS SES、GitHubなどの信頼性の高いクラウドサービスを活用し、ユーザーの個人情報およびデータの保護に努めています。

当法人は、各サービスが提供するセキュリティ機能を最大限活用し、ユーザーの信頼に応える安全なサービスを提供することをお約束いたします。

1. 利用サービスとセキュリティ対策

1.1 Firebase Authentication

  • Googleアカウント、メールアドレス・パスワードによる認証
  • Firebaseが提供するセキュアな認証システムの活用
  • パスワードの安全なハッシュ化(Firebase標準機能)
  • セッション管理の自動化

1.2 Firebase Firestore

  • NoSQLデータベースの暗号化(Firebase標準機能)
  • リアルタイム同期とオフライン対応
  • Firebase Security Rulesによるデータアクセス制御
  • 自動バックアップとデータ復旧機能

1.3 Vercel(ホスティング・デプロイ)

  • HTTPS通信の自動化(SSL/TLS証明書の自動発行・更新)
  • グローバルEdge Networkによる高速配信とキャッシュ最適化
  • DDoS攻撃対策(Cloudflare基盤による保護)
  • 自動的なセキュリティパッチの適用
  • プレビューデプロイによる本番環境への影響を最小化

1.4 AWS SES(メール配信)

  • Amazon Web Services Simple Email Serviceによるメール送受信
  • TLS暗号化による安全なメール通信
  • SPF・DKIM・DMARC認証によるなりすまし防止
  • 送信レート制御とバウンス管理
  • AWSのセキュリティ基盤(ISO 27001、SOC 2等の認証取得済み)による保護

1.5 GitHub(ソースコード管理)

  • プライベートリポジトリによるソースコードの保護
  • アクセス権限の適切な管理(チームメンバーのみ)
  • 変更履歴の完全な記録と追跡
  • ブランチ保護ルールによる本番コードの安全性確保
  • GitHubのセキュリティ機能(Dependabot等)による脆弱性検知

2. 個人情報の保護

2.1 収集する情報

  • アカウント情報(氏名、メールアドレス、電話番号等)
  • プロフィール情報(年齢、居住地、興味分野等)
  • サービス利用履歴
  • アクセスログ(IPアドレス、ブラウザ情報等)

2.2 情報の利用目的

  • 本サービスの提供・運営
  • ユーザーサポート
  • サービス改善のための分析
  • 不正利用の防止
  • 法的義務の履行

2.3 情報の保存期間

個人情報は、利用目的の達成に必要な期間のみ保存し、その後は適切に削除または匿名化いたします。

3. Firebase Security Rules

当サービスでは、Firebase Security Rulesを使用してデータベースへのアクセスを制御しています。

  • 認証されたユーザーのみがデータにアクセス可能
  • ユーザーは自分のデータのみ閲覧・編集可能
  • 管理者権限による全体データの管理
  • 不正なアクセス試行の自動検知

4. データの暗号化

Firebaseが提供する標準的な暗号化機能を活用しています。

  • 通信データ:TLS 1.3による暗号化(Firebase標準)
  • 保存データ:AES-256による暗号化(Firebase標準)
  • パスワード:bcryptによるハッシュ化(Firebase Authentication)
  • API通信:HTTPSによる暗号化

5. アクセス制御

5.1 認証・認可

  • Firebase Authenticationによる安全な認証
  • セッション管理の自動化
  • ログイン状態の適切な管理

5.2 アクセス監視

  • 異常なアクセスパターンの検知
  • Firebase Consoleによる管理画面での監視
  • ログの自動記録と保存

6. インシデント対応

6.1 対応体制

  • Firebaseサポートチームとの連携
  • Google Cloudサポートの活用
  • 緊急時の連絡体制の整備
  • ユーザーへの迅速な情報提供

6.2 対応手順

  1. インシデントの検知と初期対応
  2. Firebaseサポートへの報告
  3. 影響範囲の特定と封じ込め
  4. 復旧作業の実施
  5. 関係者への報告と通知

7. 第三者との情報共有

当法人は、以下の場合を除き、ユーザーの個人情報を第三者と共有することはありません:

  • ユーザーの明示的な同意がある場合
  • 法令に基づく場合
  • 生命、身体または財産の保護のために必要な場合
  • 公衆衛生の向上または児童の健全な育成の推進のために特に必要な場合
  • 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合

8. 各サービスのセキュリティ機能の活用

Firebase

  • Firebase App Checkによる不正なクライアントからの保護
  • Firebase Remote Configによる安全な設定管理
  • Firebase Performance Monitoringによるパフォーマンス監視
  • Firebase Crashlyticsによるクラッシュレポートの収集
  • Google Cloud Security Command Centerによるセキュリティ監視

Vercel

  • Vercel Web Application Firewall(WAF)による保護
  • 自動SSL証明書管理とHTTPS強制
  • Edge Networkによるグローバルな可用性と冗長性

AWS SES

  • 送信メールの暗号化とコンプライアンス準拠
  • バウンス・苦情の自動処理によるメール品質の維持
  • IAMによるアクセス権限の最小権限管理

GitHub

  • Dependabotによる依存パッケージの脆弱性自動検知・更新
  • Secret Scanningによるシークレット情報の漏洩防止
  • 監査ログによるリポジトリ操作の記録

9. お問い合わせ

セキュリティに関するご質問やご報告がございましたら、以下よりお問い合わせください。

メール: support@voluncheer.or.jp

お問い合わせフォームへ

10. ポリシーの更新

本セキュリティポリシーは、法令の変更や利用サービスの機能更新に応じて、必要に応じて更新いたします。 重要な変更がある場合は、本サービス上でお知らせいたします。

最終更新日: 2026年1月5日

ホームに戻る