保険代理店CRM

テーマ

セキュリティと個人情報保護

技術的な詳細は 設計書: セキュリティ を参照。本ページはユーザー / 運用 / コンプライアンス視点でまとめる。

基本方針

  • 個人情報を最小限しか預からない(収集しないものは漏れない)
  • 役割に応じた最小権限(必要な人が必要なだけ)
  • 多層防御:暗号化 + 認証強化 + 認可二重化 + 監査
  • 異常を見えるようにする:監査ログ、不審操作通知

取り扱う情報の区分

区分保管
一般個人情報氏名 / 住所 / 電話 / メール / 生年月日DB(Cloudflare 側で暗号化)
業務情報契約 / スケジュール / アクティビティDB
要配慮個人情報健康情報 / マイナンバー / 身分証番号アプリ層で再暗号化 + 限定ロールのみ閲覧可
認証 / 外部連携の資格情報パスワード / TOTP / API トークン暗号化 / ハッシュ
文書 / 画像証券スキャン / 申込書R2(機密区分により扱い変化)

ファイルの機密区分(ユーザー操作)

ファイルアップロード時に区分を選択(既定は internal):

  • public: テナント外への共有を想定(広告物 等)
  • internal: テナント内のみ。一般的な業務書類
  • confidential: 業務上重要。アクセスログを強化
  • sensitive: 要配慮個人情報を含む。閲覧は限定ロール、サムネイル/プレビュー無効

認証・ログイン

項目内容
パスワード最低12文字 / 英大小+数字+記号のうち3種以上 / 既知漏洩辞書照合(任意)
2要素認証(MFA)OWNER / ADMIN は必須、MEMBER は任意(テナント設定で必須化可能)
MFA方式TOTP(Google Authenticator / 1Password / Authy 等)
リカバリーコード10個発行、紛失時の再発行は ADMIN 申請+本人確認
セッション既定8時間 / アイドル60分で再認証
ロックアウト5回連続失敗 → 15分ロック

ロール別の閲覧範囲

情報OWNERMEMBERADMIN
一般個人情報✅(担当範囲)参照のみ(理由ログ)
業務情報✅(担当範囲)参照のみ
要配慮個人情報OWNER の許可制許可された者のみ原則閲覧不可、緊急時のみ break-glass
監査ログ✅(自テナント)✅(全テナント)
認証情報自分のみ自分のみ一覧/失効のみ

「break-glass」: ADMIN が要配慮情報にアクセスする場合は 理由入力必須 + 即時ログ記録 + 該当テナント OWNER への通知(後続実装)。

個人の権利(ユーザー画面で操作可能)

  • エクスポート: 自テナントのデータを CSV / JSON でダウンロード
  • 削除リクエスト: テナント / メンバー / 顧客の削除を申請
    • ソフトデリート → 30日以内に物理削除(または法令上必要な仮名化)
  • アクセス履歴の閲覧: 自分のセッションと最近のログイン
  • 二要素認証の有効化 / リセット

通知される操作(不審な場合)

  • 新しい IP / 新しいデバイスからのログイン
  • 短時間に多数の顧客レコードを参照
  • 大量のエクスポート
  • 要配慮情報へのアクセス

データの保管期間

  • 業務上必要な期間 + 保険業法で定められた保管期間
  • 期間経過後は安全な方法で削除
  • 暗号化キーの破棄による「暗号消去」も選択肢

ファイルの取り扱い

  • アップロード時に 機密区分 を選択
  • sensitive 区分はアプリ層で暗号化されて保管されるため、サムネイルやプレビューは表示できません(原寸ダウンロードのみ)
  • ダウンロードURLは短時間(区分により2〜60分)で失効
  • LINE 受信添付は既定 internal で取り込み、必要なら昇格

個人情報保護方針(プロダクト面)

  • 顧客の個人情報は契約者本人の同意のもとに登録する
  • 第三者提供は同意の範囲内
  • 取得経路(誰がいつどこで)を残す
  • 保管期間を明示し、超過時は削除

開発・運用面の取り組み

  • 本番データは開発環境で使わない
  • リリース前のセキュリティレビュー
  • 依存ライブラリの定期更新と CVE 監視
  • 年次のペネトレーションテスト(後続)
  • インシデント対応プロセスを整備し、漏えい時は APPI 第26条に基づく報告 / 本人通知

未確定

  • マイナンバーを取得すべきか / 取得しない方向で運用するか