みんカレ みんカレ ガイド 一覧に戻る
セキュリティ

安心して使っていただくための
セキュリティの取り組み

みんカレでは、お客様の大切なカレンダー情報や予約データを守るため、最新のセキュリティ基準に則った運営を行っています。その詳細を公開します。

1. Googleアカウント連携の安全性

Googleカレンダーとの連携には、Google自身が推奨する「OAuth 2.0」認証を利用しています。

  • パスワードを保存しません

    Googleのログイン画面で認証を行うため、みんカレがあなたのパスワードを知ることはありません。

  • 必要な権限のみを取得

    カレンダーの読み取りと書き込みに必要な最小限の権限のみをリクエストします。Gmailの内容など、無関係なデータにアクセスすることはありません。

2. データの保護と暗号化

すべての通信はSSL/TLSによって暗号化されており、第三者によるデータの盗聴や改ざんを防いでいます。

データベースには、強固なセキュリティを誇る「Supabase(PostgreSQL)」を採用。サーバーサイドのアクセス制御(RLS)により、他人があなたのデータにアクセスできないよう厳密に保護されています。

3. プライバシーへの配慮

みんカレは、ユーザーのプライバシーを最優先に考えています。

取得した情報は、日程調整サービスの提供という目的以外に使用することはありません。また、お客様の同意なく第三者に個人情報を提供することはありません。詳細はプライバシーポリシーをご確認ください。

4. 取得するデータと使わないデータ

みんカレは「最小権限の原則」に従い、予約管理に必要なデータのみを取得します。

  • ✅ 取得するデータ

    Google カレンダーの予定タイトル・時刻・場所、予約フォームに入力されたお客様の氏名・メールアドレス・電話番号のみを取得します。これら最小限のデータで、予約受付と日程管理が成立します。

  • ❌ アクセスしないデータ

    Gmail の内容、Google Drive のファイル、Google Photos の画像、Google Contacts の連絡先など、カレンダー同期に無関係なデータには一切アクセスしません。OAuth 認可時に「カレンダーのみ」の権限をリクエストしているため、技術的にもアクセスできない仕組みになっています。

  • データの有効期間

    予約が完了してから6ヶ月経過した予約データは、自動的に削除されます。ユーザーが明示的に削除を指示した場合は即座に削除されます。長期保管による流出リスクを最小化しています。

5. データ保管場所と暗号化

みんカレのデータはどこにどのように保管されているのかを、詳しく説明します。

  • 通信時の暗号化(TLS 1.2以上)

    ユーザーのブラウザとみんカレサーバー間の通信は、すべて TLS 1.2 以上の最新暗号化プロトコルで保護されています。https:// でアクセスされることが保証されており、中間者攻撃による盗聴を防いでいます。

  • 保管時の暗号化(AES-256)

    データベースに保存されたユーザー情報は AES-256 という軍事級の暗号化アルゴリズムで暗号化されています。万が一データベースが流出してもプレーンテキスト形式での流出はなく、詳細情報の復号化は事実上不可能です。

  • 保管先(Supabase / AWS)

    データは信頼性の高い Amazon Web Services(AWS)上の Supabase インスタンスに保管されています。AWS は ISO 27001 などの国際セキュリティ認証を取得しており、定期的な監査とセキュリティアップデートが実施されています。

6. ユーザー側でできる安全対策

みんカレの安全性を最大限に引き出すため、ユーザー側でも実施できる対策があります。

  • 2段階認証(2FA)の有効化

    Google アカウントで 2 段階認証を有効にすると、不正ログインがほぼ不可能になります。Google アカウント設定から「セキュリティ」→「2段階認証プロセス」で簡単に設定できます。

  • 定期的なアクセス権の見直し

    Google アカウント設定の「接続済みのアプリやサービス」から、みんカレの権限を定期的に確認してください。「接続を解除」してから再度連携することで、アクセストークンをリセットでき、セキュリティが強化されます。

  • パスワード管理とフィッシング対策

    Google パスワードは複雑にし、定期的に変更することをお勧めします。また、フィッシングメールから誘導されたニセサイトで認証しないよう注意してください。常に「accounts.google.com」から直接アクセスするクセをつけることが重要です。

7. インシデント発生時の通知ポリシー

万が一セキュリティインシデント(不正アクセスなど)が発生した場合の対応方針をお知らせします。

  • 発見から通知までの段階

    セキュリティインシデントの兆候を発見した場合、直ちに調査を開始します。被害の有無と範囲が確定した時点で、影響を受けたユーザーに電話・メール・サイト内通知で72時間以内に報告することを約束します。

  • 必要な対応と復旧

    個人情報流出の可能性がある場合は、全ユーザーにパスワード変更をお願いします。また、セキュリティパッチが必要な場合は、迅速にシステム修正を実施し、サイト上で進捗を報告します。

  • 事後のトランスペアレンシー(透明性)

    インシデント解決後、その原因・被害範囲・講じた対策を詳細なレポートとして公開します。ユーザーが今後のリスクを正しく理解できるよう、隠蔽せず情報開示することをお約束します。

信頼の予約体験を

私たちは、使いやすさと安全性の両立を追求し続けます。

トップページへ