セキュリティポリシー

Sanary Log（以下「本サービス」）は、指定難病・慢性疾患をお持ちの方が使用するサービスです。痛み・排泄・服薬・疾患名など極めてセンシティブな健康情報を取り扱うため、データ保護を最優先事項としています。

適切な安全対策を講じていますが、インターネット通信の性質上、完全な安全性を保証することはできません。

ユーザーが入力した健康記録はすべてユーザー本人に帰属します。

• 運営がユーザーの記録を無断で閲覧・分析・販売することはありません
• 広告ターゲティングへの利用はしません
• 医療機関との共有はユーザー本人の操作によってのみ行われます
• AI学習への利用はしません

• すべての通信はHTTPS（TLS 1.2以上）で暗号化されます
• 認証トークンはHttpOnly Cookieで管理し、JavaScriptからアクセスできない形で保存します
• localStorageへの個人情報・認証情報の保存は行いません

• 健康記録はAWS 東京リージョン（ap-northeast-1）に保存されます
• データベースは暗号化された状態で保管されます
• バックアップも同等の暗号化を適用します

• ユーザーのデータへのアクセスには認証基盤（AWS Cognito・Google等）による認証が必要です
• APIはJWT（認証トークン）を検証した上でのみデータを返します
• 各コンポーネントは業務上必要最小限の権限のみを持ちます（最小権限の原則）
• 他のユーザーの記録には一切アクセスできない設計になっています
• 運営スタッフのデータアクセスは業務上必要な場合に限定され、ログが記録されます

セキュリティ上の問題を発見された場合は、support@sanary.jp までご報告ください。報告いただいた内容は速やかに調査・対応します。

将来的に医療機関や外部システムとの連携を行う場合は、別途セキュリティ要件を定め、本ポリシーを更新してお知らせします。連携の実施にはユーザーの明示的な同意を必要とします。