セキュリティポリシー(情報セキュリティ方針)
制定日:2026年4月22日
最終改定:2026年4月22日
特別支援教育デザイン研究会および一般財団法人 日本教育支援機構(以下あわせて「当団体等」といいます)は、e-kokoro(以下「本サービス」といいます)をご利用いただく皆さまに安心してサービスを使っていただくため、情報セキュリティの確保を重要な責務と位置づけ、以下のセキュリティポリシーを定めています。
本サービスは、特別な支援を必要とするお子さまの学習情報を取り扱うため、特に厳格なセキュリティ対策を実施しています。
1. 通信の暗号化
本サービスとご利用者のブラウザの間で送受信されるすべての通信は、SSL/TLS(https)により暗号化されています。第三者による通信の盗聴や改ざんを防止します。
💡 ブラウザのアドレスバーに鍵マーク🔒が表示されることでご確認いただけます。
2. パスワードの保護
- パスワードは、業界標準の一方向ハッシュ関数(bcrypt)により暗号化して保存しています。暗号化されたパスワードは、当団体等の管理者であっても復元することはできません。
- 万が一サーバーからデータが流出した場合でも、パスワードが平文で漏えいすることはありません。
- パスワード再設定の際は、登録メールアドレス宛に一時的なリンクを送信し、ご本人確認を行います。
3. 不正アクセス対策
- ログイン試行制限:同一アカウント・同一IPアドレスからのログイン試行を1分間に5回までに制限し、ブルートフォース攻撃(総当たり攻撃)を防止しています。
- CSRF対策:すべてのフォーム送信にCSRFトークンを実装し、意図しないリクエストの送信を防止しています。
- XSS対策:ユーザーが入力するすべてのデータに対し、適切なエスケープ処理を行い、クロスサイトスクリプティング攻撃を防止しています。
- SQLインジェクション対策:データベースへの問い合わせは、すべてプリペアドステートメント(準備済みSQL文)により実行し、SQLインジェクション攻撃を防止しています。
- ファイアウォール:不要なポートを遮断し、許可された通信のみを受け付けています。
- アクセスログの監視:サーバーへのアクセスログを記録し、不審なアクセスを検知する体制を整えています。
4. クレジットカード情報の保護
当団体等では、クレジットカード番号、セキュリティコード、有効期限などの決済情報を一切保有しません。
決済処理は、国際的なセキュリティ基準PCI DSS Level 1(クレジットカード業界で最も高いセキュリティレベル)に準拠した決済代行事業者「Stripe」のシステム上で行われます。
カード情報は、お客様のブラウザから直接Stripeのサーバーへ送信され、当団体等のサーバーを経由しません。
5. データのバックアップ
- データベースおよび重要なファイルは、定期的にバックアップを取得しています。
- バックアップデータは、本番環境とは別の場所に安全に保管しています。
- 万が一のデータ消失時にも、迅速な復旧が可能な体制を整えています。
6. サーバー・インフラのセキュリティ
- サーバーは、日本国内の適切なセキュリティ対策が施されたデータセンターに設置されています。
- OS、Webサーバー、データベース、アプリケーションフレームワーク(Laravel)は、最新のセキュリティパッチを適用し、既知の脆弱性に対応しています。
- 管理者によるサーバーへのアクセスは、SSH公開鍵認証に限定し、パスワード認証は無効化しています。
- 管理画面へのアクセスは、管理者権限を持つアカウントのみに制限しています。
7. AI機能を利用する際のセキュリティ
AI相談室・AI連絡帳のご利用にあたってのご注意
AI機能は、米国のAnthropic社が提供するClaude APIを利用しています。入力された内容は暗号化された通信でAnthropic社のサーバーに送信され、回答生成に利用されます。
- Anthropic社は、APIを通じて送信されたデータを、AIモデルの学習(トレーニング)には使用しないことを公表しています。
- ただし、万一の情報漏えいリスクを最小化するため、お子さまの実名・住所・学校名など、個人を特定できる情報は入力しないようお願いします。
- ニックネームや仮名でのご利用を推奨します。
- AI機能の利用履歴は、不正利用防止のため一定期間保存しますが、退会時にはすべて削除します。
8. 従業者・関係者の管理
- 個人情報にアクセスできる担当者を必要最小限に限定しています。
- すべての担当者に守秘義務を課し、退任後も守秘義務が継続します。
- セキュリティおよび個人情報保護に関する教育を定期的に実施しています。
- 業務委託先に対しても、同等のセキュリティ水準を求め、契約により義務付けています。
9. インシデント発生時の対応
情報セキュリティに関する事故(不正アクセス、情報漏えい、サービス停止など)が発生した場合、以下の手順で対応します。
- 事実の確認と被害範囲の特定
- 被害拡大防止のための緊急対応(アクセス遮断、パスワード強制変更等)
- 個人情報保護委員会への報告(法令に基づく場合)
- 影響を受ける可能性のあるご利用者への通知
- 原因究明と再発防止策の実施
- 必要に応じた公表
10. ご利用者の皆さまへのお願い
本サービスのセキュリティを維持するため、ご利用者の皆さまにも以下のご協力をお願いします。
- 推測されにくい、複雑なパスワードを設定してください(英数字・記号を含む8文字以上を推奨)。
- パスワードは他のサービスと使い回さないでください。
- 共用のパソコンやスマートフォンでログインした後は、必ずログアウトしてください。
- 不審なメールやリンクに注意し、偽装サイト(フィッシング)に情報を入力しないでください。
- 本サービスのログインURLは、必ず
https://e-kokoro.com/kanji/ から始まることをご確認ください。
- お子さまが利用される場合は、保護者・支援者の管理のもとでご利用ください。
- 個人を特定できる情報(実名・住所・学校名等)は、AI機能やお問い合わせフォームに入力しないようご注意ください。
11. 脆弱性の報告
本サービスに関する脆弱性(セキュリティ上の問題)を発見された場合は、悪用されることを防ぐため、公表される前に下記のお問い合わせ窓口までご連絡いただけますと幸いです。いただいた情報は、速やかに対応し、感謝の意をお伝えいたします。
12. 継続的な改善
情報セキュリティを取り巻く環境は日々変化しています。当団体等は、新たな脅威や技術動向を注視し、本セキュリティポリシーおよび具体的な対策を継続的に見直し、改善してまいります。
13. お問い合わせ窓口
運営:特別支援教育デザイン研究会
会長:前迫 孝憲(大阪大学名誉教授)
事業主体:一般財団法人 日本教育支援機構
代表理事:伊原 和夫
事務局所在地:〒550-0015 大阪市西区南堀江1-24-17-201
情報セキュリティ責任者:一般財団法人 日本教育支援機構 事務局
メール:info-sn@jeso.or.jp
お問い合わせフォーム:こちら