Security & Operations

Recovery Monitor(リカバリーモニター)は、読み取り専用Rule-first, AI-assistedで設計されています

私たちは決済を実行しません。CSV や 決済代行会社の API から取り込んだデータは、判断の整理と提示にだけ使います。 顧客向けの自動メール送信・自動リトライ・自動課金は行いません。AI は集計済み・匿名化済みのデータに対して 「下書き」や「参考値」を返す位置に限定し、顧客への送信や請求の判断は必ず貴社の担当者にお任せします。

本ページの記述は実装と運用の方針を直接反映しています。技術詳細は FAQ「安全性」 もご参照ください。

読み取り専用 PAN・CVC 不扱い AES-256-GCM 保管 PII を AI に渡さない 自動メール・自動リトライしない

私たちが扱うデータと、扱わないデータ

Recovery Monitor が取り扱うのは「決済エラーの判断に必要な周辺情報」だけです。 カード現物に近い情報(PAN・CVC・カード名義・カード期限)は受け取らない設計にしています。

取り扱う情報

取引 ID・金額・通貨・エラーコード・エラーメッセージ・課金日時・決済代行会社名・課金方式(初回/継続)・カードブランドとカード種別(カテゴリレベル)・カード末尾4桁・顧客 ID(決済代行会社側の不可逆 ID)・顧客の連絡先(メールアドレス等、ハッシュ運用も可)。

受け取らない情報

カード番号(PAN)・セキュリティコード(CVC)・カード名義(カード表面の氏名)・住所・電話番号。CSV にこれらが含まれていた場合、取り込みを停止しエラーで通知します(ヘッダ名検出と Luhn による値検出の両方を実装)。

マスキング推奨

顧客識別子は customerIdcustomerHash など、不可逆な ID/ハッシュでの取り込みを推奨します。生メールアドレスを取り込む場合も、AI への投入時は集計値と匿名化代表値のみを送信します。

取り込み後の用途

取り込んだデータは 5 つの対応カテゴリへの分類、月次レポート、Next Action ガイドの生成にのみ使用します。第三者への提供・広告利用は行いません。データ保持期間はプランごとに設定可能です。

暗号化と保管

貴社の 決済代行会社 連携情報や API キーは、貴社以外がアクセスできない形で保管します。 保管時の暗号化と、保管後の閲覧不可(再表示不可)の両方を設計に組み込んでいます。

API キーの暗号化

決済代行会社(Stripe・PAY.JP・Komoju・Checkout.com・GMO-PG・SBPS 等)の Secret Key 等は、AES-256-GCM によって暗号化したうえで保管します。鍵は環境変数(256 ビットのランダム値)から読み込み、ソースコードには含まれません。

ハッシュ列の併存

暗号化値(*Encrypted 列)とは別に、重複検知専用の *Hash(HMAC)列を併存させています。「同じキーがすでに登録されていないか」の判定は復号せずに行えます。

保管後の閲覧不可

保存後の API キーをダッシュボード上で再表示・コピーすることはできません。鍵の再設定は新しいキーを貼り直す形で行います。これにより、画面共有や運用ミスでの漏洩を抑制します。

転送経路

すべてのトラフィックは HTTPS(TLS)で保護されます。CDN 経由のレスポンスにも HSTS と Content-Security-Policy を適用しています(helmet ベース)。

認可・アクセス制御・レート制限

各テナント(貴社アカウント)は自社のデータのみにアクセスできます。他社データの照会や書き換えは構造上できません。

テナント分離(Ownership 検査)

ダッシュボード上のすべての参照・更新 API は、対象オブジェクトの connectionId がリクエスト元の認証済アカウントと一致することを毎回確認します。一致しない場合は 403 を返します。

認証

Bearer トークンによる認証を全エンドポイントに適用しています。サブスクリプション状態(有効・トライアル中・解約済)もリクエストごとに検証し、停止中アカウントからのデータ取得を遮断します。

レート制限

認証(10/15分)・フォーム送信(20/15分)・書き込み(120/15分)・取り込み(40/15分)・読み取り(600/15分)に分けてレートリミットを設定。IP ではなく Bearer トークン単位なので、社内 NAT 環境でも公正に動作します。

管理者領域の分離

/admin は別認証スキームで、貴社の一般ダッシュボードからは到達できません。検索エンジンにも robots.txt でインデックスを禁止しています。

AI に渡すデータの範囲

Recovery Monitor は Rule-first(ルールベース判定が中心)で、AI は補助役です。 生の個人情報は AI に渡しません。集計値・匿名化代表値・カテゴリラベルだけが対象です。

渡さないもの

個別顧客の生メールアドレス・氏名・電話番号・住所・カード末尾4桁などの直接識別子は AI へ送信しません。代表値が必要な場合は事前にマスキングしたサンプル(最大 5〜10 件)を使用します。

渡すもの

「Soft Decline が前月比 +12% で増加」「Hard Decline のうち期限切れが 38%」のような集計指標と、マスキング済みのカテゴリ別代表サンプル。要約・次アクション整理・経営者向けサマリーなど判断支援の入力に限定。

出力の扱い

AI が返した文面は「下書き」「参考値」のラベルを付けて表示します。顧客名は {お客様名} のままで生成され、送信は人間の判断と操作で行います。

AI 不在時のフォールバック

AI 呼び出しが失敗した場合は、ルールベースのテンプレート出力に自動フォールバックし「AI 一時不在のため、集計データから自動生成された参考値です」を明記します。AI 不在で運用が止まる設計にしていません。

自動アクションについての考え方

Recovery Monitor は「自動で動く」ことを売りにしません。Rule-first, AI-assisted の方針に沿って、 顧客向け・運用上の重要アクションは、すべて貴社担当者の判断と操作を経由します。

顧客向けに「しないこと」

顧客への自動メール送信、自動 SMS、自動課金、自動リトライは行いません。顧客向けのメール文面は AI が下書きとして生成し、最終的な送信操作は人間判断です。

貴社内に対して通知すること

決済代行会社側で回収が確認された場合の通知(rule-triggered)、週次サマリー、Webhook 受信処理での失敗アラートは送信します。すべて貴社の運用判断のためであり、顧客には届きません。

分析と提案の境界

Recovery Monitor が提示するのは「対応カテゴリ」「次アクション候補」「経営向け月次サマリー」までです。請求の再実行や顧客への督促文の自動送信は、決済代行会社側または貴社の運用ツールが担う領域です。

運用の二重化に注意

Stripe Smart Retries や PAY.JP・Komoju の自動リトライ機能を有効にしているかどうかは、貴社側で必ずご確認ください。重複運用は顧客体験とカードネットワーク評価に悪影響を与えます。

決済代行会社の連携と Webhook 検証

決済代行会社の API 連携はすべて読み取り専用です。決済の作成・リトライ・キャンセル・返金などのミューテーションは、サービス層に実装していません。

決済代行会社 取得方式 Webhook 署名検証 状態
Stripe読み取り API + ポーリングSDK ネイティブ検証(HMAC-SHA256)本番稼働中
PAY.JP読み取り API + ポーリングBearer トークン(timing-safe 比較)本番稼働中
Komoju読み取り API + ポーリングHMAC-SHA256(hex)本番稼働中
GMO-PGWebhook 中心(取得 API なし)HMAC-SHA256(base64)本番稼働中
SBPSWebhook 中心(XML / Shift_JIS)SHA1 ハッシュ照合scaffolding 実装(マーチャント test 環境で実機検証必要)
SP-Links(旧ソニーペイメント)stub 実装(service / webhook 最小実装)順次拡張中
DGFT(旧 Veritrans)stub 実装(service / adapter / webhook 作成済、polling 登録済)—(scaffolding)順次拡張中(マーチャント実機検証必要)
Paygent(ペイジェント)stub 実装(service / adapter / webhook 作成済、polling 登録済)—(scaffolding)順次拡張中(マーチャント実機検証必要)
ROBOT PAYMENT(請求管理ロボ)stub 実装(service / adapter / webhook 作成済、polling 登録済)—(scaffolding)順次拡張中(マーチャント実機検証必要)
その他CSV 取り込み(手動・自動)主要 20+ 決済代行会社のヘッダ自動検出

※ 署名検証はミドルウェア層で crypto.timingSafeEqual を使用し、タイミング攻撃を防ぎます。SBPS は merchant-specific URL を要するため、貴社環境ごとに事前確認が必要です。

設計上「しないこと」

Recovery Monitor は決済代行会社の代替や追加の認証経路を提供しません。 以下は明示的に行わない/実装に含めない事項です。

インシデント対応とお問い合わせ

セキュリティに関するご質問、脆弱性のご報告、運用上の懸念のいずれも、下記窓口にて受け付けます。 通常 1 営業日以内に初回返信いたします(深刻度に応じて優先対応)。

セキュリティ窓口

メール: [email protected](件名に「セキュリティ」と明記してください)

お問い合わせフォーム: /contact(カテゴリで「セキュリティ/コンプライアンス」を選択)

脆弱性の責任ある開示にご協力いただけた研究者には、内容に応じて謝意をお伝えします。

設計と運用の方針をご確認のうえ、30 日間 無料 でお試しいただけます

Starter プランは 30 日間無料。期間中はカード課金されず、自社の実データで判定品質と運用フィットを確認できます。

30日間無料で始める