セキュリティとデータ取扱い

SPHIOR Ops Console for Monday

本ページは、SPHIOR(以下「当社」)が SPHIOR Ops Console for Monday(以下「本アプリ」)をどのように保護し、データを取り扱うかを説明します。データ取扱いの全般については https://ops-console.sphior.com/privacy のプライバシーポリシーを参照してください。

1. アーキテクチャとデータ取扱い

· monday code 上でホスト。 本アプリは monday.com のマネージドインフラ(monday code)上で稼働します。当社は別途の外部データベース・ログ転送・解析パイプラインを運用しません。 · 顧客の業務データを長期保存しません。 ボード/アイテムの内容は一時的に(メモリ内または短命のステージングで)処理し、操作完了後またはあなたのクラウドへの配信後に直ちに削除します。 · あなた自身のクラウドへ配信。 エクスポートはあなたの指示によりあなた自身の Google Drive へ配信され、当社はコピーを保持しません。 · 通信の暗号化: すべての API 呼び出しで TLS(monday.com および Google プラットフォームにより強制)。 · 保存時の暗号化: 設定とトークンは monday Storage / monday SecureStorage に保持され、monday.com により暗号化されます。Undo スナップショットは暗号化して保存されます。

2. Undo スナップショットと保持

破壊的操作(重複マージ・一括アーカイブ・置換)の前に、本アプリは復元用の Undo スナップショットを取得します。スナップショットは暗号化され、30 日の TTL(保持期限)を持ち、期限が経過すると自動的に削除されます。操作の実行期間を超えて本アプリが保持する唯一の顧客コンテンツです。

3. 最小権限のスコープ

本アプリは機能に必要な最小限の monday.com スコープ(me:read, account:read, boards:read, boards:write, notifications:write)のみを要求します。Google Drive へのアクセスは drive.file スコープに限定され、本アプリ自身が作成したファイルまたはあなたが明示的に選択したファイルのみにアクセスします(Drive 全体にはアクセスしません)。本アプリはエンドユーザーのパスワードや個人アクセストークンを要求しません。プラットフォームのトークンは monday.com および Google が管理します。

4. 保存先

· 設定・スケジュール・ジョブ設定 → monday Storage。 · OAuth トークン(monday および接続時は Google)→ monday SecureStorage。 · Undo スナップショット本体 → 暗号化された Object Storage(BLOB)、30 日 TTL。 · 匿名の利用件数 → 集計指標のみ(個人情報・ボード内容を含まない)。 Sphior が運用する外部の顧客データベースはありません。

5. 脆弱性管理とセキュアな開発

· 自動セキュリティスキャン。 認証付きウェブセキュリティ監査は SPHIOR の中核事業であるため、本アプリの到達可能な面に対し、静的解析(SAST)、依存関係 / オープンソーススキャン(SCA)、認証付き動的テスト(DAST)を定期的および重要リリース前に実施します。 · 依存関係は lockfile で固定し、SBOM(ソフトウェア部品表)をリリースごとに維持・レビューします。 · スキャン結果はトリアージし、monday.com マーケットプレイスのセキュリティ要件に沿った期限内に修正します。 · main ブランチへのマージ前に TypeScript strict モード、ESLint、ピアレビューを実施します。ソース管理に秘密情報をコミットしません。

6. セキュリティインシデント対応

本アプリに影響する確認済みのセキュリティインシデントが発生した場合: 1. 確認から 24 時間以内にトリアージを開始。 2. 実質的な影響の確認から 72 時間以内に、影響を受けるインストールへ顧客通知(GDPR 第 33 条の期待に整合)。 3. 根本原因分析と修正計画を実施。顧客に影響する修正は monday.com マーケットプレイスの更新パイプラインで公開。 4. インシデント後のまとめを影響を受けた顧客と共有し、適切な場合は公開で要約。 セキュリティ事象の疑いはいつでも security@sphior.com へ報告できます。1 営業日以内に受領を確認します。

7. アクセス制御(内部)

· 最小権限。 ソースコードリポジトリ、monday.com デベロッパーコンソール、本番デプロイへのアクセスは、必要最小限の原則に基づきアプリ保守者に限定されます。共有アカウントや共有の本番資格情報は使用しません。 · main ブランチは必須ステータスチェック(型チェック・lint・テストの合格)で保護されています。 · ソースコード・デベロッパーコンソール・デプロイツールへアクセスするすべてのアカウントで多要素認証(MFA)を必須とします。 · アクセスリストは少なくとも四半期ごとにレビューし、不要になり次第速やかに取り消します。

8. 人工知能

本アプリの中核機能(重複排除・置換・一括アーカイブ・エクスポート・定期アイテム)は完全に決定論的です。顧客のボードデータは一切 AI / 機械学習サービスへ送信されず、あなたのデータをモデル学習に使用しません。

9. 責任ある開示

本アプリに関するセキュリティ研究を歓迎します。発見事項は security@sphior.com へ、説明・再現手順・影響評価・推奨される緩和策とともに非公開でご報告ください。当社は、1 営業日以内の受領確認、5 営業日以内の初期トリアージ判断、本ポリシーに従う善意の研究者に対する法的措置を取らないことをお約束します。

10. 連絡先

セキュリティ事象: security@sphior.com 一般の連絡: support@sphior.com プライバシーに関するお問い合わせ: https://ops-console.sphior.com/privacy のプライバシーポリシーを参照

最終更新日: 2026-07-11