会計データを、
あずかる重さを知っている。
銀行・カードのログイン情報を預からない。 データは国内に置く。 保存も通信も常時暗号化する。 みにまむ会計 は「便利さ」 より先に「安心」 を設計しました。
Principles
4 つの約束
機能を足す前に守るべき、 みにまむ会計 のセキュリティの土台。
銀行・カードの ID/パスワードを預かりません
本サービスは銀行 / クレジットカードの API 連携を一切使いません。 通帳やカード明細は写真・PDF・CSV を OCR で読み取る方式に統一しています。
- ネットバンキングのログイン情報を当社に登録する必要がありません
- 連携アカウント経由の情報漏洩・不正送金リスクが構造的に存在しません
- API の仕様変更や連携取得失敗で「気づかぬうちに記帳が止まる」 ことがありません
データは国内 (東京リージョン) に保管
データベース・アプリ実行環境はいずれも東京リージョンで稼働。 会計データが国内にとどまる設計です。
- データベース (Supabase): 東京 ap-northeast-1
- アプリ実行環境 (Vercel): 東京 hnd1 に固定
- アップロード原本ファイルは暗号化のうえ保管 (Cloudflare R2 / AES-256)
保存も通信も、 常時暗号化
保管中のデータも、 やり取りする通信も、 すべて暗号化しています。 平文でデータが置かれる場所はありません。
- 保管時 (at-rest): データベース・ファイルとも AES-256 で暗号化
- 通信時 (in-transit): すべての通信を TLS (HTTPS) で暗号化
- クレジットカード番号は決済代行 (Stripe) が処理し、 当社サーバを通りません
利用者ごとに、 データを完全分離
行レベルセキュリティ (RLS) により、 他の利用者のデータはデータベースの仕組みとして参照できません。
- すべてのテーブルに Row Level Security を適用
- ログインしたユーザー自身のデータ以外は DB レベルで遮断
- 管理用の強い権限キーはサーバ内のみ・ブラウザには一切露出しません
「連携しない」 が、 いちばん強い。
多くの会計ソフトは、 銀行やカードのネットバンキングにログインするための ID・パスワードを預かって 自動連携します。 便利な反面、 その情報が漏れれば被害は口座そのものに及びます。 みにまむ会計 は そもそも預からない。 通帳・カード明細は写真や PDF を OCR で読み取るだけなので、 「連携先が乗っ取られる」 という事故が構造的に起きません。
不正送金リスク
ログイン情報を持たないため、 連携経由の不正操作が起きません。
連携切れの心配なし
API 仕様変更で記帳が突然止まることがありません。
どの金融機関でも
API 非対応の地方銀行・ネット銀行でも通帳さえあれば OK。
Data residency
データは、 どこにあるのか
会計データの本体は東京リージョンに保管。 委託先と所在を、 隠さず開示します。
| 委託先 | 所在 | 用途・取扱範囲 |
|---|---|---|
| Supabase | 🇯🇵日本 (東京) | データベース保管・認証ディスクレベルで AES-256 暗号化 |
| Vercel | 🇯🇵日本 (東京) | アプリケーション実行環境東京リージョン (hnd1) 固定 |
| Cloudflare R2 | 🌐グローバル分散 (暗号化) | 領収書・請求書等の原本ファイル保管AES-256 で暗号化保管・国境通過は通信のみ |
| OpenAI, L.L.C. | 🇺🇸米国 | OCR・AI 解析 (一時処理)API 経由・既定で学習に使用されず保管もされません |
| Stripe | 🇺🇸米国 | 決済処理PCI DSS 準拠・カード番号は当社サーバを通りません |
| Resend | 🇺🇸米国 | メール送信通知メール本文のみ送信 |
※ OpenAI・Stripe・Resend は米国所在です。 個人情報保護法 第 28 条 (外国にある第三者への提供) に基づき、 その旨を プライバシーポリシー で開示し、 同意のうえで提供しています。 各社とも国内事業者と同等の安全管理措置を確保しています。
Measures
技術で守る、 具体的な仕組み
「安全です」 で終わらせず、 実装の裏付けを示します。
行レベルセキュリティ (RLS)
すべてのデータテーブルに Row Level Security を適用。 ログイン中のユーザー本人のレコード以外は、 データベースの仕組みとして取得できません。
二層の暗号化
保管時は AES-256、 通信時は TLS で暗号化。 アップロードした領収書・請求書・通帳の原本ファイルも暗号化したまま保管します。
最小権限の鍵管理
データベースの管理権限キー (サービスロールキー) はサーバ側でのみ使用し、 ブラウザに配信される JavaScript には一切含めません。
監査ログ・改ざん防止の証跡
仕訳の訂正・削除や、 適格請求書番号の国税庁 API 検証の結果を記録。 電子帳簿保存法 第 8 条の「訂正・削除の事実の確認」 に対応します。
エラー監視も国内で完結
アプリのエラーは自前のデータベース (東京) に記録します。 Sentry 等の海外監視サービスにエラー内容を送信しません。
自動バックアップ
データベースは日次の自動バックアップとポイントインタイムリカバリに対応。 障害時もデータを復旧できる体制です。
Compliance
法令・制度への対応
税理士監修。 守るべきルールを、 設計に織り込んでいます。
電子帳簿保存法
検索要件 (第 7 条)日付・金額・取引先による検索 (AND 条件) に対応。 電子取引データの検索要件を満たします。
電子帳簿保存法
改ざん防止 (第 8 条)訂正・削除の事実を監査ログで証跡化。 原本は元画質・元 PDF のまま 7 年間 (繰越欠損金がある事業年度は 10 年間) 保管します。
個人情報保護法
外国第三者提供 (第 28 条)米国所在の委託先 (OpenAI・Stripe・Resend) への移転をプライバシーポリシーで明示し、 同意のうえで提供します。
インボイス制度
適格請求書の検証適格請求書発行事業者の登録番号 (T+13 桁) を国税庁 Web-API で検証し、 検証結果を監査ログに保存します。
税理士法
サービス範囲の明示本サービスは会計ソフトです。 税務代理・税務書類の作成・税務相談は行わず、 必要時は税理士へ依頼する旨を明示しています。
Your data
データの主導権は、 あなたに
いつでも持ち出せて、 いつでも消せる。 だから安心して始められます。
いつでもエクスポート
仕訳・マスタ・取引データを CSV でいつでも書き出せます。 アップロードした原本ファイルもダウンロード可能。 特定のソフトに縛られません。
いつでも削除
個別の書類・取引はもちろん、 退会時にはアカウントとデータを物理削除します (匿名化ではなく削除)。
あなたのデータはあなたのもの
当社が会計データを広告目的で第三者に販売することはありません。 利用目的はサービス提供の範囲に限定します。
FAQ
セキュリティのよくある質問
銀行口座やクレジットカードの情報を登録する必要はありますか?
いいえ。 みにまむ会計 は銀行・カードの API 連携を一切使いません。 通帳やカード明細は写真・PDF・CSV をアップロードして OCR で読み取るため、 ネットバンキングのログイン情報を当社に預ける必要がありません。
データはどこに保管されますか?
データベース (Supabase) とアプリ実行環境 (Vercel) はいずれも東京リージョンで稼働し、 会計データは国内に保管されます。 アップロードした原本ファイルは Cloudflare R2 に AES-256 で暗号化して保管します。
OCR のために OpenAI に送ったデータは学習に使われますか?
いいえ。 OpenAI API 経由で送信したデータは、 既定で OpenAI のモデル学習に使用されません。 当社は OCR・AI 解析の一時処理にのみ利用し、 処理後に OpenAI 側へ保管されることはありません。 米国への移転についてはプライバシーポリシーで開示し同意を得ています。
他の利用者から自分のデータが見えてしまうことはありますか?
ありません。 すべてのテーブルに行レベルセキュリティ (RLS) を適用しており、 ログイン中のユーザー本人のレコード以外はデータベースの仕組みとして取得できません。
クレジットカード番号はみにまむ会計に保存されますか?
保存されません。 決済は PCI DSS に準拠した決済代行サービス (Stripe) が処理し、 カード番号が当社のサーバを通過・保存されることはありません。
万が一サービスを解約・終了する場合、 データは取り出せますか?
はい。 仕訳・マスタ・取引データは CSV で、 領収書・請求書・通帳などの原本ファイルはそのままダウンロードできます。 電子帳簿保存法の保存要件を満たす原本を手元に残せます。