セキュリティ最低ライン

原則

保育ICTは、園児、保護者、職員の個人情報、健康情報、家庭状況、連絡履歴を扱います。便利さよりも、権限漏れ、誤送信、記録の改ざん、バックアップ不能を防ぐ設計を優先します。

デモ・開発環境

• 実在する個人情報を入れない
• パスワードやAPIキーをリポジトリに置かない
• 公開デモはダミーデータのみで運用する
• ログに個人情報を出しすぎない
• 画像・スクリーンショットにも個人情報を含めない

本番環境の最低条件

認証

• 職員と保護者を分けて認証する
• 退職・退園・卒園時のアカウント停止手順を持つ
• パスワード再設定と招待フローを整備する

権限

• 園長・主任・担任・閲覧専用・保護者の権限を分ける
• 保護者は自家庭の情報だけを閲覧できる
• 閲覧専用職員は更新できない
• 管理者権限の利用者を最小限にする

監査ログ

• 園児情報変更
• 欠席・出欠確認
• 保護者連絡の確認
• お知らせ配信
• アカウント作成・停止
• 権限変更

上記は、いつ、誰が、何を変更したかを追えるようにします。

バックアップ

• 少なくとも日次バックアップ
• 復旧手順書
• 復旧テスト
• バックアップの保管先権限管理

通信と保存

• HTTPS/TLS を利用する
• 本番DBへのアクセス権限を最小化する
• 個人情報を含むファイルの外部共有を制限する
• エラー画面に内部情報や個人情報を出さない

脆弱性報告

公開Issueではなく openhoikuict@gmail.com へ連絡してください。