プラットフォーム運用説明書

本サービスを支える運用体制、稼働方針、メンテナンス、障害対応、セキュリティ、サポートについてご説明します。契約者・検討中の企業のいずれもが確認しておきたい運用側の姿勢をまとめたページです。

サービス提供体制

リョヒコンパスは、当社（株式会社 BA コンセルジュ）の自社運営と、クラウドインフラ事業者のデータセンター設備を通じて提供しています。

データセンターの所在地

契約者データは、日本国内のデータセンター設備に保管することを原則としています。本サービスの提供上必要な範囲で、当社の委託先事業者のデータセンター（海外含むことがあります）を利用する場合がありますが、いずれの場合も個人情報保護法の要件に従って運用しています。

第三者事業者の利用

本サービスは、以下の分野で第三者事業者を利用しています。

クラウドインフラ提供（サーバー、データベース、ストレージ）
システム監視、ログ管理
外部通知機能（改善要求 BOX の Discord 通知など、本サービスの内部運用のため）

いずれの事業者も、適切なセキュリティ水準と信頼性を確認したうえで選定しています。

稼働時間と SLA

本サービスは、24 時間 365 日の稼働 を前提に提供しています。

稼働率については、数値保証を行わない best-effort 方式 としています。当社は合理的な努力をもって安定稼働に努めますが、稼働率、応答速度、アップタイム等に関する数値的な保証は行いません。

これは、初期 B2B SaaS として現実的な運用水準を優先するためであり、将来的にエンタープライズ水準の SLA が必要な契約者様には、カスタムプランでの個別合意をご提案します。

メンテナンス

定期メンテナンス

本サービスの保守、アップデート、セキュリティパッチ適用、インフラ更新のため、定期的にメンテナンスを実施します。

実施時間帯 — 原則として深夜帯（22:00〜翌 6:00）
事前通知 — 実施の 7 日前までに、当社ウェブサイトおよび本サービス管理画面上で告知するよう努めます
自動通知 — メンテナンス予約時、全ユーザーに通知が一斉配信されます

緊急メンテナンス

セキュリティ脆弱性対応、重大な障害対応等、緊急性を要する場合、事前通知なく実施することがあります。この場合、可能な限り速やかに事後通知を行います。

メンテナンス中、本サービスの全部または一部が利用できなくなります。あらかじめご了承ください。

障害対応

障害を検知した場合、次の手順で対応します。

検知・初期対応 — 影響範囲の調査および応急対応を実施
契約者への通知 — 広範囲に影響するものについては、管理画面上またはウェブサイトで告知
復旧作業 — 根本原因調査および恒久対応を実施
報告書作成 — 重大な障害については、後日、原因分析と再発防止策を含む報告書を作成

個別契約者への障害報告書の提出義務は負いませんが、影響の大きい障害について要請があった場合、合理的な範囲で個別報告を行います。

セキュリティ対策

本サービスは、業界標準とされるセキュリティ対策を一通り標準実装しています。技術用語をできるだけ避けて要点をまとめると、以下の通りです。

認証とログイン情報の保護

業界標準の認証方式を採用 — ログインしたあとの「合言葉（セッション情報）」はブラウザの安全な領域に保管され、ページ上のスクリプトからは盗み出せない仕組みになっています。
偽サイトからの不正操作を遮断 — お客様が本サービスにログインしている状態で他の悪意あるサイトを開いても、その悪意あるサイトから本サービスへ操作を送り込めないようになっています。
外部サイトでの認証情報の流用を遮断 — 認証用の合言葉は、本サービスのドメイン以外には一切送信されません。
パスワードは復元不可能な形で保管 — パスワードはそのままの文字列で保存することはなく、計算で復元できない形式に変換した上で保管しています。

不正アクセスの抑止

ログイン試行は 1 つの接続元あたり 1 分間で 5 回までに制限
5 回連続でログインに失敗したアカウントは 15 分間ログインできなくなります
存在しないユーザー ID への試行に対しても、ID 有無を推測されないよう同等の応答時間を確保

監査ログ

以下の操作を 90 日間監査ログに保持します。

ログイン成功・失敗、ログアウト
アカウントの作成・削除
日報の承認・差戻
遡及反映の適用
税理士アカウントによる閲覧

ネットワーク

HTTPS / TLS による通信暗号化
ファイアウォール、侵入検知
定期的な脆弱性対応とソフトウェアアップデート

クロス所属ユーザーの資格情報保護【2026-05-01 追加】

あるユーザーが複数の会社に所属している場合（例：自社で契約中の会社の社長が、別会社の代理店としても登録されているケース）、パスワードリセットなどの資格情報操作はそのユーザーの「所属会社（ホーム会社）」の管理者だけが行えます。

たとえば、A 社で契約しているユーザー X が B 社の代理店としても登録されている場合：

A 社の管理者（X のホーム会社の管理者）— X のパスワードをリセットできます
B 社の管理者（X のホームではない代理元の管理者）— X のパスワードリセット操作はできません（ボタンが非表示になり、API 側でも拒否されます）
本サービスの運営者 — 最終手段として全ユーザーのパスワードリセットが可能ですが、操作対象がクロス所属ユーザーの場合は警告が表示されます

これにより、代理元の会社が、別契約の会社のセキュリティ境界を意図せず越えてしまうことを防いでいます。

データ取扱い

保存

契約者データは、定期的にバックアップを取得しています。バックアップは当社の内部運用目的のためのものであり、契約者個別の要請による過去データの復元義務は負いません。

一時データの自動削除

次のデータは、毎日深夜の自動メンテナンスで運用基準に従い削除されます。

ログインセッション — 最終アクセスから 30 日経過したものは自動失効。サインアウト済みのものは 7 日後に物理削除
通知 — 3 日経過したものは自動削除
更新履歴 — 公開から 3 か月経過したものは自動削除
過去のシフトデータ — 2 か月より前のものは自動削除
長期未提出の下書き日報 — 6 か月以上未提出のままの下書きは自動削除（業務上の見落としを避けるため、提出されていない下書きが半年以上残っている場合は自動清掃）
過去のメンテナンス履歴 — 1 年経過したものは自動削除
不正アクセス試行の記録 — 5 分経過で自動削除

業務データ（提出済みの日報、売上、社員情報等）は無期限に保持します。

監査ログの保持

監査ログ（誰がいつどんな操作をしたかの記録）は、操作の重要度に応じて以下の期間保持します。

ログイン関連の操作ログ — 6 か月
日報の承認・却下・差し戻しの操作ログ — 2 年（経理・税務監査の遡及期間に対応）
アカウントや会社の作成・削除の操作ログ — 5 年
セキュリティインシデント記録 — 永久保持
その他の操作ログ — 1 年

これらの自動削除はすべて毎日深夜 03:00 にまとめて実行されます。実行ログはサーバー側で確認可能です。

契約終了後の取扱い

本利用契約終了後、契約者データは 30 日間保持され、経過後に完全に削除されます。削除後のデータ復旧は、いかなる場合も行いません。契約終了前に、必要なデータのダウンロードを CSV 等のエクスポート機能でお願いします。

サポート窓口

お問合せ先

窓口 — 本サービス内「改善要求 BOX / フィードバック」機能、または当社指定のメールアドレス baconceirge@gmail.com
対応時間 — 原則として営業日（土日祝日および当社休業日を除く平日）10:00〜18:00
対応内容 — 本サービスの操作方法、仕様に関する質問、障害報告の受付、機能要望の受付

サポート対象外

次の事項は、サポートの対象外となります。

本サービスと連携する外部システムに関するお問合せ
契約者の端末、通信環境、ブラウザに固有の問題
契約者の事業運営、経理、税務、法務等に関する相談
本サービス仕様外のカスタマイズ対応

機能のアップデート

本サービスは継続的に機能が追加・改善されます。追加・改善された機能は、原則として全プランに順次反映され、契約者は追加料金なしでご利用いただけます。

直近で追加された主要機能の例：

システムメンテナンスモード（2026-04-21 実装）
代理店階層と親ボーナス（2026-04-22 実装）
シフト場所管理（2026-04-22 実装）

最新機能の詳細は、ログイン画面の「更新履歴を見る」または本サービス内の更新履歴画面からご確認ください。