セキュリティとプライバシー
パスワードレスログイン
Section titled “パスワードレスログイン”CryptaCountはパスワードレス認証モデルを採用しています。
主要な方法 — 5つのプロバイダーによるサインイン:
- Google、Microsoft、Xero、Intuit(QuickBooks)、Zoho
二次的な方法 — メールワンタイムパスコード:
- 6桁のコードをメールに送信するよう依頼する
- コードを入力して認証する
- ログインと登録の両方に使用可能
記憶、リセット、または盗まれるパスワードはありません。
オプションの二要素認証
Section titled “オプションの二要素認証”二要素認証は、追加のセキュリティを求めるユーザー向けのオプションのアドオンとして利用できます。
- Settings → Security で有効化する
- 任意の認証アプリ(Google Authenticator、Authy、1Passwordなど)に対応
- アカウント回復のためにセットアップ時にバックアップコードが提供される
- セキュリティ設定から有効化、無効化、またはリセットが可能
セッション管理
Section titled “セッション管理”- セッションはアクティブな状態が保たれるため、繰り返しサインインする必要はありません。「ログイン状態を保持する」をチェックするとセッション期間が延長されます。
- Settings → Security ですべてのアクティブなセッションを確認できます
- 個別のセッションを取り消したり、他のすべてのセッションを取り消したり、すべてを取り消したりできます
- ログインと登録は自動化された攻撃を防ぐための不可視のボット検出によって保護されています
- 検証はバックグラウンドで静かに実行されます — パズルを解く必要はありません
- 予期せずブロックされた場合は、ブラウザのクッキーをクリアするか、干渉する拡張機能を無効にするか、別のブラウザを使用してみてください
認証とデータリクエストは、ブルートフォース攻撃と不正使用を防ぐためにIPごとおよびメールアドレスごとにレート制限されています。認証関連のアクションはデータアクションよりも厳しい制限が設けられています。
データの整合性 — 仕訳ハッシュチェーン
Section titled “データの整合性 — 仕訳ハッシュチェーン”各仕訳はハッシュチェーンとして暗号的にハッシュ化されています。ハッシュにはエントリの内容と前のエントリのハッシュが含まれ、連続したチェーンを形成します。いずれかのエントリが変更されると、それ以降のすべてのハッシュが無効になるため、改ざんが即座に検出可能になります。
これにより、会計元帳が遡及的に変更されていないという監査証拠が提供されます — 財務監査の基本要件です。ハッシュチェーンは Ledger Integrity の照合チェックを通じて検証できます。
CEX APIキーの暗号化
Section titled “CEX APIキーの暗号化”中央集権型取引所のAPIキーは保存時に暗号化されています。
- キーは保存前に暗号化される
- CryptaCountは取引所アカウントへの書き込みアクセスは不要 — 読み取り権限のみが必要
- CEX接続設定からキーのステータスを確認できます
CryptaCountは包括的な監査証跡を維持しています。
- すべてのユーザーアクションはタイムスタンプ、ユーザーID、ワークスペースコンテキストとともにログに記録されます
- Settings → Activity Log で個人のアクティビティを確認できます
- セキュリティ固有のイベント(ログイン失敗、権限変更)は別途追跡されます
アクセス制御
Section titled “アクセス制御”CryptaCountはロールベースのアクセス制御システムを採用しています。
| レベル | ロール | スコープ |
|---|---|---|
| 会社 | オーナー、マネージャー、メンバー、閲覧者 | 会社レベルのアクセス |
| ワークスペース | オーナー、マネージャー、メンバー、閲覧者 | ワークスペースレベルのアクセス |
| 権限 | 42の細かい権限 | リソースごとのアクション(閲覧、作成、編集、削除、同期、転記など) |
ロールチェックはインターフェースだけでなく、すべてのアクションで実施されます。
CryptaCountはウォレットや取引所アカウントにアクセスしますか?
Section titled “CryptaCountはウォレットや取引所アカウントにアクセスしますか?”ブロックチェーンウォレット: CryptaCountは、お客様が提供したウォレットアドレスの公開されたオンチェーンデータを読み取ります。秘密鍵、シードフレーズ、または取引を送信する機能へのアクセスはありません。
取引所接続: APIキーは読み取り権限のみが必要です。CryptaCountは書き込みアクセスは不要です。キーは暗号化して保存されます(上記参照)。
CryptaCountはGDPRに準拠していますか?
Section titled “CryptaCountはGDPRに準拠していますか?”はい。プラットフォームは以下を実装しています。
- Google Consent Mode v2を使用した二層クッキー同意
- データ処理の根拠: 会計には契約上の必要性、アナリティクスには同意
- データ主体の権利: アカウント設定によるアクセス、訂正、削除、携帯可能性
- プライバシーポリシーと利用規約: EUとその他の地域で地域別に分割
データを削除できますか?
Section titled “データを削除できますか?”はい。
- ワークスペースを削除する — ワークスペース内のすべてのデータ(取引、仕訳、レポート、設定)を削除します。オーナーロールが必要です。元に戻せません。
- ウォレットを削除する — ウォレットとそれに関連するすべての取引データを削除します。元に戻せません。
- アカウントを削除する — ユーザーアカウントとそれに関連するすべてのデータを削除します。
- GDPRによる削除 — アカウント設定またはサポートを通じた正式なデータ削除リクエスト。
キャンセル後はデータはどうなりますか?
Section titled “キャンセル後はデータはどうなりますか?”キャンセル後、ワークスペースは90日間の読み取り専用モードに移行します。その間もすべてを閲覧およびエクスポートできます。90日後、データは削除がスケジュールされます。保持期間中はいつでも再開することで完全なアクセスを回復できます。