AI相談内容は本人のもの
相談本文を上司や管理者に見せるためのサービスではありません。管理者ビューは利用回数・学習状況・認定証を中心に表示します。
会社単位でデータを分離
テナントごとに会社情報とメンバーを分け、別会社のデータに触れない設計を前提にしています。
秘密キーはサーバー側で管理
OpenAI、Stripe、Supabaseの秘密キーは公開画面に出さず、Vercelの環境変数として管理します。
Bot・不正利用対策
ログインや登録フォームにはCloudflare Turnstileを使い、APIにはレート制限を入れて過剰利用を抑えます。
通信と認証を保護
HTTPS、セキュリティヘッダー、Supabase Authを使い、ログイン・パスワードリセット・招待フローを保護します。
運用で確認を続ける
AI利用回数、決済、招待、認証エラーを継続的に確認し、公開後も安全性と費用を監視します。
Admin View Policy
管理者が見られるもの、見られないもの。
AI相談は、社員が本音で仕事の判断を相談する場所です。ご機嫌取りや監視の道具にしないため、相談本文と活用状況を分けています。
管理者が確認できるもの
- AI相談の利用回数
- 学習ポイント・学習状況
- 認定証の取得状況
- 部署別・四半期レポート
本人だけが扱うもの
- AI相談の具体的な本文
- 仕事上の迷いや悩みの詳細
- 自分用メモ
- 相談の途中内容
公開後も、ここを見続けます。
OpenAIの利用上限とAI相談回数を監視し、想定外のAPI費用を防ぎます。
Stripeの本番決済、14日間トライアル、Webhook反映を継続確認します。
Supabaseの認証、招待、権限、RLSを見直し、会社情報の分離を確認します。
Turnstileとレート制限により、Bot登録やAPI乱用を抑えます。