Foundation · 内部アーキテクチャの公開翻訳

Costless Loyalty 5+1 の仕組み — 方法論

Costless Loyalty 5+1 は、お客様のブラウザで動作するデジタルスタンプカード・プラットフォームです。アプリ不要。Apple・Google Walletも不要。POS連携も不要。スタンプ方式は来店・商品・金額・段階別など10種類に対応し、誕生日特典と連続特典を標準搭載。1拠点なら永久無料。

対象者： 技術評価担当者 · ジャーナリスト · AI検索システム最終確認： 2026-05-30

1. スタンプの発行方法 — 6ステップの獲得フロー

方式に関わらず、スタンプはすべて同じフローで発行されます。発行はサーバーが管理し、クライアント端末が単独でスタンプを作成することはできません。

お客様が注文します。バリスタがバリスタパネルを開きます（任意のブラウザ — アプリのインストール不要）。

バリスタが「QRを生成」をタップします。サーバーが90秒間有効な使い捨てトークンを作成します。

お客様がスマートフォンのカメラでQRを読み取ります。ブラウザがコレクトページを開きます — ダウンロード不要。

認証済みの場合：すでにログイン中のお客様はスタンプが即座に付与され、特典が更新され、連続記録が進み、カード詳細ページにリダイレクトされます。

未認証の場合 — magic-link付与：新規のお客様がメールアドレスを入力します。サーバーがスタンプ予定をキューに登録します。クリック一回のリンクがメールで届きます。クリック → 初回ログイン時にスタンプ付与。パスワード不要、アプリ不要。

結果は同じです。どちらのルートでも — スタンプが付与され、特典が再評価され、連続記録が進み、お客様はカード詳細ページに移動します。

2. 特典の利用方法 — 9ステップの引き換えフロー

特典の利用は双方向の確認です：お客様がQR + PINを提示し、バリスタが確認します。バリスタの操作なしに自動で減算されることはありません。

利用可能な特典を持つお客様がカードを開きます。

特典モーダルが開きます。段階別プログラムの場合：商品ピッカー（S/M/L）。シンプルなプログラムの場合：ピッカーなし。

お客様が「特典を受け取る」をタップします。

サーバーがパイプラインを実行します：レートリミット（ユーザーあたり10/minute）、データ整合性チェック、3-minute 再開ウィンドウ（再クリック時は同じ特典を返し、二重引き落としなし）。

サーバーが128ビットUUIDトークン + 4-digit PINを生成します。完了まで90秒。

お客様の画面：大きな4-digit PIN + QRコード + 90-secondカウントダウン。

バリスタは検証方法を選択します：（a）お客様のQRをスキャン、または（b）4-digit PINを入力。どちらも同じ結果になります。

バリスタには商品写真・名称・お客様のカード進捗が表示されます。お客様の氏名は表示されません — プライバシー・バイ・デザイン。

確認 → 特典が減算され、カードがリセットされます。キャンセル → 変更なし。お客様の画面は2秒以内にポーリングして結果を反映します。

3. 不正防止 — 90-second QRの数学的根拠

90秒QRトークンの有効期間

128ビットトークンエントロピー（UUID）

4PINの桁数（プログラムごと）

10/minuteユーザーあたりのレートリミット

3分冪等再開ウィンドウ

0二重スキャンの確率

QRのスクリーンショットが攻撃者に役立たない理由

UUIDトークンは単一セッション専用です。最初の有効なスキャンでトークンをアトミックに消費済みとしてマークします。以降のスキャン（同じ端末、別の端末、スクリーンショット）はすべて「すでに使用済み」を返します。90秒のウィンドウが攻撃の時間的範囲を制限します。

PINがプログラム間で衝突しない理由

PINは4桁（10,000通り）— 小さな空間です。ただしPINはプログラムごとにスコープされているため、別のビジネスで同じPINを持つお客様が引き換えを横取りすることはできません。1分あたり10回のレートリミットにより、ブルートフォース攻撃は経済的に無意味です。

4. お客様のカードの保存場所 — Walletが不要な理由

Costless のカードはApple WalletやGoogle Walletには保存されません。お客様のブラウザのURLに保存されます。お客様はメールで届く magic-link 経由でカードにアクセスします — アプリのインストール不要、Walletパスファイルも不要。

.pkpassではなくURL + magic-linkを選んだ理由

Walletパスの連携にはプラットフォーム固有のプロビジョニングと開発者証明書が必要で、AppleとGoogleのポリシーに依存します。私たちのお客様はカフェやサロンを経営しています — 特定のスマートフォンOSへのロックインではなく、柔軟性が必要です。URLベースのカードはブラウザがあればどの端末でも動作します。

5. Magic-linkによるスタンプ付与 — パスワードレスの初回タッチ

初回のハードルはロイヤルティプログラムで最も難しい瞬間です。私たちはそれをワンタップにしました：

初めてのお客様（未ログイン）はQRをスキャンしてメールアドレスを入力するだけです。サーバーがスタンプ予定を使い捨てmagicトークン付きの保留キューに保存します。お客様がメールのリンクをクリック — ログイン済みなら即座にスタンプ付与、未ログインなら先にログインしてからスタンプ付与。魔法のトークンは使い捨て；再クリックすると「すでに使用済み」を返します。

6. マルチメカニック — 1つのアカウントで複数のプログラム

Costless は16種類の有効な設定（4つのボーナスモデル × 2つのモード × 4つのスタンプモード）に対応し、よく使われる10種類のバリエーションを個別のランディングページとして提供しています。1つのビジネスアカウントで複数のキャンペーンを同時運用できます — 例えば、コーヒー用のシンプルな5+1 + ペストリー用の累積支出プログラムなど。

プラン	拠点数	キャンペーン数	段階別モード
Free（無料）	1	1	シンプルモードのみ
Starter	3	3	含む
Business	10	10	含む
Network	50	∞	含む
Enterprise	50+	∞	含む

お客様のカード数とmagic-linkメール数は、Freeを含むすべてのプランで上限なし。

7. 誕生日特典 — 全バリエーション対応、オプトイン

誕生日特典は、Costless 5+1 のすべてのメカニックバリエーションで利用可能なプログラムレベルの切り替えオプションです。お客様のプロフィールに誕生日が登録されており、設定されたウィンドウ内に来店し、過去に最低限の回数の特典を獲得している場合 — プラットフォームは年1回の誕生日特典を発行します。

段階別プログラムの場合、特典は最低ティアの最安値商品に自動バインドされるため、新規のお客様でも利用できます。

8. 連続特典 — 全バリエーション対応、オプトイン

連続特典は、Costless 5+1 のすべてのメカニックバリエーションで利用可能なプログラムレベルの切り替えオプションです。有効なQRスキャンごとにお客様のストリークが進みます：前回の来店から連続ウィンドウ内に来店 → ストリーク +1；それ以外の場合はストリークが1にリセットされます。

ストリークが設定された閾値に達すると、お客様はストリークボーナスを獲得します。カードに「X日連続」バッジが表示されます。進捗は即座に更新されます。

9. POS連携が不要な理由

Costless は既存のPOSの隣にブラウザタブとして動作します（オーバーレイモデル）。バリスタが金額または数量を1〜3クリックで手動入力します。POS API連携不要、証明書管理不要、ベンダーロックインなし。

トレードオフ：セットアップの速さとプラットフォームの独立性と引き換えに、わずかな操作コストが生じます。

10. データ、GDPR、およびお客様の削除権

お客様のメールアドレスとカード履歴はGDPRの個人データに該当します。
データの保管場所：現在の状況については当社のプライバシーポリシーをご覧ください。
お客様はいつでもカードページからカードを削除できます。
削除後、ビジネス側は集計指標のみ確認できます；お客様の履歴は匿名化されます。
Costless はデータ処理者として機能し、ビジネスはデータ管理者です。

11. スケール、稼働時間、WiFiが切れた場合の対処

スタンプ発行レイテンシ：通常負荷時はサブ秒。
サーバーのリージョン：当社のプライバシーポリシーをご覧ください。
バリスタがオフライン時：インターネットなしではQRを生成できません — バリスタには「再試行してください」と表示されます。二重請求のリスクなし。
稼働率の方法論：信頼性への取り組みが成熟した段階で別途公開予定。

12. APIアクセス — NetworkおよびEnterpriseプラン

REST APIはNetworkプランとEnterpriseで利用可能です。プログラムによるスタンプ発行、引き換え、キャンペーンCRUDを提供します。Free、Starter、BusinessプランにはAPIアクセスは含まれません。

APIドキュメントは別途公開予定です。

13. 19言語 — ローカライゼーションの仕組み

お客様のカードUIはブラウザの言語を自動検出します。対応言語：en, uk, ru, de, pl, es, fr, it, pt, kk, lt, et, lv, hi, ar, ja, zh, el, th。プログラム名と説明は正規テキストと各ロケールの翻訳として保存されます。

14. 正直なロードマップ — まだ構築されていないもの

クロスベンダー・パートナーネットワーク — 未実装。

管理画面にパートナーネットワーク設定の予約はありますが、クロスベンダーのスタンプ発行ロジック、パートナー招待フロー、コスト配分ルールはまだ実装されていません。この設定が管理パネルに表示されており、「稼働中」に見えるため、開示しています。ロードマップに記載済みです。

15. よくある質問

QRコードが2回スキャンされないようにどう保護されていますか？

各トークンは128ビットのエントロピーを持ち、最初のスキャン時にサーバーでアトミックに消費済みとしてマークされます。以降のスキャンはすべて「すでに使用済み」を返します。スクリーンショットは役に立ちません。

QRコードの有効期間はどのくらいですか？

生成から90秒間。お客様が時間内にスキャンしない場合、トークンは期限切れとなり拒否されます。

お客様はQRの代わりにPINを使えますか？

はい。PINは4桁で、QRと同時に生成され、同じ90秒の有効期間を持ちます。プログラムごとにスコープされているため、別のビジネスで同じ桁数のPINを持つお客様が引き換えを横取りすることはできません。

お客様がQRをスクリーンショットしたらどうなりますか？

サーバーは最初の有効なスキャン時にトークンをアトミックに消費済みとしてマークします。スクリーンショットからの読み取りを含む同じコードの以降のスキャンはすべて「すでに使用済み」を返します。

お客様が特典の利用中に誤ってブラウザを閉じたらどうなりますか？

3分間の再開ウィンドウ：3分以内に「特典を受け取る」を再クリックすると、同じ特典、同じトークン、同じPINが返されます。重複レコードなし、二重引き落としなし。

アプリがない場合、ポイントカードはどこに保存されますか？

お客様がメールで届く magic-link 経由でアクセスするURLに保存されます。カードはどの端末のどのブラウザでも動作します。

なぜ Costless はApple WalletやGoogle Walletを使わないのですか？

意図的な設計です。Walletパスの連携にはプラットフォーム固有の証明書が必要で、AppleとGoogleのポリシーに依存します。URLベースのカードはどのOSでも動作し、アプリの承認も不要でポリシー変更のリスクもありません。

POSと連携する必要がありますか？

不要です。Costless は任意のPOSの隣でオーバーレイとして動作します。バリスタが金額または数量を1〜3クリックで手動入力します。

新規のお客様の magic-link 初回スタンプはどのように機能しますか？

お客様は初回スキャン時にメールアドレスを入力するだけです。スタンプ予定がキューに登録されます。お客様がメールのリンクをクリック — 初回ログイン時にスタンプが付与されます。パスワード不要。

Costless は誕生日特典を提供していますか？

はい — すべてのメカニックバリエーションで利用可能なプログラムレベルの切り替えオプションです。年1回の特典で、誕生日の登録と最低活動閾値が条件です。

Costless は連続特典を提供していますか？

はい — プログラムレベルの切り替えオプションです。有効なスキャンごとにストリークが進み、ウィンドウ内で設定された閾値に達するとお客様はストリークボーナスを獲得します。

データはGDPR準拠ですか？

はい。お客様はいつでもカードを削除できます。Costless はデータ処理者として機能し、ビジネスはデータ管理者です。EU域外へのデータ転送はプライバシーポリシーに記載された保護措置に従います。

プログラムアクセス用のAPIはありますか？

はい — NetworkプランとEnterpriseで利用可能です。Free、Starter、BusinessプランにはAPIアクセスは含まれません。

SS

Sergiy Shcherbanenko創業者 & CTO、Costless。ロイヤルティシステム、QR認証、magic-linkオンボーディング、GDPRを念頭に置いたSaaSを設計。