ものしりAI

セキュリティポリシー

最終更新日:2026年3月26日

ものしりAI 運営事務局(以下「当社」といいます。運営者情報)は、「ものしりAI」(以下「本サービス」といいます)のセキュリティを最重要事項と位置づけ、ユーザーのデータを保護するために以下の方針および措置を実施しています。

1. 基本方針

当社は、ユーザーからお預かりするデータの機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保するため、技術的・組織的な安全管理措置を講じ、継続的に改善します。

2. インフラストラクチャ

2-1. クラウド基盤

本サービスは、Amazon Web Services(AWS)の東京リージョン(ap-northeast-1)上に構築されています。AWSは以下の認証を取得しています。

  • ISO 27001 / ISO 27017 / ISO 27018
  • SOC 1 / SOC 2 / SOC 3
  • PCI DSS Level 1

2-2. データの所在

ユーザーデータは、すべて東京リージョン(日本国内)のデータセンターに保存されます。当社は、ユーザーの同意なく日本国外にデータを転送しません。

3. データの暗号化

3-1. 保存時の暗号化(Encryption at Rest)

データの種類暗号化方式
ユーザーがアップロードしたファイル(S3)AES-256(SSE-S3またはSSE-KMS)
ベクトルデータ(S3 Vectors)AWSのデフォルト暗号化
データベースAES-256

3-2. 通信時の暗号化(Encryption in Transit)

すべての通信は TLS 1.2 以上で暗号化されます。

通信経路暗号化方式
ユーザー - 本サービスTLS 1.2+
本サービス - AWS各サービス間TLS 1.2+

4. アクセス制御

4-1. アカウント分離

企業アカウント間のデータは論理的に分離されています。

  • S3バケット内でアカウントごとにプレフィックスを分離
  • S3 Vectorsのベクトルインデックスはアカウントごとに独立して作成
  • APIレベルでのアクセス制御により、他アカウントのデータへのアクセスを防止

4-2. ユーザー認証

  • パスワードはbcryptによるハッシュ化の上で保存(平文保存は行いません)
  • セッション管理による認証状態の維持
  • 一定回数のログイン失敗時のアカウントロック

4-3. 管理者アクセス

  • 当社の運用担当者がユーザーデータの内容を閲覧する手段はありません
  • インフラストラクチャの運用管理は、AWSのIAMによる最小権限の原則に基づいて行います
  • 管理操作はすべてCloudTrailにより記録されます

5. ネットワークセキュリティ

  • AWS WAF(Web Application Firewall)によるアプリケーション層の保護
  • DDoS攻撃に対する AWS Shield による保護
  • 不審なアクセスパターンの検知と自動ブロック

6. データバックアップ

  • ユーザーデータは定期的に自動バックアップされます
  • バックアップデータは暗号化された状態で保存されます
  • バックアップからの復元手順を整備し、定期的にテストを行います

7. 脆弱性管理

  • OSおよびミドルウェアのセキュリティパッチを定期的に適用します
  • 依存ライブラリの脆弱性を定期的にスキャンします
  • 重大な脆弱性が発見された場合、速やかに対応します

8. インシデント対応

8-1. 対応体制

当社は、セキュリティインシデントが発生した場合に備え、以下の対応フローを整備しています。

  1. 検知 - 監視システムによる異常の自動検知
  2. 初動対応 - 影響範囲の特定と被害の拡大防止
  3. 調査 - 原因の究明と影響の評価
  4. 通知 - 影響を受けるユーザーへの速やかな通知
  5. 報告 - 法令に基づく関係機関(個人情報保護委員会等)への報告
  6. 復旧 - サービスの復旧とデータの回復
  7. 再発防止 - 原因に基づく再発防止策の策定と実施

8-2. 通知タイムライン

セキュリティインシデントが発生した場合、影響を受けるユーザーに対し、インシデントの確認後72時間以内に第一報を通知するよう努めます。

9. 組織的安全管理措置

  • 個人データおよびユーザーデータの取り扱いに関する責任者を設置しています
  • 情報セキュリティに関する規程を整備し、遵守しています
  • セキュリティに関する知識の継続的な向上に努めています

10. データの削除

10-1. ユーザーによる削除

ユーザーは、本サービスの管理画面から、アップロードしたドキュメントを個別に削除できます。削除されたデータは以下のように処理されます。

対象削除タイミング
原文ファイル(S3)即時削除
ベクトルデータ(S3 Vectors)即時削除
バックアップ次回のバックアップサイクルで削除(最大30日)

10-2. アカウント解約時の削除

利用規約第16条に基づき、解約後30日間のデータ保持期間を経て、すべてのユーザーデータを完全に削除します。バックアップからの削除は、解約後最大90日以内に完了します。

11. 継続的改善

当社は、セキュリティ対策を継続的に改善するため、以下の取り組みを行います。

  • セキュリティ対策の定期的な見直しと更新
  • 新たな脅威や脆弱性に関する情報の収集と対応
  • 本セキュリティポリシーの定期的な見直し

12. セキュリティに関するお問い合わせ

セキュリティに関するお問い合わせ、または脆弱性の報告は、お問い合わせフォームよりご連絡ください。

脆弱性を発見された場合は、公開前に当社にご報告いただけますと幸いです。当社は、責任ある脆弱性報告に対して誠実に対応いたします。