← Genba Kanri AI

情報セキュリティ開示書

Genba Kanri AI / Mamori Hub Lite

本書は、お客様の情報システム部門・法務部門・購買部門に提出いただける正式書面です。

文書番号
SEC-GKA-2026-001
版数
v1.2
発効日
2026 年 6 月 30 日
対象サービス
Genba Kanri AI(建設プロジェクト管理 SaaS)
適用基盤
Mamori Hub Lite(AI 利用共通管理基盤)

お客様データの基本方針

本サービスは、お客様が入力された業務データを、お客様の事前同意なく第三者に開示・販売・宣伝利用・AI 学習に供しません。本書に記載のない目的でのデータ取扱いは行いません。

目次

  1. サービス概要
  2. 提供事業者
  3. 取扱データ
  4. データ保管場所
  5. データ保持期間
  6. アクセス制御
  7. AI 利用に関する管理
  8. 業務委託先(サブプロセッサ)
  9. 準拠法令・第三者認証
  10. 脆弱性管理
  11. インシデント対応
  12. 事業継続
  13. データ主体の権利
  14. 問い合わせ窓口

01サービス概要

建設プロジェクトの進捗・課題管理を行う SaaS 型 Web アプリケーションです。

本サービスは現在「PoC モード」を提供しています。PoC モードでは、お客様が入力された業務データは利用端末のブラウザ内に保存され、提供事業者のサーバに送信・保管されません。AI 機能を呼び出した場合に限り、本書 07 章に定める処理を経て、必要な質問テキストのみが AI 推論サーバに送信されます。

企業契約モード(オンプレ/専用テナント/SSO 連携/監査対応等)は、別途締結する個別契約書に基づき提供します。

02提供事業者

提供事業者シナスタジア株式会社 新規事業企画部
開発・運営担当原田 晋伍
所在地日本国内(契約締結時に書面で開示します)
連絡先shingo.harada@synesthesias.jp

03取扱データ

業務遂行に必要最小限のデータのみを取扱います。個人情報・機微情報は AI 送信前に自動マスキングします。

取扱う業務データプロジェクト名、工程、課題、メモ、写真(任意入力)
取扱わないデータマイナンバー、クレジットカード番号、健康情報、要配慮個人情報
自動マスキング対象氏名、電話番号、メールアドレス、住所、郵便番号、クレジットカード番号、マイナンバー
取得しないもの位置情報の継続トラッキング、デバイス固有 ID、サードパーティ広告 ID、Cookie によるクロスサイトトラッキング
技術仕様
AI 送信直前に @zekuu/mamori-core / redactPII() 及び redactPIIDeep() が正規表現により検出し、[REDACTED:type] に置換します。マスキングはアプリケーション層でバイパス不可能な構造で組み込まれています。

04データ保管場所

業務データ(PoC モード)利用端末ブラウザ内(localStorage)。提供事業者のサーバに送信・保管しません
静的資産Vercel Edge Network(多地点 CDN 配信)
サーバレス API 実行Vercel Functions(実行リージョン: 米国バージニア州 / iad1)
AI 推論Anthropic API(米国)
監査ログVercel ログ基盤に最大 30 日間保管後、自動失効

企業契約モードで国内リージョン固定が必要な場合は、契約書に明記のうえ別途構成します。

05データ保持期間

06アクセス制御

運営者アカウントVercel 管理コンソールへのアクセスに多要素認証 (MFA) を必須とします
シークレット管理API キー等は Vercel の暗号化環境変数に保管。ソースコード・公開リポジトリには記載しません
権限原則最小権限の原則に従い、運営者以外がデータへアクセスできる経路を設けていません
企業契約モードの認証SAML 2.0 / OIDC によるシングルサインオン (SSO) 連携に対応します

07AI 利用に関する管理(Mamori Hub Lite)

AI を利用するすべての処理に、共通基盤「Mamori Hub Lite」が以下 5 層の管理を一律適用します。アプリ個別の実装でバイパスできない構造です。

① PII マスキングAI 送信前に個人情報を [REDACTED:type] に置換
② AI 学習オプトアウトAnthropic API へ metadata.mamori.training_opt_out: true を強制付与
③ レート制限ユーザ単位 1 時間 100 回 / 1 日 500 回。大量呼び出し・漏えい時の連鎖実行を抑止
④ 監査ログ呼び出し時刻・匿名化ユーザ ID・マスキング済みプロンプト先頭・レスポンスステータスを構造化記録
⑤ 緊急停止スイッチ環境変数 MAMORI_KILL_SWITCH=1 によりサービス全体の AI 呼び出しを HTTP 503 で即時遮断

Anthropic は API 経由で受領したデータをモデル学習に使用しない方針を公開しています(参照: Anthropic Privacy Policy)。

08業務委託先(サブプロセッサ)

本サービス提供のため、以下の事業者にデータ処理の一部を委託しています。委託先の追加・変更時は本書を改版し、企業契約モード契約者には事前通知します。

事業者用途 / 所在 / 契約・規約
Vercel Inc.Web ホスティング・サーバレス実行・CDN / 米国 / Data Processing Addendum
Anthropic, PBCAI 推論(Claude API) / 米国 / Privacy Policy
Google LLCマーケティング素材用 画像生成(Imagen / Gemini) / 米国 / 利用者業務データは送信しません

09準拠法令・第三者認証

準拠

第三者認証

SOC 2 Type II・ISO/IEC 27001・ISMS・プライバシーマークは未取得です。代替として、本書 06・07・10・11 章に定める自社管理項目を実施しています。第三者認証取得状況は本書改版時に必ず反映します。

通信暗号化 TLS 1.2 以上 運営アカウント MFA 必須 最小権限の原則 構造化監査ログ 脆弱性自動スキャン 緊急停止スイッチ

10脆弱性管理

11インシデント対応

初動検知から 1 営業日以内に一次調査を開始し、必要に応じて緊急停止スイッチで被害拡大を遮断
影響範囲特定監査ログ・Vercel ログを用いて影響利用者・データ範囲を特定
第一報影響を受ける企業契約モード契約者へ、検知から 72 時間以内に通知
詳細報告原因分析・影響評価・恒久対策を 14 日以内に文書で提出
個人情報保護委員会への報告個人情報保護法に基づく届出義務該当時は、法定期限内に当局へ報告

12事業継続

13データ主体の権利

個人情報保護法・GDPR の要求に基づき、利用者本人からの開示・訂正・削除・利用停止請求に応じます。請求受領から原則 30 日以内に対応状況を回答します(複雑な場合はその旨を通知のうえ延長)。

請求窓口: shingo.harada@synesthesias.jp(件名先頭 [DSR]

14問い合わせ窓口

一般・契約相談shingo.harada@synesthesias.jp
脆弱性報告件名先頭に [Security]
開示・削除請求 (DSR)件名先頭に [DSR]
応答目安一般 5 営業日以内 / 脆弱性・障害報告は 1 営業日以内

発行

発行者
シナスタジア株式会社 新規事業企画部
発行責任者
原田 晋伍
連絡先
shingo.harada@synesthesias.jp
発効日
2026 年 6 月 30 日
次回見直し
2027 年 6 月 30 日(または重大な変更発生時)

本書は、お客様の情報システム部門・法務部門・購買部門の検収プロセスにおける正式提出書面としてご利用いただけます。本書に記載のない事項について追加情報が必要な場合は、上記連絡先までご請求ください。

← Genba Kanri AI に戻る