情報セキュリティ開示書
本書は、お客様の情報システム部門・法務部門・購買部門に提出いただける正式書面です。
本サービスは、お客様が入力された業務データを、お客様の事前同意なく第三者に開示・販売・宣伝利用・AI 学習に供しません。本書に記載のない目的でのデータ取扱いは行いません。
建設プロジェクトの進捗・課題管理を行う SaaS 型 Web アプリケーションです。
本サービスは現在「PoC モード」を提供しています。PoC モードでは、お客様が入力された業務データは利用端末のブラウザ内に保存され、提供事業者のサーバに送信・保管されません。AI 機能を呼び出した場合に限り、本書 07 章に定める処理を経て、必要な質問テキストのみが AI 推論サーバに送信されます。
企業契約モード(オンプレ/専用テナント/SSO 連携/監査対応等)は、別途締結する個別契約書に基づき提供します。
| 提供事業者 | シナスタジア株式会社 新規事業企画部 |
|---|---|
| 開発・運営担当 | 原田 晋伍 |
| 所在地 | 日本国内(契約締結時に書面で開示します) |
| 連絡先 | shingo.harada@synesthesias.jp |
業務遂行に必要最小限のデータのみを取扱います。個人情報・機微情報は AI 送信前に自動マスキングします。
| 取扱う業務データ | プロジェクト名、工程、課題、メモ、写真(任意入力) |
|---|---|
| 取扱わないデータ | マイナンバー、クレジットカード番号、健康情報、要配慮個人情報 |
| 自動マスキング対象 | 氏名、電話番号、メールアドレス、住所、郵便番号、クレジットカード番号、マイナンバー |
| 取得しないもの | 位置情報の継続トラッキング、デバイス固有 ID、サードパーティ広告 ID、Cookie によるクロスサイトトラッキング |
@zekuu/mamori-core / redactPII() 及び redactPIIDeep() が正規表現により検出し、[REDACTED:type] に置換します。マスキングはアプリケーション層でバイパス不可能な構造で組み込まれています。
| 業務データ(PoC モード) | 利用端末ブラウザ内(localStorage)。提供事業者のサーバに送信・保管しません |
|---|---|
| 静的資産 | Vercel Edge Network(多地点 CDN 配信) |
| サーバレス API 実行 | Vercel Functions(実行リージョン: 米国バージニア州 / iad1) |
| AI 推論 | Anthropic API(米国) |
| 監査ログ | Vercel ログ基盤に最大 30 日間保管後、自動失効 |
企業契約モードで国内リージョン固定が必要な場合は、契約書に明記のうえ別途構成します。
| 運営者アカウント | Vercel 管理コンソールへのアクセスに多要素認証 (MFA) を必須とします |
|---|---|
| シークレット管理 | API キー等は Vercel の暗号化環境変数に保管。ソースコード・公開リポジトリには記載しません |
| 権限原則 | 最小権限の原則に従い、運営者以外がデータへアクセスできる経路を設けていません |
| 企業契約モードの認証 | SAML 2.0 / OIDC によるシングルサインオン (SSO) 連携に対応します |
AI を利用するすべての処理に、共通基盤「Mamori Hub Lite」が以下 5 層の管理を一律適用します。アプリ個別の実装でバイパスできない構造です。
| ① PII マスキング | AI 送信前に個人情報を [REDACTED:type] に置換 |
|---|---|
| ② AI 学習オプトアウト | Anthropic API へ metadata.mamori.training_opt_out: true を強制付与 |
| ③ レート制限 | ユーザ単位 1 時間 100 回 / 1 日 500 回。大量呼び出し・漏えい時の連鎖実行を抑止 |
| ④ 監査ログ | 呼び出し時刻・匿名化ユーザ ID・マスキング済みプロンプト先頭・レスポンスステータスを構造化記録 |
| ⑤ 緊急停止スイッチ | 環境変数 MAMORI_KILL_SWITCH=1 によりサービス全体の AI 呼び出しを HTTP 503 で即時遮断 |
Anthropic は API 経由で受領したデータをモデル学習に使用しない方針を公開しています(参照: Anthropic Privacy Policy)。
本サービス提供のため、以下の事業者にデータ処理の一部を委託しています。委託先の追加・変更時は本書を改版し、企業契約モード契約者には事前通知します。
| 事業者 | 用途 / 所在 / 契約・規約 |
|---|---|
| Vercel Inc. | Web ホスティング・サーバレス実行・CDN / 米国 / Data Processing Addendum |
| Anthropic, PBC | AI 推論(Claude API) / 米国 / Privacy Policy |
| Google LLC | マーケティング素材用 画像生成(Imagen / Gemini) / 米国 / 利用者業務データは送信しません |
SOC 2 Type II・ISO/IEC 27001・ISMS・プライバシーマークは未取得です。代替として、本書 06・07・10・11 章に定める自社管理項目を実施しています。第三者認証取得状況は本書改版時に必ず反映します。
[Security])。報告者の情報は公開しません。| 初動 | 検知から 1 営業日以内に一次調査を開始し、必要に応じて緊急停止スイッチで被害拡大を遮断 |
|---|---|
| 影響範囲特定 | 監査ログ・Vercel ログを用いて影響利用者・データ範囲を特定 |
| 第一報 | 影響を受ける企業契約モード契約者へ、検知から 72 時間以内に通知 |
| 詳細報告 | 原因分析・影響評価・恒久対策を 14 日以内に文書で提出 |
| 個人情報保護委員会への報告 | 個人情報保護法に基づく届出義務該当時は、法定期限内に当局へ報告 |
個人情報保護法・GDPR の要求に基づき、利用者本人からの開示・訂正・削除・利用停止請求に応じます。請求受領から原則 30 日以内に対応状況を回答します(複雑な場合はその旨を通知のうえ延長)。
請求窓口: shingo.harada@synesthesias.jp(件名先頭 [DSR])
| 一般・契約相談 | shingo.harada@synesthesias.jp |
|---|---|
| 脆弱性報告 | 件名先頭に [Security] |
| 開示・削除請求 (DSR) | 件名先頭に [DSR] |
| 応答目安 | 一般 5 営業日以内 / 脆弱性・障害報告は 1 営業日以内 |
本書は、お客様の情報システム部門・法務部門・購買部門の検収プロセスにおける正式提出書面としてご利用いただけます。本書に記載のない事項について追加情報が必要な場合は、上記連絡先までご請求ください。