セキュリティ

最終更新日: 2026年4月26日

安全AIポータルは個人事業として運営されています。大企業と同じ認証は持っていませんが、利用可能な技術的措置を誠実に実施し、現状と計画を公開します。

現状実施済み予定実装予定未対応未実施（正直に記載）

1. インフラ・データセンター

現状ホスティング：Vercel（Tokyo / Singapore リージョン）。CDN・DDoS緩和はVercel標準を利用。
現状データベース：Vercel Postgres（Neon）Singapore リージョン。Neonが提供するSOC2 Type2認証済みインフラを利用。
現状物理セキュリティ：Vercel / Neonのデータセンターに委託。当方は物理アクセス不可の構成。

2. 暗号化

現状通信暗号化：TLS 1.3（Vercel標準）。HTTP→HTTPSリダイレクト強制。HSTS適用。
現状保管時暗号化：AES-256（Vercel / Neon 標準）。当方が独自に平文保存する仕組みはない。
予定アプリレベル暗号化：メールアドレス等の準個人情報の列単位暗号化（独立後3〜6ヶ月で実装予定）。

3. 認証・アクセス制御

現状認証方式：Google OAuth 2.0（NextAuth v5）。パスワードは当方で保管しない。
現状管理者アクセス：本番DBへのアクセスは運営者のみ。Vercel Dashboardは2FA必須。
予定SAML SSO / SCIM：法人向けプランで提供予定（独立後12ヶ月以降）。

4. ログ・監視

現状アクセスログ：Vercelが最大30日保存（セキュリティ調査中は延長）。
予定ログ保管90日：独立後のインフラ整備と合わせて90日保管に延長予定。
未対応SIEM・異常検知：現状は自動アラートなし。Vercel標準の障害通知のみ。

5. バックアップ

現状自動バックアップ：Neon自動バックアップ（過去7日分のポイントインタイムリカバリ）。
予定オフサイトバックアップ：週次のS3等への追加バックアップ（独立後3ヶ月以降）。

6. 脆弱性管理

現状依存ライブラリ：GitHub Dependabot 週次自動スキャン。重要アップデートは手動レビューのうえ適用。
現状緊急対応SLA：CVSSスコア7.0以上の脆弱性は24時間以内の対応を目標。
予定ペネトレーションテスト：独立後6〜12ヶ月で外部業者による実施を検討。
未対応脆弱性開示プログラム（VDP）：現状は専用窓口なし。お問い合わせフォーム経由でご連絡ください。

7. AI基盤（Gemini API）

安全AIポータルの生成AI機能（法令チャットボット、化学物質RA、KY支援、Eラーニング解説等）は Google LLC が提供する Gemini API（Google AI Studio）を経由して処理しています。

現状学習データ非利用：Gemini API（有料・Google AI Studio 経由）への入力は、Google のポリシーに基づきモデルの学習には利用されません。コンシューマ向け Gemini アプリとは扱いが異なります。
現状プロンプト・応答ログの保持期間：当方サーバ上に保存するプロンプト・応答ログは30日で自動削除します（不正アクセス調査・品質改善目的の最低限）。Google 側の処理ログはGemini API 利用規約に従って取り扱われます。
現状個人情報マスキング推奨：氏名・住所・電話番号・社員番号・契約金額等の個人情報や機密情報は、入力前に伏字（◯◯）等でマスキングして送信することを推奨します。AI入力欄には注意書きを表示しています。
現状越境移転：Gemini API の処理は米国およびその他の Google データセンターで行われます。個人情報を含む入力を行う場合は、利用者自身の責任において送信してください。
予定入力前自動マスキング：氏名・電話番号・メールアドレス等のパターンを検知して送信前に自動で伏字化する機能を実装予定（独立後3〜6ヶ月）。

8. セキュリティ認証・コンプライアンス

未対応SOC2 Type2：未取得。個人事業での取得は現実的でないため、法人化後（独立後6〜12ヶ月）に取得を検討。
未対応ISO 27001：未取得。SOC2と同様に法人化後に検討。
現状インフラ側の認証：Vercel・NeonはSOC2 Type2を取得済み。各社の認証レポートは公式サイトを参照。

セキュリティに関するご連絡

脆弱性の発見・不審なアクセス等はお問い合わせフォームにてご報告ください。善意の報告は公開前に当方へご連絡いただくことを歓迎します。

1. インフラ・データセンター

現状ホスティング：Vercel（Tokyo / Singapore リージョン）。CDN・DDoS緩和はVercel標準を利用。

現状データベース：Vercel Postgres（Neon）Singapore リージョン。Neonが提供するSOC2 Type2認証済みインフラを利用。

現状物理セキュリティ：Vercel / Neonのデータセンターに委託。当方は物理アクセス不可の構成。

2. 暗号化

現状通信暗号化：TLS 1.3（Vercel標準）。HTTP→HTTPSリダイレクト強制。HSTS適用。

現状保管時暗号化：AES-256（Vercel / Neon 標準）。当方が独自に平文保存する仕組みはない。

予定アプリレベル暗号化：メールアドレス等の準個人情報の列単位暗号化（独立後3〜6ヶ月で実装予定）。

3. 認証・アクセス制御

現状認証方式：Google OAuth 2.0（NextAuth v5）。パスワードは当方で保管しない。

現状管理者アクセス：本番DBへのアクセスは運営者のみ。Vercel Dashboardは2FA必須。

予定SAML SSO / SCIM：法人向けプランで提供予定（独立後12ヶ月以降）。

4. ログ・監視

現状アクセスログ：Vercelが最大30日保存（セキュリティ調査中は延長）。

予定ログ保管90日：独立後のインフラ整備と合わせて90日保管に延長予定。

未対応SIEM・異常検知：現状は自動アラートなし。Vercel標準の障害通知のみ。

5. バックアップ

現状自動バックアップ：Neon自動バックアップ（過去7日分のポイントインタイムリカバリ）。

予定オフサイトバックアップ：週次のS3等への追加バックアップ（独立後3ヶ月以降）。

6. 脆弱性管理

現状依存ライブラリ：GitHub Dependabot 週次自動スキャン。重要アップデートは手動レビューのうえ適用。

現状緊急対応SLA：CVSSスコア7.0以上の脆弱性は24時間以内の対応を目標。

予定ペネトレーションテスト：独立後6〜12ヶ月で外部業者による実施を検討。

未対応脆弱性開示プログラム（VDP）：現状は専用窓口なし。お問い合わせフォーム経由でご連絡ください。

7. AI基盤（Gemini API）

現状学習データ非利用：Gemini API（有料・Google AI Studio 経由）への入力は、Google のポリシーに基づきモデルの学習には利用されません。コンシューマ向け Gemini アプリとは扱いが異なります。

現状プロンプト・応答ログの保持期間：当方サーバ上に保存するプロンプト・応答ログは30日で自動削除します（不正アクセス調査・品質改善目的の最低限）。Google 側の処理ログはGemini API 利用規約に従って取り扱われます。

現状個人情報マスキング推奨：氏名・住所・電話番号・社員番号・契約金額等の個人情報や機密情報は、入力前に伏字（◯◯）等でマスキングして送信することを推奨します。AI入力欄には注意書きを表示しています。

現状越境移転：Gemini API の処理は米国およびその他の Google データセンターで行われます。個人情報を含む入力を行う場合は、利用者自身の責任において送信してください。

予定入力前自動マスキング：氏名・電話番号・メールアドレス等のパターンを検知して送信前に自動で伏字化する機能を実装予定（独立後3〜6ヶ月）。

8. セキュリティ認証・コンプライアンス

未対応SOC2 Type2：未取得。個人事業での取得は現実的でないため、法人化後（独立後6〜12ヶ月）に取得を検討。

未対応ISO 27001：未取得。SOC2と同様に法人化後に検討。

現状インフラ側の認証：Vercel・NeonはSOC2 Type2を取得済み。各社の認証レポートは公式サイトを参照。