セキュリティポリシー | Patenty.AI - AI搭載特許実務プラットフォーム | Patenty
Patentyロゴ

セキュリティポリシー

最終更新日: 2025年1月27日 | 適用日: 2025年1月27日

1. セキュリティポリシー概要

Patenty Inc.は、ユーザーのデータと個人情報を保護するため、エンタープライズグレードのセキュリティシステムを構築・運営しています。

本セキュリティポリシーは、当社のセキュリティ原則と実施方針を明示し、すべてのユーザーと従業員が遵守すべきセキュリティ基準を提示します。

2. セキュリティ目標

私たちのセキュリティシステムは、以下の核心目標の達成を目指します:

  • 機密性: 許可されていないアクセスから情報を保護
  • 完全性: データの正確性と完全性を保証
  • 可用性: サービスの継続的で安定した提供
  • 責任性: すべての活動に対する追跡・監査機能

3. データセキュリティ

暗号化

  • 転送暗号化: TLS 1.3を使用したHTTPS通信
  • 保存暗号化: AES-256暗号化によるデータベースセキュリティ
  • APIキー管理: 環境変数による安全なキー管理
  • クラウドセキュリティ: Supabaseのエンタープライズグレード暗号化サービス

データ管理

  • 個人情報最小収集原則
  • データ保管期間自動管理
  • 定期的なデータバックアップ・復旧テスト
  • アクセス権限の定期的な見直し・更新

4. システムセキュリティ

クラウドインフラ

  • Vercelプラットフォーム: 自動HTTPS、DDoS保護、グローバルCDN
  • Supabaseデータベース: Row Level Security、自動バックアップ
  • ウェブファイアウォール: 悪意のあるトラフィック・SQLインジェクション遮断
  • 自動アップデート: セキュリティパッチの迅速な適用

ウェブアプリケーション

  • CSRFトークンによるクロスサイトリクエストフォージェリ防止
  • XSS防止のための入力データ検証・エスケープ
  • SQLインジェクション防止のためのパラメータ化クエリ
  • セキュリティヘッダーによるクリックジャッキング・コンテンツ注入防止

5. アクセス制御

認証

  • Supabase Auth: OAuth 2.0ベース認証システム
  • セッション管理: JWTトークンベースセキュアセッション
  • パスワードポリシー: 強力なパスワード要件・ハッシュ化
  • アカウントセキュリティ: 異常ログイン試行の検知・遮断

権限管理

  • ロールベースアクセス制御(RBAC)
  • 最小権限原則による権限付与
  • プロジェクト別細分化アクセス権限
  • 定期的な権限見直し・更新

6. AIサービスセキュリティ

第三者AIサービス

  • AIモデル: Google Gemini、Mistral AIのエンタープライズグレードモデル
  • OCRサービス: Google Cloud Vision APIのセキュアAPI
  • APIキーセキュリティ: サーバーサイドからのみアクセス可能なキー管理
  • データ最小化: AI処理に必要な最小限のデータのみ送信

AIセキュリティ原則

  • AIモデルに送信されるデータの事前検証
  • AI応答の後処理による機密情報フィルタリング
  • AIサービス利用記録のセキュリティロギング
  • AIモデル更新時のセキュリティ影響評価

7. セキュリティ監視

基本監視

  • リアルタイムシステム状態監視
  • 異常アクセスパターン検知
  • サービス可用性監視
  • パフォーマンス異常兆候アラート

ログ記録・監査

  • すべてのユーザー活動ログ記録
  • システムイベント・エラーログ
  • データアクセス・修正履歴追跡
  • 定期的なログ分析・報告

8. セキュリティ事故対応

対応体制

  • 担当人員: 24/7セキュリティ担当者配置
  • 対応手順: 事故タイプ別体系的対応マニュアル
  • クラウドサポート: Vercel、Supabase技術サポートチーム連携
  • 外部協力: 必要時セキュリティ専門業者協力

事故通知

  • 即座の内部チーム通知体制
  • ユーザー影響評価・公知
  • 関連機関報告(必要時)
  • 事後改善方案策定・適用

9. セキュリティ意識・教育

  • 従業員対象定期セキュリティ教育
  • 最新セキュリティ脅威情報共有
  • セキュリティポリシー熟知・遵守点検
  • ソーシャルエンジニアリング攻撃対応訓練
  • セキュリティ事故シミュレーション・対応訓練

10. 第三者サービスセキュリティ

Patenty.AIは、サービス提供のために以下の信頼できる第三者サービスを利用しており、各サービスは厳格なセキュリティ基準を満たしています:

  • Vercel (ホスティング): エンタープライズグレードCDNおよびDDoS保護、SSL/TLS自動証明書管理
  • Supabase (データベース): PostgreSQLベースデータベース、Row Level Security、自動バックアップ
  • Google Cloud AI: Gemini AIモデル、データ最小化および暗号化API通信
  • Mistral AI: 高度AI分析サービス、EU データ保護規則準拠

すべての第三者サービスは、SOC 2、ISO 27001等の国際セキュリティ認証を保有しています。

11. 法的遵守事項

当社は以下の法的要件を遵守します:

  • 国内法令: 個人情報保護法、情報通信網法、クラウドコンピューティング法
  • クラウドセキュリティ: クラウドコンピューティング発展およびユーザー保護に関する法律
  • 基本セキュリティ: 情報通信基盤保護法、サイバーセキュリティ基本法
  • 国際基準: GDPR(EU)、CCPA(カリフォルニア)等グローバル個人情報保護規定

12. セキュリティポリシー管理

本セキュリティポリシーは年1回以上定期的に見直され、法令変更や技術発展に応じて随時更新されます。

ポリシー変更時には事前告知によりユーザーにお知らせし、重要な変更事項については明示的同意を得ます。

セキュリティポリシーに関するお問い合わせやセキュリティ事故報告は、以下の連絡先までお願いします:

セキュリティ責任者: イ・サンミン(CEO)

メール: contact@patenty.ai

住所: 釜山広域市海雲台区セシル路86(左棟)、115号