セキュリティポリシー
最終更新日: 2025年1月27日 | 適用日: 2025年1月27日
1. セキュリティポリシー概要
Patenty Inc.は、ユーザーのデータと個人情報を保護するため、エンタープライズグレードのセキュリティシステムを構築・運営しています。
本セキュリティポリシーは、当社のセキュリティ原則と実施方針を明示し、すべてのユーザーと従業員が遵守すべきセキュリティ基準を提示します。
2. セキュリティ目標
私たちのセキュリティシステムは、以下の核心目標の達成を目指します:
- 機密性: 許可されていないアクセスから情報を保護
- 完全性: データの正確性と完全性を保証
- 可用性: サービスの継続的で安定した提供
- 責任性: すべての活動に対する追跡・監査機能
3. データセキュリティ
暗号化
- 転送暗号化: TLS 1.3を使用したHTTPS通信
- 保存暗号化: AES-256暗号化によるデータベースセキュリティ
- APIキー管理: 環境変数による安全なキー管理
- クラウドセキュリティ: Supabaseのエンタープライズグレード暗号化サービス
データ管理
- 個人情報最小収集原則
- データ保管期間自動管理
- 定期的なデータバックアップ・復旧テスト
- アクセス権限の定期的な見直し・更新
4. システムセキュリティ
クラウドインフラ
- Vercelプラットフォーム: 自動HTTPS、DDoS保護、グローバルCDN
- Supabaseデータベース: Row Level Security、自動バックアップ
- ウェブファイアウォール: 悪意のあるトラフィック・SQLインジェクション遮断
- 自動アップデート: セキュリティパッチの迅速な適用
ウェブアプリケーション
- CSRFトークンによるクロスサイトリクエストフォージェリ防止
- XSS防止のための入力データ検証・エスケープ
- SQLインジェクション防止のためのパラメータ化クエリ
- セキュリティヘッダーによるクリックジャッキング・コンテンツ注入防止
5. アクセス制御
認証
- Supabase Auth: OAuth 2.0ベース認証システム
- セッション管理: JWTトークンベースセキュアセッション
- パスワードポリシー: 強力なパスワード要件・ハッシュ化
- アカウントセキュリティ: 異常ログイン試行の検知・遮断
権限管理
- ロールベースアクセス制御(RBAC)
- 最小権限原則による権限付与
- プロジェクト別細分化アクセス権限
- 定期的な権限見直し・更新
6. AIサービスセキュリティ
第三者AIサービス
- AIインフラ: エンタープライズグレードクラウドAIインフラによる安全で信頼性の高いパフォーマンス
- OCRサービス: Google Cloud Vision APIのセキュアAPI
- APIキーセキュリティ: サーバーサイドからのみアクセス可能なキー管理
- データ最小化: AI処理に必要な最小限のデータのみ送信
AIセキュリティ原則
- AIモデルに送信されるデータの事前検証
- AI応答の後処理による機密情報フィルタリング
- AIサービス利用記録のセキュリティロギング
- AIモデル更新時のセキュリティ影響評価
7. セキュリティ監視
基本監視
- リアルタイムシステム状態監視
- 異常アクセスパターン検知
- サービス可用性監視
- パフォーマンス異常兆候アラート
ログ記録・監査
- すべてのユーザー活動ログ記録
- システムイベント・エラーログ
- データアクセス・修正履歴追跡
- 定期的なログ分析・報告
8. セキュリティ事故対応
対応体制
- 担当人員: 24/7セキュリティ担当者配置
- 対応手順: 事故タイプ別体系的対応マニュアル
- クラウドサポート: Vercel、Supabase技術サポートチーム連携
- 外部協力: 必要時セキュリティ専門業者協力
事故通知
- 即座の内部チーム通知体制
- ユーザー影響評価・公知
- 関連機関報告(必要時)
- 事後改善方案策定・適用
9. セキュリティ意識・教育
- 従業員対象定期セキュリティ教育
- 最新セキュリティ脅威情報共有
- セキュリティポリシー熟知・遵守点検
- ソーシャルエンジニアリング攻撃対応訓練
- セキュリティ事故シミュレーション・対応訓練
10. 第三者サービスセキュリティ
Patenty.AIは、サービス提供のために以下の信頼できる第三者サービスを利用しており、各サービスは厳格なセキュリティ基準を満たしています:
- Vercel (ホスティング): エンタープライズグレードCDNおよびDDoS保護、SSL/TLS自動証明書管理
- Supabase (データベース): PostgreSQLベースデータベース、Row Level Security、自動バックアップ
- Google Cloud AI: Gemini AIモデル、データ最小化および暗号化API通信
- Mistral AI: 高度AI分析サービス、EU データ保護規則準拠
すべての第三者サービスは、SOC 2、ISO 27001等の国際セキュリティ認証を保有しています。
11. 法的遵守事項
当社は以下の法的要件を遵守します:
- 国内法令: 個人情報保護法、情報通信網法、クラウドコンピューティング法
- クラウドセキュリティ: クラウドコンピューティング発展およびユーザー保護に関する法律
- 基本セキュリティ: 情報通信基盤保護法、サイバーセキュリティ基本法
- 国際基準: GDPR(EU)、CCPA(カリフォルニア)等グローバル個人情報保護規定
12. セキュリティポリシー管理
本セキュリティポリシーは年1回以上定期的に見直され、法令変更や技術発展に応じて随時更新されます。
ポリシー変更時には事前告知によりユーザーにお知らせし、重要な変更事項については明示的同意を得ます。
セキュリティポリシーに関するお問い合わせやセキュリティ事故報告は、以下の連絡先までお願いします:
セキュリティ責任者: イ・サンミン(CEO)
メール: contact@patenty.ai
住所: 釜山広域市海雲台区セシル路86(左棟)、115号