Patentyロゴ
Beta v3.0

セキュリティポリシー

最終更新日:2025年6月23日 | 適用日:2025年6月23日

1. セキュリティポリシーの概要

Patenty株式会社(以下「当社」)は、AIベースの特許実務プラットフォームサービスを提供する過程で、利用者の個人情報と重要データを保護するためにクラウドファースト(Cloud-First)セキュリティ戦略を採用しています。

本セキュリティポリシーは、個人情報保護法、情報通信ネットワーク法などの関連法令を遵守し、信頼できるクラウドサービスプロバイダーのセキュリティインフラを基盤に追加的なセキュリティ対策を適用します。

2. セキュリティ目標

当社は以下のセキュリティ目標を達成するために努力します:

  • 機密性(Confidentiality): 権限のない個人やシステムが情報にアクセスすることを防止
  • 完全性(Integrity): 情報が権限のない方法で変更または破壊されることを防止
  • 可用性(Availability): 権限のあるユーザーが必要な時に情報とシステムにアクセスできることを保証
  • 責任追跡性(Accountability): システムユーザーの活動を追跡し記録

3. データセキュリティ

A. データ暗号化

  • 転送中の暗号化: すべてのデータ転送はHTTPS/TLSを通じて暗号化
  • 保存時の暗号化: Supabaseの標準暗号化によるデータベース暗号化
  • APIキー管理: 環境変数による安全なAPIキー管理
  • クラウドセキュリティ: クラウドプロバイダーのエンタープライズ級セキュリティインフラ活用

B. データ管理

  • ユーザーデータとシステムデータの分離管理
  • 個人情報保護法に基づくデータ保管および削除
  • クラウドプロバイダーのバックアップおよび復旧システム活用
  • 最小権限原則に基づくデータアクセス制御

4. システムセキュリティ

A. クラウドインフラセキュリティ

  • Vercelプラットフォーム: 自動HTTPS、DDoS防御、グローバルCDNセキュリティ
  • Supabase: PostgreSQLベースのセキュリティ、Row Level Security(RLS)
  • クラウドファイアウォール: クラウドプロバイダーのネットワークセキュリティ活用
  • 自動アップデート: プラットフォームレベルのセキュリティパッチ自動適用

B. ウェブアプリケーションセキュリティ

  • Next.jsフレームワークの基本セキュリティ機能活用
  • セキュリティHTTPヘッダー設定(X-Frame-Options、X-Content-Type-Optionsなど)
  • 入力データ検証およびSQLインジェクション防止
  • Supabaseを通じた安全なAPI認証および権限付与

5. アクセス制御

A. ユーザー認証

  • Supabase Auth: メール/パスワードベースの安全な認証
  • セッション管理: JWTトークンベースのセッション管理および自動期限切れ
  • パスワードポリシー: 最低8文字以上の安全なパスワードを推奨
  • アカウントセキュリティ: メール認証によるアカウント確認

B. 権限管理

  • プロジェクトベースのアクセス権限管理
  • ユーザー別データ分離(Row Level Security)
  • 各APIエンドポイント別認証必須
  • 最小権限原則に基づくデータアクセス

6. AIサービスセキュリティ

A. 第三者AIサービスセキュリティ

  • 特許特化AIモデル: 特許特化AIモデルのセキュリティポリシーおよびデータ処理慣行の遵守
  • 文書分析AIサービス: 文書分析およびOCRサービスの安全な活用
  • APIキー管理: 環境変数による安全なAPIキー保存
  • データ最小化: AIサービス呼び出し時に最小限の必要データのみ送信

B. AIサービス使用原則

  • ユーザー入力データの基本的な検証およびフィルタリング
  • AI生成結果に対する免責条項およびユーザー注意事項の提供
  • 個人情報のAIサービス送信最小化
  • 第三者AIサービスのデータ保管ポリシー遵守

7. セキュリティモニタリング

A. 基本モニタリング

  • Vercel AnalyticsおよびSupabaseモニタリングダッシュボード活用
  • アプリケーションエラーおよび異常アクセス試行の追跡
  • API呼び出しパターンおよび使用量モニタリング
  • システムエラー発生時の責任者通知

B. ロギングおよび点検

  • 基本的なシステムアクセスおよびユーザー活動ロギング
  • クラウドプロバイダーのログ保管ポリシー遵守
  • 定期的なシステムアップデートおよびセキュリティパッチ適用
  • 必要時のセキュリティ脆弱性点検および改善

8. セキュリティインシデント対応

A. インシデント対応体制

  • 担当者指定: セキュリティインシデント対応担当者指定および連絡体制構築
  • 対応手順: インシデント検知、迅速対応、復旧、事後措置の基本手順
  • クラウドサポート: クラウドプロバイダーの技術サポートおよび復旧サービス活用
  • 外部協力: 必要時に専門機関の支援要請および相談

B. インシデント通知および復旧

  • 個人情報漏洩時の個人情報保護法に基づく報告および通知
  • サービス中断時の迅速な復旧およびユーザー通知
  • 原因究明および再発防止のための基本的な改善措置
  • インシデント対応プロセスの記録および今後の対応能力強化

9. セキュリティ意識および教育

  • チームメンバー対象の基本的な情報セキュリティ意識向上
  • 個人情報保護法および関連規定の理解
  • フィッシングおよびソーシャルエンジニアリング攻撃に対する基本対応方法
  • セキュリティインシデント予防のための基本ルール遵守
  • クラウドサービス使用時のセキュリティ注意事項

10. 第三者サービスセキュリティ

当社はサービス提供のために以下の信頼できる第三者サービスを使用しています:

  • Vercel: ウェブホスティングおよびデプロイメントプラットフォーム(SOC 2 Type II認証)
  • Supabase: データベースおよび認証サービス(SOC 2 Type II認証)
  • Google LLC: AIサービスおよびクラウドインフラ
  • Security.sections.thirdPartyServices.services.mistral.title: Security.sections.thirdPartyServices.services.mistral.description

各第三者サービスプロバイダーのセキュリティ認証およびデータ処理ポリシーを確認し遵守します。

11. 法的遵守事項

当社は以下の法令および基準を遵守します:

  • 国内法令: 個人情報保護法、情報通信ネットワーク利用促進および情報保護等に関する法律
  • クラウドセキュリティ: 第三者サービスプロバイダーのセキュリティ認証に依存(SOC 2 Type IIなど)
  • 基本セキュリティ原則: OWASPなど基本的なウェブセキュリティガイドラインを参考
  • 国際基準: 必要時にGDPRなど国際個人情報保護規定を遵守

12. セキュリティポリシー管理

① 本セキュリティポリシーは年1回以上レビューし、必要時に改訂します。

② セキュリティポリシー変更時は事前に通知し、重要な変更事項はユーザーの同意を得ます。

③ セキュリティ関連のお問い合わせは以下までご連絡ください:

セキュリティ責任者: イ・サンミン(代表理事)

連絡先: contact@patenty.ai

住所: 大韓民国釜山市海雲台区セシル路86、115号