セキュリティ方針

最終更新日: 2026年4月25日

長山健太郎(以下「当方」といいます)は、サービス「Saezune(冴音)」(以下「本サービス」といいます)を契約者および本サービスのエンドユーザーが安心してご利用いただけるよう、以下のセキュリティ方針に基づいて本サービスを設計・運用しています。

1. 基本方針

当方は、本サービスにおいて取り扱うすべてのデータ(契約者がアップロードする FAQ・社内資料、エンドユーザーとの会話履歴、契約者の管理アカウント情報を含みます)について、機密性・完全性・可用性を確保するため、以下の各項目に従い継続的にセキュリティ対策を実施します。

2. データ保管

本サービスは Amazon Web Services(AWS)上に構築されており、以下の方針でデータを保管しています。

• 契約者の FAQ・社内資料は、Amazon S3 および S3 Vectors のセキュアなストレージ上に保管します。保存時の暗号化(Server-Side Encryption with S3-Managed Keys, SSE-S3 以上)を有効化しています。
• 本サービスの会話履歴は、Amazon DynamoDB の暗号化(AWS マネージド KMS キーによる保存時暗号化)が有効化されたテーブル上に保管します。会話履歴は DynamoDB の TTL(Time-to-Live)機能により、取得から 30 日経過後に自動的に削除されます。
• 契約者ごとにベクトルインデックスおよびデータパーティションを分離し、論理的なマルチテナント分離を行っています(customer-{id} 形式の名前空間)。
• パブリックインターネットから直接アクセス可能なストレージバケットを設けず、必要最小限のアクセス経路のみを許可しています。

3. 通信暗号化

本サービスのすべての通信エンドポイント(本ウェブサイト、契約者向け API、エンドユーザーが利用する LINE Messaging API 経路)について、TLS 1.2 以上を強制しています。HTTPS を許可しない経路は提供しません。本ウェブサイトについては、HTTP Strict Transport Security(HSTS)を有効化し、ブラウザに HTTPS 接続を強制しています。

4. アクセス制御

• 本サービスのインフラ管理コンソール(AWS マネジメントコンソール等)へのアクセスは、AWS IAM Identity Center による SSO(シングルサインオン)を介して実施し、最小権限原則に基づくロールベースアクセス制御(RBAC)を行っています。
• 運用者の特権操作には多要素認証(MFA)を必須化しています。
• 本サービスの自動デプロイには長期保管型の固定 AWS クレデンシャルを使用せず、GitHub Actions の OpenID Connect(OIDC)を介した短期トークン認証を採用しています。
• 本サービスの API 認証には、契約者ごとに発行されるトークンを使用し、不正利用検知時には速やかに失効させる運用としています。

5. マルチテナント分離

本サービスは、契約者ごとに独立したベクトルインデックス、会話履歴テーブル、認証スコープを持つマルチテナント設計を採用しています。アプリケーション層・データ層の双方でテナント識別子による分離を行い、ある契約者のデータが他の契約者から参照されることのないよう設計しています。

6. 配信セキュリティヘッダ

本ウェブサイトの配信レスポンスには、業界標準のセキュリティヘッダ(Content-Security-Policy、Strict-Transport-Security、X-Content-Type-Options、Referrer-Policy、Permissions-Policy)を付与し、Cross-Site Scripting(XSS)、クリックジャッキング、MIME スニッフィング等の代表的な Web 攻撃に対する多層防御を行っています。

7. 監視および可用性

当方は、本サービスの稼働状況を Amazon CloudWatch を中心とした監視基盤で常時計測しています。重要なエラーレートおよびレイテンシしきい値を超過した場合、運用者に対し速やかにアラートを発報する仕組みを構築しています。

本サービスはベストエフォート型の SaaS であり、定量的な SLA(サービスレベルアグリーメント)については、Enterprise プランをご契約のお客様向けに個別合意の上で提示します。可用性目標および計画停止の通知方針の詳細についても、Enterprise 契約時または個別お問い合わせ時にご案内します。

8. インシデント対応

本サービスにおいて重大なセキュリティインシデント(個人情報の漏えい、サービスの長時間停止等)が発生した場合、当方は影響を受ける契約者に対し、合理的に可能な限り速やかに事象の発生・原因・影響範囲・対応状況を通知します。法令に基づく当局への報告が必要な場合は、所轄当局および本人(契約者および対象エンドユーザー)への通知を所定の期間内に行います。

9. 外部委託先の管理

本サービスは Amazon Web Services、Google(Gemini API)、LY コーポレーション(LINE Messaging API)等の外部クラウドサービスを基盤として利用しています。これらの委託先については、各社のセキュリティ認証(ISO/IEC 27001、SOC 2、ISMAP 等)および安全管理水準を確認のうえ採用しており、当該委託先のプライバシーポリシーおよびセキュリティ方針に従ってデータが処理されます。

10. 脆弱性対応

当方は、利用しているソフトウェア依存関係について、定期的に脆弱性情報を確認し、必要なパッチ適用・依存関係更新を実施します。本サービスに重大な脆弱性が発見された場合、優先度に応じて速やかに修正対応を行います。本サービスに関する脆弱性報告は、後記「お問い合わせ窓口」までご連絡ください。

11. 改定

当方は、技術環境の変化、利用するクラウドサービスの仕様変更、法令改正その他の事情に応じて、本セキュリティ方針を改定することがあります。改定後の本方針は、本ウェブサイトに掲載した時点から効力を生じるものとします。

12. お問い合わせ窓口

事業者

長山健太郎

所在地

〒103-0027 東京都中央区日本橋2丁目16-4 remix日本橋 6階

メール

saezune.ai@gmail.com