稟議に通る安心を、
構造で実現する。
個人情報を一切預けない設計と、SOC 2 Type II / ISO 27001 取得済のインフラ基盤の組み合わせで、情シス・法務・経理の稟議を最短で通過させます。
個人情報を保存しません
氏名・メール・電話番号などの個人情報を当社データベースに保存しない設計です (適切な命名規約での運用前提)。
インフラ基盤は SOC 2 / ISO 27001 取得済
Cloudflare Workers / D1 を採用。同基盤は SOC 2 Type II / ISO 27001 / ISO 27018 等を取得済で、当社サービスのインフラ層セキュリティを継承しています。
SLA 99.9% を保証
月間稼働率 99.9% を下回った場合、サービスクレジットを返金します。
※ チェックシート PDF と DPA テンプレートは、お問い合わせフォームから個別にお送りします (司法書士監修対応中)。
個人情報を、預けない。
当社は、お客様の社員一人ひとりの氏名・メールアドレス・電話番号・所属部署などの個人情報を、当社データベースに保存しません。 お客様は「グループラベル」(例: 社員 12、marketing-3、PoC 2026Q2) で API キーを管理いただきます。 当社が保持するのは、グループラベルと API キーの紐付け、および利用集計のみです。
お客様企業 (顧客が管理)
社員台帳 (社内のみ)
- 鈴木太郎 → 社員 5
- 田中花子 → 社員 8
- ...
※ 氏名・メール等の対応は、お客様内部のみで管理
当社 (Zero-PII で保持)
グループラベル
- 社員 5
- 社員 8
- ...
※ 当社は氏名等を保存しない (グループラベル + 利用集計のみ)
- 情シス部門の「ベンダーへの個人情報提供承認」稟議が不要または大幅簡素化
- 個人情報保護法 (APPI) 上、お客様企業が単独のデータコントローラー
- インシデント発生時もお客様の個人情報漏洩リスクが構造的に最小化
※ 個人情報を保存しない設計の前提として、お客様にはグループラベルに氏名・メールアドレス等の個人情報を含めないことを契約条項で定めています。具体的な命名規約は別途お問い合わせください。
Customer-Side UX Companion: 補助ツール「Companion Roster」
Zero-PII の本旨は「お客様と当社の総合的なリスク・負担最小化」。当社の負を 0 にする代わりに、お客様に Excel 対応表という負を押し付ければ本旨が崩れます。そこで補助ツール「Companion Roster」を段階提供します。
- Phase 0 (M0 ローンチ時提供): 改良 Excel テンプレ + 連携 API リファレンス、お客様の自前ツールに API 連携可能
- Phase 1 (M1-M2 リリース予定): ブラウザ完結 SPA、お客様のブラウザのみで動作し当社サーバーに PII が到達しない設計(Bitwarden 等の Zero-Knowledge アーキ思想を踏襲、IndexedDB + libsodium Argon2id + secretbox 暗号化)
- Phase 2 (M6+、エンタープライズ需要次第): 顧客企業内デプロイ OSS 版
効果: お客様の Excel 対応表負担を 月 3-5 時間 → 月 30 分(約 90% 削減)に圧縮(Phase 1 リリース後)。これにより「PII を持たない × UX も損なわない」の 2 軸で差別化を達成します。
サブプロセッサ一覧
当社サービスの提供にあたり、以下のサブプロセッサを利用しています。各社の認証取得状況は、当該社の公式 Trust Center にて公開されています。
| サブプロセッサ | 用途 | 主な認証 (各社公式 Trust Center 参照) |
|---|---|---|
| Cloudflare, Inc. | エッジ実行・データベース・ストレージ | SOC 2 Type II / ISO 27001 / ISO 27018 / ISO 27701 / PCI DSS L1 / HIPAA |
| Anthropic, PBC | LLM 推論 (Claude シリーズ) | SOC 2 Type II / ISO 27001 |
| OpenAI, OpCo, LLC | LLM 推論 (GPT シリーズ) | SOC 2 Type II |
| Google LLC | LLM 推論 (Gemini) / 翻訳 | SOC 2 / ISO 27001 / ISO 27017 / ISO 27018 |
| Mistral AI SAS | LLM 推論 | GDPR 準拠 |
| xAI Corp. | LLM 推論 (Grok) | 公開情報待ち |
| DeepL SE | 翻訳推論 | ISO 27001 |
| Stripe, Inc. | 決済処理 | PCI DSS Level 1 / SOC 2 Type II |
| Vercel, Inc. | LP ホスティング | SOC 2 Type II |
| Resend, Inc. | トランザクションメール送信 | SOC 2 Type II |
Shared Responsibility Model: 当社は Shared Responsibility Model に基づき、インフラ層のセキュリティはサブプロセッサ各社の認証を継承し、アプリケーション層は当社の Zero-PII 設計と運用で責任を負います。
データの取り扱い方針
3-1. 保存するデータ
| 種別 | 保存場所 | 用途 |
|---|---|---|
| お客様企業の法人情報 (社名・住所・JCT 登録番号) | Cloudflare D1 | 契約・請求 |
| お客様管理者 (最大 3 名) の氏名・メールアドレス | Cloudflare D1 | 契約履行・サポート連絡 |
| グループラベル (顧客が自由に命名、PII 含まない前提) | Cloudflare D1 | API キー管理 |
| API キーのハッシュ値 | Cloudflare D1 | 認証 |
| 利用集計 (トークン数・コスト・モデル名) | Cloudflare D1 | 請求・レポート |
| 国コード (Cloudflare cf.country のみ) | Cloudflare D1 | 集計分析 |
3-2. 保存しないデータ
| 種別 | 理由 |
|---|---|
| お客様社員の氏名・メール・電話番号 | Zero-PII 設計 |
| IP アドレス | Cloudflare 内のみで処理、当社 DB には残さない |
| User-Agent 文字列 | 集計化のみ、生データは残さない |
| LLM プロンプト内容 | プロバイダへ転送、当社では保存しない |
| LLM 応答内容 | 同上 |
| 決済カード番号 | Stripe 側で管理、当社には連携されない |
3-3. データ保持期間
| データ | 保持期間 |
|---|---|
| 利用ログ | 13 ヶ月 (法人税法・電子帳簿保存法対応) |
| 請求書・領収書 | 7 年間 (法定保存期間) |
| お客様管理者連絡先 | 契約終了後 1 年以内に削除 |
| グループラベル・API キー | 解約から 30 日以内に削除 |
稼働率 SLA 99.9%
月間稼働率 99.9% を保証します。これを下回った場合、月額利用料の一定割合をサービスクレジットとして返金します。
主要条件 (詳細は SLA 全文参照)
| 月間稼働率 | サービスクレジット |
|---|---|
| 99.9% 未満 〜 99.0% | 月額利用料の 10% |
| 99.0% 未満 〜 95.0% | 月額利用料の 25% |
| 95.0% 未満 | 月額利用料の 50% |
除外条件
- 計画メンテナンス (事前通知あり)
- 上流プロバイダ (Anthropic / OpenAI / Google 等) 由来の障害
- お客様起因の障害 (誤設定・上限超過等)
- 不可抗力 (天災・大規模ネットワーク障害等)
※ SLA 全文は契約締結時にお渡しします。本ページの内容は概要であり、契約書記載のものが正式条件となります。
インシデント対応プラン
インシデント発生時は以下の 5 段階フローで迅速に対応します。
- 検知: 監視ダッシュボード / Cloudflare Workers ログ / Stripe Webhook の異常検知
- トリアージ: Severity 判定 (S1 = 全停止、S2 = 部分停止、S3 = 機能劣化)
- 通知: お客様管理者へメール通知 (S1 は 1 時間以内、S2 は 4 時間以内、S3 は 24 時間以内)
- 復旧: 原因特定 → 修正デプロイ → 影響範囲のお客様へ追加連絡
- 事後: 7 日以内に Post-mortem (公開可能版) を本ページに掲載
※ インシデント対応プランの詳細はお問い合わせ時にお送りします。
セキュリティ認証取得ロードマップ
当社はインフラ基盤 (Cloudflare) の SOC 2 Type II / ISO 27001 / ISO 27018 認証を継承しつつ、自社認証として以下を段階的に取得予定です。
| 認証 | 取得予定時期 | 状況 |
|---|---|---|
| ISO 27001 (ISMS) | 2026 年下期に着手予定、2027 年内取得目標 | 準備中 |
| ISO 27017 (クラウドセキュリティ拡張) | ISO 27001 取得後 6 ヶ月以内 | 検討中 |
| ペネトレーションテスト (外部監査) | 2026 年第 3 四半期 | 計画中 |
※ 本ロードマップは当社の現在の計画であり、事業環境の変化により変更される可能性があります。確定情報は本ページで随時更新します。
セキュリティに関するお問い合わせ
窓口
| 種別 | 連絡先 |
|---|---|
| セキュリティチェックシート対応 | security@ (ドメイン取得後に確定) |
| 脆弱性報告 (Responsible Disclosure) | security@ (ドメイン取得後に確定、PGP 鍵は公開予定) |
| DPA 締結相談 | legal@ (ドメイン取得後に確定) |
| インシデント連絡 (お客様 → 当社) | incident@ (ドメイン取得後に確定) |
応答 SLA
- セキュリティ問い合わせ: 営業日 2 日以内
- 脆弱性報告: 営業日 1 日以内に受領確認
- DPA 相談: 営業日 5 日以内
※ ローンチ前 (2026 年 6 月 15 日以前) は、トップページの β登録フォーム からお問い合わせください。