データ取り扱い方針
最終更新日: 2026年3月29日 | バージョン: 3.0
1. 適用範囲
本方針は、Marupass Vault(以下「本サービス」)においてお客様(親テナント及び子テナントを含む全利用者)から受領、生成又は処理される一切のデータに適用されます。
- お客様がアップロードした原本ファイル(PDF、Excel、画像等)
- OCR抽出テキスト及びAI分類・抽出結果
- Universal ESG Ledger上の構造化データ(Resource Flows、Social Events、Governance Policies)
- コンプライアンスレポート出力(CBAM、SSBJ、CSRD/ESRS、VSME等)
- 監査証跡及びWORM台帳レコード
- アカウント情報、認証トークン及びセッションデータ
- AIコパイロット機能における会話内容(お客様が入力したテキスト)
- マーケティングリード情報(メールアドレス、取得元ページ情報)
1.2 クライアント側データ
上記のサーバー側データに加え、ブラウザ側で以下のデータを取扱います。
Cookie(全8種・すべて機能上必要)
| Cookie名 | 目的 | httpOnly | 有効期間 | PII含有 |
|---|---|---|---|---|
| authjs.session-token | JWTセッション | Yes | 30日 | Yes(email, name, ID) |
| NEXT_LOCALE | 言語設定(ja/en) | No | 1年 | No |
| invite_token | 招待フロートークン | Yes | 1時間 | No |
| claim_token | パスポート申請フロー | No | 1時間 | No |
| site-auth | プレローンチ認証 | Yes | 30日 | No |
上記はすべて認証・セキュリティ・基本機能に必要なCookieであり、アナリティクスCookie及び広告トラッキングCookieは一切使用しておりません。
localStorage
テーマ設定(scx-theme: ダークモード/ライトモード)のみを保存します。個人情報は含まれません。
IndexedDB(暗号化オフラインキュー)
オフライン機能利用時、送信待ちデータ(通報データ等)はブラウザ内IndexedDB(scx-offline-queue)にAES-256-GCM + RSA-OAEP-2048ハイブリッド暗号化のうえ一時保存されます。復号はサーバー側でのみ可能であり、クライアント側では暗号文のみが保持されます。ネットワーク復帰後の同期完了時に自動削除されます。
Service Worker & PWA
オフラインページ表示及び静的アセットのキャッシュ(scx-shell-v1)にService Workerを使用します。APIレスポンスはキャッシュされません。バックグラウンド同期機能により、オフライン中に蓄積されたデータを自動的に送信します。
アナリティクス・トラッキング
当サービスでは、Google Analytics、PostHog、Mixpanel等のクライアント側アナリティクスサービスは一切使用しておりません。フィンガープリンティングやピクセルトラッカーも導入しておりません。サーバー側の記事閲覧分析では、IPアドレスとUser-Agentを元にSHA-256ハッシュを生成し、プライバシーセーフなユニーク訪問者カウントを行います。生のIPアドレスおよびUser-Agent文字列は閲覧イベントテーブルに保存されません。
Web Worker
Excel生成・解析(Excel Worker)及びPDFレンダリング(PDF.js Worker)をオフスレッドで実行するWeb Workerを使用します。処理データは一時的にメモリ内に保持されますが、永続化されることはありません。
2. データ分類体系
当社は、FISC安全対策基準V13及びISO 27001の分類フレームワークに準拠し、以下の4段階でデータを分類します。
| 分類レベル | 対象データ | 保護措置 |
|---|---|---|
| 機密(Confidential) | ESG排出量データ、財務諸表、光熱費請求書、SLL評価結果、サプライヤー情報 | AES-256暗号化 + RLS + WORM台帳 + アクセスログ |
| 社外秘(Internal) | テナント設定、ユーザーロール、ワークフロー状態、コベナント閾値 | AES-256暗号化 + RLS + アクセスログ |
| 業務用(Restricted) | システムログ、パフォーマンスメトリクス、匿名化統計データ | AES-256暗号化 + アクセス制御 |
| 公開(Public) | 規制フレームワーク定義、排出係数マスターデータ、UIラベル | 完全性検証のみ |
2.2 暗号化方式
通信時暗号化(In Transit)
| 通信経路 | 暗号化方式 |
|---|---|
| フロントエンド ↔ バックエンド | HTTPS/TLS(HSTS 2年間強制、includeSubDomains、preload) |
| バックエンド ↔ GCP各サービス | TLS(Google ADC) |
| バックエンド ↔ PostgreSQL | TLS(Cloud SQL Proxy) |
| バックエンド ↔ Redis | TLS |
| バックエンド ↔ Stripe | TLS(Stripe SDK) |
保存時暗号化(At Rest)
| 対象データ | 暗号化方式 | 鍵管理 |
|---|---|---|
| OAuthトークン(freee等) | Fernet(MultiFernetローテーション対応) | FERNET_ENCRYPTION_KEY |
| SCIM Webhookシークレット | Fernet(MultiFernet) | 同上 |
| 通報者(Grievance)連絡先 | Fernet | 同上 |
| WhatsApp電話番号 | Fernet | 同上 |
| HSM対応暗号化(オプション) | Google Cloud KMS | HSM Keyring(asia-northeast1) |
KMS_REQUIRED=true設定時、KMS初期化に失敗するとアプリケーションは起動を停止します(フェイルクローズド設計)。
ハッシュ化アルゴリズム
| アルゴリズム | 用途 |
|---|---|
| SHA-256 | トークン、APIキー、仮名(pseudonym)、WORMデータフィンガープリント、電話番号ハッシュ、セッションハッシュ |
| Poseidon | WORMチェーンリンク(SNARKフレンドリー、SHA-256フォールバック) |
| HMAC-SHA256 | SCIM Webhook署名、Enterprise Webhook署名、リクエスト署名 |
3. データ保管場所及び越境移転
3.1 保管リージョン
- 永続データ(PostgreSQL、GCSバケット):Google Cloud 東京リージョン(asia-northeast1)に保管されます。大阪リージョン(asia-northeast2)はディザスタリカバリ用途に限定されます。
- 一時処理データ:東京リージョン内のCloud Runインスタンスで処理されます。
3.2 マルチリージョンデータレジデンシー
| リージョン | PostgreSQL | GCS | Cloud Tasks | AI推論 |
|---|---|---|---|---|
| Japan(デフォルト) | asia-northeast1 | asia-northeast1 | asia-northeast1 | asia-northeast1 |
| EU(オプション) | DATABASE_URL_EU | GCS_BUCKET_NAME_EU | europe-west1 | europe-west3 |
| Global(フォールバック) | JPにフォールバック | JPにフォールバック | JPにフォールバック | us-central1 |
3.3 AI推論における越境通信
本サービスのすべてのAI推論処理は、お客様のoperating_region(運用リージョン)設定に基づき、Google Vertex AIのリージョン指定エンドポイントで完結します。
- Google Vertex AI(Gemini):テナントリージョンのエンドポイントを使用(日本テナント:asia-northeast1、EUテナント:europe-west3)。データはリージョン内で処理されます。
- Anthropic Claude(Vertex AI Model Garden経由):Claude APIへのアクセスもVertex AI Model Gardenのリージョン指定エンドポイントを経由します。Anthropicに直接APIキーは送信されず、推論データはテナントのoperating_regionに準拠したリージョン内に留まります。
上記の設計により、LLM処理においてデータが指定された法域外に送信されることはなく、「外国にある第三者への提供」(APPI第28条)は発生しません。加えて、Tier 0のPIIサニタイザーにより個人を識別可能な情報はAI推論前に除去されるため、送信データはESG指標数値及びOCR抽出テキスト(匿名化済み)に限定されます。
EU顧客のデータについては、GDPR第44条以降に基づく適切な保護措置を講じています。日本のお客様のデータについては、APPI第28条の要件に準拠した設計としています。
4. 一時ストレージのライフサイクル管理
本サービスのドキュメント処理パイプラインでは、Google Cloud Storage(GCS)を一時ストレージとして使用します。一時ファイルの保持・削除は、アプリケーションコードではなく、GCSのObject Lifecycle Ruleにより自動的かつ確実に実行されます。
4.1 ライフサイクルルールの構成
| GCSパス | 内容 | 保持期間 | 削除方法 |
|---|---|---|---|
| raw/ | メール受信・アップロード直後の原本ファイル | 3日間 | GCS Object Lifecycle Rule(自動削除) |
| public-temp/ | Utility Cooker等の未認証パブリックツールの一時ファイル | 3日間 | GCS Object Lifecycle Rule(自動削除) |
4.2 ファイルアップロード制約
| 制約 | 値 |
|---|---|
| 最大ファイルサイズ | 10 MB(サーバー側で強制) |
| 受付MIMEタイプ | PDF, CSV, XLSX |
| 最大バッチサイズ | 20ファイル |
| マジックバイト検証 | %PDF, PK\x03\x04, UTF-8テキスト |
4.3 ストレージアーキテクチャ
| 保管場所 | 目的 | 保持期間 |
|---|---|---|
| raw/{tenant_id}/ | アップロード一時保管 | 3日(ライフサイクルルール) |
| GCS quarantineバケット | ウイルススキャン前保管 | 承認/却下まで |
| GCS vaultバケット | 検証済みドキュメント保管 | 無期限 |
| Google Drive | テナントフォルダへのアーカイブ | 無期限 |
4.4 署名付きURLの有効期限
- ダウンロード用:最大7日間(V4署名上限)
- アップロード用:15分(上限60分)
4.5 設計原則
- アプリケーションコードによる削除禁止:Cloud Tasksのリトライ処理でデータ喪失が発生することを防止するため、一時ファイルの削除はアプリケーションコードでは実行しません。削除はインフラストラクチャ設定(GCS Lifecycle Rule)により保証されます。
- 処理完了後のデータフロー:OCR抽出・AI分類の処理結果は、構造化データとしてPostgreSQLのUniversal ESG Ledger(第6条参照)に永続化されます。原本ファイルは、お客様のGoogle Driveに転送された後、GCS上の一時コピーがライフサイクルルールにより自動削除されます。
5. AI処理におけるデータ取扱い:学習禁止保証
【確約事項】お客様データは、いかなる場合も基盤モデル(Foundation Model)の学習・ファインチューニングに使用されません。
5.1 プロバイダー別の学習禁止メカニズム
| AIプロバイダー | 利用形態 | 学習禁止の根拠 | データ保持 |
|---|---|---|---|
| Google Vertex AI(Gemini) | Vertex AI API (ADC認証・東京リージョン) | Google Cloud Platform利用規約§5.3:Vertex AI APIを通じて送信されたデータはGoogleのモデル学習に使用されません。Enterprise契約によりData Processing Addendum(DPA)が適用されます。 | 推論完了後、入力データはGoogleのシステムから削除されます。ログは最大30日間保持されますが、学習目的には使用されません。 |
| Anthropic Claude(Vertex AI Model Garden経由) | Vertex AI Model Garden (Google ADC認証・テナントリージョン準拠) | Vertex AI Model Garden経由のため、GCP Enterprise DPAが適用されます。AnthropicのAPIキーは直接使用せず、Google ADC認証を通じてアクセスします。Vertex AI経由のデータはモデルの学習に使用されません。 | 推論完了後、入力・出力データはVertex AIのデータ保持ポリシーに準拠して処理されます。学習目的には使用されません。 |
| Google Document AI | Enterprise Document OCR (ADC認証) | GCP Enterprise DPAが適用されます。Document AIはVertex AIの一部として運用され、処理データはモデル学習に使用されません。 | OCR処理完了後、入力PDFデータはGoogleのシステムから削除されます。 |
5.2 Marupassによる独自学習の禁止
- 当社は、お客様データを用いて独自のAIモデルの学習、ファインチューニング、蒸留(distillation)又はプロンプトキャッシュの構築を行いません。
- 本サービスのAI処理は、プロンプトエンジニアリング(Few-shot prompting)のみで構成されており、お客様データがモデルの重みに反映されることはありません。
- プロンプトテンプレートに含まれるFew-shotサンプルは、合成データ又は匿名化された公開データのみで構成されています。
5.3 AI推論の制限管理
- AIモデルへの1リクエストあたりの入力は100,000トークンを上限としています。
- 各リクエストのモデル名、入出力トークン数、コスト(USD)は
llm_usage_logに記録され、テナント毎のLLM予算管理に使用されます。
5.4 送信データの最小化
- AI推論に送信されるデータは、処理に必要な最小限の範囲に限定されます。
- 個人を直接識別可能な情報(氏名、住所、マイナンバー等)は、AI推論リクエストに含めない設計としています。
- OCR抽出テキストからの分類・数値抽出のみがAI推論の対象であり、原本ファイル(PDF/画像)全体がAIプロバイダーに送信されることはありません。ただし、Geminiへの分類リクエストでは、PDF全体のバイナリデータが送信される場合があります(Vertex AI東京リージョン内での処理に限定)。
6. Universal ESG Ledgerの不変性とWORM監査台帳
6.1 台帳アーキテクチャ
本サービスのESGデータは、以下の3つのテーブルからなるUniversal ESG Ledgerに構造化して格納されます。
- Resource Flows(E:環境):エネルギー消費量、CO₂排出量、水使用量等の定量的環境データ
- Social Events(S:社会):人的資本指標、労働安全データ、サプライチェーン社会監査結果
- Governance Policies(G:ガバナンス):取締役会構成、リスク管理方針、内部統制文書
6.2 WORM台帳メカニズム
全てのESG Ledgerレコードは、挿入時にWORM(Write Once Read Many)監査台帳に自動的にアンカーされます。
- SHA-256チェーンハッシュ:各レコードは、前レコードのハッシュ値を含む連鎖構造でハッシュ化されます。これにより、中間レコードの改ざんが検出可能です。
- Poseidonハッシュ:ゼロ知識証明(ZKP)との将来的な互換性を確保するため、SHA-256に加えてPoseidonハッシュも並行して記録されます。
- PostgreSQLトリガーによる強制:WORM台帳への書き込みはデータベーストリガーにより自動実行されます。アプリケーションコードによるバイパスは不可能です。
- UPDATE/DELETE不可:WORM台帳のレコードに対するUPDATE及びDELETE操作は、データベースレベルのトリガーにより拒否されます。
6.3 WORM保護対象テーブル
以下の4テーブルにDELETE/UPDATEを拒否するトリガーが適用されています。
audit_lineage_log— ESGデータの監査証跡user_confirmation_log— ユーザー確認操作の記録system_audit_log— システム操作ログ(IPアドレス、User-Agent含む)procurement_messages— 調達メッセージ(WORM不変)
6.4 チェーンハッシュの詳細
- ハッシュアルゴリズム:Poseidonハッシュ関数(SNARKフレンドリー)を主方式とし、SHA-256へのフォールバックを備えています。
- データフィンガープリント:
SHA256(data_value + source_location + extracted_by + document_id) - 同時実行制御:テナント毎にPostgreSQLアドバイザリーロック(
pg_advisory_xact_lock)を使用し、チェーンの分岐を防止しています。
6.5 PII除去フィールド
WORM台帳書き込み前に、以下のPIIフィールドが自動的に除去されます:user_id, email, name, phone, ip_address。除去が実行された場合はWARNINGログが記録されます(多層防御措置)。
6.6 ブロックチェーンアンカリング
| 項目 | 値 |
|---|---|
| チェーン | Base L2ネットワーク(Ethereum Layer 2) |
| コントラクト | AuditAnchor.sol — anchor(bytes32) |
| 頻度 | 日次Merkle rootロールアップ |
| オンチェーンデータ | Merkle rootハッシュのみ — 個人情報・業務データは一切含まれません |
6.3 データ削除要求への対応
不変台帳と削除権の両立
個人情報保護法第33条に基づく開示・削除請求と、WORM台帳の不変性を両立するため、当社は以下の多層的アプローチを採用します。
- 論理削除(Soft Delete):運用データベース(ESG Ledger本体)上のレコードは、論理削除フラグにより非表示化されます。アプリケーション及びAPIからは当該データにアクセスできなくなります。
- 暗号学的シュレッディング(Cryptographic Shredding):機密性の高いフィールド(排出量数値、企業名、サプライヤー情報等)は、テナント固有の暗号鍵(Customer Managed Encryption Key: CMEK)で暗号化されています。削除要求に対しては、当該テナントの暗号鍵を破棄することで、WORM台帳上のハッシュ値から元データを復元不可能にします。
- 監査証跡の保持:WORM台帳上のハッシュ値自体は、監査証跡の完全性維持のため削除されません。ただし、暗号鍵の破棄により、ハッシュ値から元データへの逆算は暗号学的に不可能です。
- GDPR Tombstoneの適用範囲:GDPR第17条に基づく削除請求に対しては、
audit_lineage_logのデータペイロードをGDPR Tombstone({status: "REDACTED_GDPR", original_payload_hash, redacted_at})に置換することで対応します。ただし、system_audit_logに記録されたIPアドレス及びUser-Agent情報については、GDPR第17条第3項(b)号(法的義務の遵守)及び(e)号(法的請求の行使・防御)に基づきWORM不変性を維持し、Tombstoneの対象外とします。
7. テナント分離
- 行レベルセキュリティ(Row Level Security / RLS):PostgreSQL上の全テナントデータテーブルにRLSポリシーが適用されています。データベース接続時に
app.current_tenant_idセッション変数が設定され、テナントAのクエリからテナントBのデータは物理的に不可視です。 - 監査人アクセスの分離:外部監査人向けデータルームでは、専用のPostgreSQLロール(
guest_auditor)と列レベルセキュリティ(CLS)ビューにより、サプライヤー名のSHA-256マスキング及びコストデータの秘匿が強制されます。 - 親子テナント間のアクセス制御:親テナント(金融機関)は、
app.portfolio_tenant_ids設定により自社が招待した子テナント(融資先SME)のデータを読取り専用でアクセス可能です。この場合もRLSポリシーが適用され、ポートフォリオに含まれるテナントのデータのみアクセス可能です。個別の子テナントの原本データへの直接アクセスは許可されていません。 - テーブルオーナーに対するRLS強制:
usersテーブルにはFORCE ROW LEVEL SECURITYが適用されており、テーブルオーナー(データベース管理ロール)に対してもRLSが強制されます。 - 外部監査人ロールの制約:外部監査人向けデータルームでは、専用のPostgreSQLロール(
guest_auditor: NOLOGIN, NOBYPASSRLS)が割り当てられます。このロールは承認されたテーブルへのSELECT権限のみを持ちます。監査用安全ビュー(auditor_safe_documents)を通じて、サプライヤー名はSHA-256でマスク処理され、コスト情報は墨消しされた状態で提供されます。
8. データ処理委託先(Sub-Processor)
個人情報保護法第25条(委託先の監督)に基づき、当社は以下の第三者にデータ処理の一部を委託しています。各委託先とは、データ処理に関する契約(DPA)を締結しています。
| 委託先 | 処理内容 | データ所在地 | 学習利用 |
|---|---|---|---|
| Google Cloud Platform | インフラ(Cloud Run、Cloud SQL、GCS、Cloud Tasks、Document AI、Vertex AI) | 日本(asia-northeast1/2) | 禁止 |
| Anthropic(Vertex AI経由) | AI推論(Claude — 監査エージェント)。Vertex AIリージョン指定エンドポイント経由 | 日本(テナントリージョン準拠) | 禁止 |
| SendGrid(Twilio) | トランザクションメール配信、インバウンドメール受信 | 米国 | 該当なし |
| Vercel | フロントエンドホスティング(静的アセット + Edge Functions) | グローバルCDN(東京PoP優先) | 該当なし |
| Stripe | 決済処理 | 米国(PCI DSS準拠) | 該当なし |
| LINE株式会社 | メッセージング連携(LINE Messaging API / LIFF認証) | 日本 | 該当なし |
| Twilio Inc. | WhatsApp Business APIによるサプライチェーンコミュニケーション | 米国 | 該当なし |
| Neo4j, Inc. | 規制ナレッジグラフの構造化・検索(個人情報を含まない) | 米国 | 該当なし |
| Redis Ltd. | キャッシュ、レートリミット、セッションデータの一時保管 | 日本(東京リージョン) | 該当なし |
| freee株式会社 | 会計ソフト連携・証憑データ同期 | 日本 | 該当なし |
| 株式会社マネーフォワード | 会計ソフト連携・仕訳データ同期 | 日本 | 該当なし |
| Ethereum Base L2 | 監査証跡のタイムスタンプ証明(Merkle rootハッシュのみ、PII含まず) | 分散ネットワーク | 該当なし |
8.2 Enterprise Webhook(アウトバウンド)
Enterpriseプランのお客様が登録したWebhook URLに対して、HMAC-SHA256署名付きのJSONペイロードを送信します。SSRF防護により、localhost、メタデータエンドポイント、プライベートIPへの送信はブロックされます。
委託先の追加又は変更がある場合は、変更の30日前までにお客様に通知します。
9. データ保持と削除
| データ種別 | 保持期間 | 削除方法 |
|---|---|---|
| 一時処理ファイル(GCS raw/) | 3日間 | GCS Object Lifecycle Rule(自動) |
| ESG Ledgerレコード | 契約期間 + 法定保持期間 | 論理削除 + 暗号学的シュレッディング |
| WORM監査台帳 | 契約期間 + 法定保持期間(最低7年) | 削除不可(ハッシュ値のみ残存) |
| アカウント情報 | 契約終了後30日 | 物理削除 |
| 認証トークン(OAuth) | 連携解除時に即時 | 物理削除 |
| システムログ | 90日間 | Cloud Loggingの保持ポリシー(自動) |
| シミュレーション結果 | 90日間 | SQL DELETE(自動クリーンアップ) |
| 休眠テナント請求トークン | 30日間 | expires_at CHECK制約(自動無効化) |
| データルームゲストセッション | 24時間(デフォルト。1〜168時間で設定可能) | expires_atフィルタ |
| 召喚状セッション | 8時間(デフォルト。1〜72時間で設定可能) | expires_atフィルタ |
| SAQテンプレートキャッシュ | last_hit_atによるTTL管理 | mapper_versionによる遅延無効化 |
| Ethereumアンカーエントリ | 無期限 | ブロックチェーン上のオンチェーン不変性 |
9.2 ユーザー削除フロー
| トリガー | 方式 | 可逆性 | PII処理 |
|---|---|---|---|
| 管理者によるテナントデータ削除 | ソフトデリート | 可逆 | WORMエントリは保持(メトリクスのみ、PII含まず) |
| SCIM user.deleted | ハードDELETE | 不可逆 | CASCADE削除によりactor_resolution(仮名リンク)を切断 — 暗号学的シュレッディング |
| SCIM user.suspended | is_active = FALSE | 可逆 | WORM仮名リンクは維持 |
| GDPR Tombstone | WORMペイロード墨消し | 不可逆 | data_value → REDACTED_GDPR(ハッシュチェーン保持) |
SCIM削除によるactor_resolutionのCASCADE削除は、WORM台帳上の仮名(SHA-256ハッシュ)と実ユーザーを結びつける唯一のテーブルを物理削除するものであり、これにより仮名から個人を特定することが暗号学的に不可能となります(GDPR第17条対応の核心メカニズム)。
10. セキュリティインシデント対応
個人情報保護法第26条(漏えい等の報告等)及びサイバーセキュリティ基本法に基づき、以下の対応を行います。
- 検知:Cloud Logging + Cloud Monitoringによる24時間自動監視。異常検知アラートを運用チームに即時通知。
- 初動対応:インシデント検知後、速やかに影響範囲を特定し、必要に応じてサービスの一部又は全部を停止します。
- 個人情報保護委員会への報告:個人データの漏えいが確認された場合、個人情報保護法第26条第1項に基づき、速やかに個人情報保護委員会に報告します。
- お客様への通知:同法第26条第2項に基づき、個人の権利利益を害するおそれがある漏えい等が発生した場合、影響を受けるお客様に遅滞なく通知します。通知は72時間以内を目標とします。
- 事後対応:原因分析、再発防止策の策定及び実施。重大なインシデントについては、事後報告書をお客様に提供します。
10.2 Webhook安全ミドルウェア
外部サービスからのWebhook受信エンドポイント(SendGrid、LINE、Twilio WhatsApp、SCIM等)では、例外発生時もHTTP 200を返却する安全ミドルウェアを実装しており、無限リトライループを防止しています。Stripe Webhookは署名検証のため実際のHTTPエラーコードが必要であり、この保護の対象外です。
11. データ主体の権利
個人情報保護法に基づき、お客様は以下の権利を行使することができます。
| 権利 | 根拠条文 | 技術的実装 |
|---|---|---|
| 開示請求 | APPI第33条 / GDPR第15条 | テナント監査証跡のCSVエクスポート機能 |
| 訂正請求 | APPI第34条 / GDPR第16条 | ドキュメント訂正フロー(HITL解決)により上書き(superseding)レコードを作成。WORMの不変性と整合的な設計 |
| 削除権 | APPI第35条 / GDPR第17条 | GDPR Tombstoneによるペイロード墨消し + actor_resolution CASCADE削除による暗号学的シュレッディング(第6条及び第9条参照) |
| 利用停止請求 | APPI第35条第1項 | アカウントの論理削除によるアクセス遮断 |
| ポータビリティ権 | GDPR第20条 | 監査証跡CSVエクスポート + フレームワーク別Excel/JSONエクスポート |
| データ最小化 | APPI第20条 / GDPR第5条(1)(c) | WORM書込み前PII除去、仮名化監査証跡、電話番号ハッシュ化、通報者連絡先暗号化 |
上記の請求は、privacy@scxaudit.comまでご連絡ください。原則として、受領後30日以内に対応いたします。WORM台帳に記録されたデータの削除については、第6条の暗号学的シュレッディング及びGDPR Tombstoneにより対応します。
12. 内部告発(Grievance)データの取扱い
CSDDD(企業持続可能性デュー・ディリジェンス指令)第14条及び公益通報者保護法に基づく通報者保護の観点から、内部告発データには以下の特別な保護措置を講じています。
12.1 通報者情報の暗号化
- 通報者の氏名(
reporter_name_encrypted)及び連絡先(reporter_contact_encrypted)は、Fernet暗号化によりサーバー側で保護されます。 - 匿名通報(
is_anonymous = true)の場合、通報者情報は一切収集されません。
12.2 オフライン通報
ネットワーク接続が不安定な環境(工場、建設現場等)での通報を可能にするため、ブラウザ内IndexedDBにAES-256-GCM + RSA-OAEP-2048ハイブリッド暗号化で一時保存されます。復号はサーバー側でのみ可能であり、クライアント側では暗号文のみが保持されます。ネットワーク復帰後の同期完了時に自動削除されます。
12.3 WORM監査証跡への記録
通報に関する監査証跡は、PII除去後にWORM台帳に記録されます。通報者の個人情報はWORM台帳に一切含まれません。
13. 準拠規格・ガイドライン
本方針は、以下の法令及びガイドラインに準拠して策定されています。
- 個人情報の保護に関する法律(平成15年法律第57号)
- サイバーセキュリティ基本法(平成26年法律第104号)
- 経済産業省「AI事業者ガイドライン」(v1.0、2024年4月公表)
- 金融情報システムセンター(FISC)安全対策基準 V13
- 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン」(第3版)
- ISO/IEC 27001:2022(情報セキュリティマネジメントシステム)
- ISO/IEC 27017:2015(クラウドサービスの情報セキュリティ管理策)
12.2 HTTPセキュリティヘッダー実装
| ヘッダー | 設定値 |
|---|---|
| Content-Security-Policy | default-src 'self'; script-src 'self' 'wasm-unsafe-eval'; frame-ancestors 'none' |
| Strict-Transport-Security | max-age=63072000; includeSubDomains; preload |
| X-Frame-Options | DENY |
| X-Content-Type-Options | nosniff |
| Referrer-Policy | strict-origin-when-cross-origin |
| Permissions-Policy | camera=(), microphone=(), geolocation=() |
本方針は、個人情報の保護に関する法律(平成15年法律第57号)第20条(適正な取得)、第23条(安全管理措置)、第25条(委託先の監督)、第26条(漏えい等の報告等)、第27条(第三者提供の制限)、第28条(外国にある第三者への提供の制限)、第33条(開示)、第34条(訂正等)、第35条(利用停止等)、サイバーセキュリティ基本法(平成26年法律第104号)第2条、及びGDPR第17条(消去権)、第20条(データポータビリティ)、第44条以降(越境移転)を法的根拠として作成されています。本方針の内容に関するお問い合わせは、legal@scxaudit.com までご連絡ください。