セキュリティ・コンプライアンス

1. インフラストラクチャ・アーキテクチャ

Zelfiumは、業界をリードするマネージドインフラストラクチャプロバイダー上に 構築されたクラウドネイティブアーキテクチャを運用しています。当社は オンプレミスサーバーを運用していません。

• フロントエンドホスティング：Vercel — 自動SSL、 DDoS防御及びSOC 2 Type II準拠を備えたグローバルエッジネットワーク。
• APIホスティング：Railway — 自動デプロイメント、 分離環境及びSOC 2準拠を備えたマネージドコンテナインフラストラクチャ。
• データベース：Supabase — ビルトイン認証、行レベル セキュリティ、自動バックアップ及びSOC 2 Type II準拠を備えたマネージド PostgreSQL。
• CDN・DDoS防御：Cloudflare — エンタープライズグレードの DDoS緩和、Webアプリケーションファイアウォール（WAF）及びボット管理を 備えたグローバルコンテンツ配信ネットワーク。
• 決済：Stripe — PCI DSS Level 1認証の決済処理。 Zelfiumはカード保有者データを直接保管、処理又は送信することはありません。

すべてのインフラストラクチャプロバイダーがSOC 2準拠又は同等の認証を維持 しています。エッジロケーション全体にわたる地理的分散により、世界中のユーザー に低遅延アクセスを提供しています。

2. 暗号化・データ保護

• 通信中のデータ：クライアント、API及びデータベース間の すべての通信はTLS 1.3により暗号化されています。プロトコルダウングレード 攻撃を防止するため、すべてのドメインにおいてHTTP Strict Transport Security（HSTS）が適用されています。
• 保管中のデータ：データベースストレージは、Supabaseの 基盤インフラストラクチャが提供するAES-256暗号化により暗号化されています。 バックアップも同様に暗号化されています。
• APIキー・シークレット：すべての認証情報は、プラットフォーム 管理のシークレットストア（Vercel環境変数、Railway変数）に暗号化して保管 されています。シークレットがクライアント側コードに公開されること、バージョン 管理にコミットされること、又はログに記録されることはありません。
• 決済データ：決済処理はStripe（PCI DSS Level 1認証）が 全面的に処理しています。Zelfiumのシステムにクレジットカード番号、CVV 又はその他のカード保有者データが保管されることはありません。
• 診断データ：性格プロファイル及び診断結果は、 アーキテクチャ上可能な範囲において、個人を直接特定する情報（PII）ではなく UUID識別子により紐づけられており、不正アクセスが発生した場合の 情報漏洩リスクを最小化しています。

3. アクセス制御・認証

• 役割ベースアクセス制御（RBAC）：内部システムは役割ベースの 権限を適用し、各担当者が自身の職務遂行に必要なデータ及び機能のみにアクセス できることを確保しています。
• 多要素認証（MFA）：インフラストラクチャ、データベース及び デプロイメントプラットフォームへのすべての管理者アクセスにおいて必須と しています。
• ユーザー認証：Google、Microsoft及びAppleを経由した OAuth 2.0 / OpenID Connectに加え、メールアドレス・パスワード認証に対応 しています。すべての認証フローはSupabase Authを通じて管理されています。
• セッション管理：ユーザーセッションは、適切な有効期限ポリシー を備えたセキュアなHTTP-only Cookieにより管理されています。トークンが localStorageやsessionStorageに保管されることはありません。
• API認証：バックエンドAPIアクセスはJWTトークン及びAPIキー により保護されており、すべてのリクエストに対してトークン検証が実行されます。
• 最小権限の原則：データベースクエリ、APIスコープ及び インフラストラクチャ権限を含む、すべてのシステムアクセスに最小権限の原則が 適用されています。
• アクセスレビュー：本番システムへの従業員及び業務委託先の アクセスは四半期ごとに見直され、役割変更又は退職時には速やかに取り消されます。

4. AIデータ取扱い

Zelfiumは外部モデルプロバイダーを通じてAI機能を統合しています。 AI処理パイプライン全体を通じてユーザーデータが保護されるよう、 厳格なデータ取扱い管理を適用しています。

• ゼロリテンションAPI：AI機能はOpenAI GPT-4oの ゼロリテンションAPIを通じて提供されています。OpenAIは単一のAPIリクエスト 処理期間を超えて入出力データを保持せず、顧客データをモデルトレーニングに 使用しません。
• ユーザー起動型のみ：診断回答及び性格データは、ユーザーが 明示的にAI搭載機能（例：チャットベースの解釈機能）を起動した場合にのみ AIモデルに送信されます。バックグラウンドで又はユーザーの操作なくAI プロバイダーにデータが送信されることはありません。
• ユーザーデータによるトレーニングなし：性格データ、 診断回答又はユーザーコンテンツがAIモデルのトレーニングパイプラインに 共有されることはありません。AIプロバイダーとの契約において、Zelfiumの ユーザーデータによるトレーニングは明示的に禁止されています。
• 品質・安全性のモニタリング：システムプロンプト及びAI出力は、 品質、安全性並びにZelfiumのAI・診断に関する免責事項への適合性について監視されています。

当社プラットフォームにおけるAIの利用方法の詳細については、AI・診断に関する免責事項をご参照ください。

5. インシデント対応

Zelfiumは、検知、封じ込め、通知、復旧及び事後レビューを担当する セキュリティチームを配置した、文書化されたインシデント対応計画を維持 しています。

• 検知：異常なアクセスパターン、認証失敗の試行及び 予期しないデータフローを含む、すべてのインフラストラクチャコンポーネントに わたる異常活動のリアルタイム監視及びアラート。
• 封じ込め：さらなる影響を防止するための、影響を受けた システムの即時隔離手順。漏洩した認証情報は遅滞なく失効及びローテーション されます。
• 通知：インシデント確認後24時間以内にデータ管理者に通知 します。EU居住者の個人データに関わるインシデントについては、GDPR第33条に 従い、関連する監督機関への通知を72時間以内に行います。
• 復旧：ポイントインタイムリカバリ機能を備えた自動バックアップ により、影響を受けたデータ及びサービスの迅速な復元が可能です。バックアップの 完全性は定期的にテストされています。
• 事後レビュー：重大なインシデントが発生した場合、 根本原因分析を実施し、文書化された改善措置を策定します。分析結果は 再発防止のためセキュリティポリシー及び手順に反映されます。
• 重大度分類：インシデントはP0からP3の重大度レベルに分類され、 各レベルに対して定められたエスカレーション手順、対応時間目標及び コミュニケーションプロトコルが適用されます。

6. コンプライアンスロードマップ

Zelfiumは、適用されるデータ保護及びセキュリティフレームワークへの準拠を 達成し、維持することに取り組んでいます。以下の表は、当社の現在の状況及び 目標を示しています。

お問い合わせ

セキュリティに関するお問い合わせ、脆弱性の報告又はコンプライアンスに関する ご質問は、contact@zelfium.comまでご連絡ください。

データ保護に関する事項については、当社のプライバシーポリシー及びデータ処理契約もご参照ください。