TRAPACK セキュリティ対策について

Savvi株式会社は、AI ロープレ研修プラットフォーム「TRAPACK」をお客様に安心してご利用いただくため、業界標準（ISO/IEC 27001）を参考にしたセキュリティ対策を実施しています。

本ページは、当社が現在実施しているセキュリティ対策の概要を、お客様の検討にあたっての参考情報として公開するものです。お客様固有のご要件については、個別にご相談を承ります。

当社のインフラ基盤には Google Cloud Platform（GCP）を採用しており、業務データはすべて日本国内（東京リージョン）で管理しています。

1. ガバナンス・組織体制

• 情報セキュリティ基本方針を策定し、公開しています。
• 情報セキュリティ統括責任者（最高技術責任者）を任命しています。
• 全従業員・業務委託先と秘密保持契約（NDA）を締結しています。

2. データセンター・インフラ

• 国際的な第三者認証を取得した Google Cloud（GCP）のデータセンターを利用しています。
• 入退室管理・電源・空調などの物理セキュリティは GCP の管理体制に準拠しています。

3. ネットワーク・通信

• すべての通信を TLS 1.2 以上で暗号化しています。
• 保存データは AES-256 で暗号化しています。
• GCP 標準の DDoS 防御を利用しています。

4. 認証・アクセス制御

• メールアドレスによるユーザー認証を行い、すべての API リクエストに認証（JWT）を必須としています。
• 認証基盤に Google Cloud Identity Platform を採用し、SSO（SAML 2.0 / OIDC）による外部 IdP 連携に対応しています（お客様の IdP との接続は導入時に対応）。
• 多要素認証（MFA）に対応しています（SSO 連携時はお客様の IdP の MFA ポリシーを継承可能）。
• パスワードポリシー（最小文字数・複雑性要件）を設定しています。
• 役割ベースのアクセス制御（RBAC）を実装し、利用者ごとに権限を分離しています（管理者画面は専用の権限チェックを経たアクセスに限定）。
• マルチテナントのデータ分離を実装し、お客様（テナント）ごとにデータ・コンテンツを分離しています。
• 最小権限の原則に基づき、業務上必要な最小限の権限のみを付与しています。
• 管理者アカウントを分離し、アクセスを制限しています。
• データベースへの認証を経ない直接アクセスは全て拒否し、データアクセスはアクセス制御を経たバックエンド経由に限定しています。

5. データ保護

• 機密度に応じたデータ分類を実施しています。
• 個人情報保護法に準拠したデータの取り扱いを行っています。
• データの自動バックアップおよびポイントインタイムリカバリ（PITR）を有効化しており、過去 7 日間の任意の時点へのデータ復旧が可能です。
• 業務データはすべて東京リージョン（日本国内）に保存しています。
• 業務委託先以外への第三者提供は行っていません。

6. アプリケーションセキュリティ

• 依存ライブラリの脆弱性を継続的に監視しています。
• API キー等の機密情報は専用のシークレット管理サービスで管理しています。

7. ログ・監視

• アクセスログを全件記録しています。
• 監査ログを 1 年間保管しています。
• ログの改ざん防止措置を講じています。

8. インシデント対応

• セキュリティに関する連絡窓口（security@savvi.co.jp）を設置しています。

9. 委託先（サブプロセッサ）管理

• 主要な委託先（GCP / OpenAI）は国際的な第三者認証を取得済みであることを確認しています。
• クラウド事業者の ISO 27001 / SOC 2 等の認証を確認しています。

10. プライバシー・データ越境

• 個人情報保護法に準拠しています。
• 音声処理の一部で米国（OpenAI）を一時的に経由する場合がありますが、最終的なデータ保存は東京リージョンで行い、その旨を明示しています。

11. AI 固有のセキュリティ

• 利用する AI（OpenAI / Google）はいずれも、API 経由のデータを学習に利用しない契約・規約となっています。
• AI による採点結果は、管理者（スーパーバイザー）が確認・監督できる仕組みとしています。