情報セキュリティ基本方針

最終更新日：2026年2月22日

合同会社Aroza（以下「当社」）は、AIチャットボットSaaS「ChatPivot」（ベクトルストアを活用したRAG方式によるAI応答生成サービス）を含む受託開発・コンサルティング等、当社が提供する全サービスにおいて、お客様ならびに社会からの信頼を確保するため、以下のとおり情報セキュリティ基本方針を定め、役員および関係者全員がこれを遵守します。

1. 適用範囲

本方針は、当社が保有・管理する情報資産および当社が取り扱う顧客情報を対象とし、全従業員（業務委託を含む）に適用します。対象には、ChatPivotプラットフォーム上のユーザーデータ、エンドユーザーの会話データ、FAQデータ、ユーザーがアップロードしたファイル（RAG用ナレッジベース）、決済情報、およびシステムインフラに関する全ての情報資産を含みます。

2. 目的

当社は、情報資産の機密性・完全性・可用性を確保し、法令順守と事業継続を両立させることで、お客様の信頼とサービス品質を守ります。

3. 責任体制

代表社員を最高情報セキュリティ責任者（CISO）とし、情報セキュリティの推進・維持・改善に関する最終責任を負います。

4. 遵守する法令・規格

個人情報保護法、マイナンバー法
サイバーセキュリティ基本法、不正アクセス禁止法
資金決済法、割賦販売法、PCI DSS（Stripe側準拠）
ISO/IEC 27001（ISMS）取得を将来的に目指します。
IPA「中小企業の情報セキュリティ対策ガイドライン」

5. リスクアセスメント

年1回および重大変更時に、資産 × 脅威 × 脆弱性の組合せでリスク評価を実施します。
リスクスコアが 15 以上を「高リスク」と定義し、優先的に対策を講じます。
AIモデルの変更・外部API連携先の追加時には、個別のリスク評価を実施します。

6. 技術的・組織的安全管理措置

アクセス管理：最小権限原則、管理者 MFA、ゼロトラスト方針。Supabase Row Level Security（RLS）によるデータベースレベルでの行レベルアクセス制御
暗号化：TLS 1.2 以上での通信暗号化、パスワードのハッシュ化保管、Supabase によるデータベース暗号化
認証・認可：Supabase Auth による JWT ベースの認証、Edge Functions での Bearer Token 検証、Stripe Webhook 署名検証（イベントごとに個別シークレットを使用）
入力値検証：UUID フォーマット検証、メッセージ文字数制限（200文字）、メッセージ数制限（30メッセージ）、ロール検証によるインジェクション対策
ドメイン制限：チャットウィジェットの埋め込み許可ドメインをホワイトリスト方式で制御（ワイルドカード対応）
ログ・監査：API アクセスログ・管理画面の操作ログを取得・保存し、監視体制を整備
脆弱性管理：年2回の脆弱性診断、月次パッチ適用
重複処理防止：Webhook イベントの冪等性処理により、決済の重複処理を防止
BCP/DR：日次バックアップ、年1回のリストア試験

※従業員セキュリティ教育は、今後従業員雇用時に実施計画を策定します。

7. AI・外部APIに関するセキュリティ

OpenAI API との通信は全て TLS で暗号化し、API キーは環境変数として安全に管理します。用途別に個別の API キーを使い分けています。
ユーザーがアップロードしたファイルおよびFAQデータは、OpenAI のベクトルストアに格納されます。エンドユーザーの入力データは、RAG処理のために OpenAI の API を通じて米国のサーバーに送信されます。OpenAI の API データ利用ポリシーに基づき、API 経由で送信されたデータはモデルの学習に使用されません。
チャットボットの応答は、ベクトルストアに格納されたユーザーのナレッジベース（FAQおよびアップロードファイル）に基づいてRAG方式で生成され、無関係な情報の漏洩リスクを低減しています。
CDN 経由で配信されるチャットウィジェットのスクリプトは、当社が管理するインフラから提供され、改ざん検知を実施しています。

8. 事業継続計画（BCP）

目標復旧時間（RTO）：24時間以内
目標復旧時点（RPO）：12時間以内

9. 外部委託管理

業務委託・パートナー企業と契約する際は、事前評価を行い、NDA を締結し、適切な情報セキュリティ要求事項を定めます。外部SaaSサービス（Supabase、Stripe、OpenAI等）の利用にあたっては、各サービスのセキュリティ体制・認証状況を確認の上、適切な契約を締結しています。

10. コンプライアンスおよび内部監査

内部監査を年1回実施し、法令・規格・本方針の遵守状況を点検し、必要な是正措置を講じます。ISO/IEC 27001 の外部審査受審も視野に入れます。

11. インシデント対応および報告窓口

情報セキュリティインシデントを検知した場合、速やかにCISOへ報告し、原因究明・影響評価・対策を実施します。ユーザーデータに影響を及ぼすインシデントが発生した場合は、影響を受けるユーザーへ速やかに通知します。外部からの脆弱性報告は下記メールアドレスで受け付けます。

セキュリティ連絡窓口：support@aroza-inc.com

12. 方針の見直し

本方針は、技術動向・法令改正・事業内容の変化に応じて定期的に見直し、継続的改善を図ります。

2026年2月22日

合同会社Aroza 最高情報セキュリティ責任者（CISO）岩沖真之祐