基本方針

当事業（屋号: tools24.jp、以下「当事業」）は、AI口コミ返信ジェネレーター「MyReplyTone」をはじめとするWebサービスの運営において、お客様からお預かりする情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき情報セキュリティ対策に全力で取り組みます。

1. 情報セキュリティの取り組み

当事業は、情報セキュリティに関する法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えうる情報セキュリティ体制を確立し、維持・改善してまいります。

2. 情報資産の管理

当事業が取り扱う情報資産に対して、適切な安全対策を実施し、機密性・完全性・可用性を確保します。具体的には以下の対策を講じています。

全通信のSSL/TLS暗号化（HTTPS）
データベースの行レベルセキュリティ（RLS）による利用者間のデータ隔離
Content Security Policy（CSP）をはじめとするセキュリティヘッダーの設定
HSTS（HTTP Strict Transport Security）によるHTTPS強制
決済情報の非保持（PCI DSS Level 1 準拠の Stripe に委託）
パスワード・認証情報のハッシュ化保存
外部AIサービスへの送信データの最小化（個人識別情報を含めない設計）

3. 法令・規範の遵守

当事業は、情報セキュリティに関連する法令（個人情報保護法、不正アクセス禁止法等）、その他の規範を遵守します。

4. 利用する外部サービスの管理

当事業が利用する外部サービス（クラウドインフラ、決済、AI API等）については、各サービス提供者のセキュリティ方針を確認し、適切なサービスを選定しています。

Supabase: データベース・認証基盤。SOC 2 Type II 取得済み
Vercel: ホスティング・デプロイ基盤。SOC 2 Type II 取得済み
Stripe: 決済処理。PCI DSS Level 1 準拠
Anthropic（Claude API）: AI処理。API経由のデータはモデル学習に使用されない方針

5. 違反および事故への対応

万一、情報セキュリティに関する事故が発生した場合は、速やかに原因を究明し、被害の拡大防止に努めるとともに、再発防止策を講じます。必要に応じて、関係機関への報告および影響を受けるお客様への通知を行います。

6. 継続的な見直し・改善

当事業は、情報セキュリティに関する取り組みを定期的に見直し、技術の変化やサービスの拡大に合わせて継続的に改善してまいります。IPAの「5分でできる！情報セキュリティ自社診断」を定期的に実施し、対策の実効性を確認します。

7. 情報セキュリティ5か条

当事業は、IPAが推奨する「情報セキュリティ5か条」を実践しています。

OSやソフトウェアは常に最新の状態にする
フレームワーク（Next.js）やライブラリの依存関係を定期的に更新しています。
ウイルス対策ソフトを導入する
開発環境にはウイルス対策ソフトを導入し、定義ファイルを自動更新しています。
パスワードを強化する
各種サービスのアカウントには強固なパスワードと二要素認証を設定しています。
共有設定を見直す
データベースのRLS設定、APIキーの権限、リポジトリのアクセス制御を適切に管理しています。
脅威や攻撃の手口を知る
IPAのセキュリティ情報やCVEデータベースを定期的に確認し、最新の脅威情報を把握しています。

8. お問い合わせ

本方針に関するご質問は、以下の連絡先までお問い合わせください。

運営: tools24.jp
メール: tools24.riku@gmail.com
お問い合わせページ: https://myreplytone.com/contact

情報セキュリティ基本方針