Skip to Content

情報セキュリティ方針

最終更新日:2026年3月24日

TocoAI(以下「本サービス」といいます。)は、TocoAI Pte. Ltd.(以下「当社」または「TocoAI」といいます。)が提供するサービスです。当社は、情報セキュリティを製品設計の核心原則と位置づけ、ユーザーのコード、入力内容、生成出力等の重要な情報資産を保護することに尽力します。このため、当社は本情報セキュリティ方針(以下「本方針」といいます。)を策定し、組織的・技術的な措置を通じてこれを着実に実施し、ユーザーおよび関係者の信頼を獲得します。

1. 情報セキュリティの目的

当社は、ユーザーから委託された情報資産(入力内容、出力内容、アカウント情報等)を、漏洩、紛失、不正アクセス、破壊、改ざん等の脅威から保護することを目的とし、情報セキュリティ目標を定め、その達成状況を定期的に評価します。安全で信頼性の高いAI支援開発サービスを提供することで、ユーザーに継続的な価値を提供します。

2. 情報資産の管理

当社は、ユーザーの情報資産に対し、以下の厳格な管理・保護措置を実施します。

(1) 基本的な約束

  • ユーザーの入力(要件記述、プロンプト、既存コードスニペット等)および出力(生成されたドメイン固有モデル、バックエンドコード、フローチャート等)は、いかなるAIモデルの訓練または改善にも使用しません。
  • デフォルトモードでは、ユーザーの入力および出力を保存せず、リクエスト処理中のみ一時的に使用し、処理完了後直ちに破棄します(ゼロ保持ポリシー)。
  • 入力および出力は処理プロセスにおいて完全に隔離され、ユーザー間で共有されることはありません。

(2) インフラストラクチャおよびデータ所在地

本サービスの中核インフラストラクチャは、主に米国所在のAWS、Google CloudおよびAzureのデータセンターで運用され、高性能と高可用性を確保しています。また、データレジデンシー設定に対応しており、日本国内、アジア太平洋地域またはEU地域へのデータ保管を希望される場合は、contact@tocoai.dev までご連絡ください。技術的に可能な範囲で適切な方案を評価・支援いたします。

(3) AIリクエストおよびコンテンツ処理

当社はLLM提供事業者とゼロデータ保持契約を締結し、ユーザーのコンテンツが訓練その他の目的で保持されないことを保証します。すべての生成リクエストは安全なAPIチャネルを通じて送信され、TLS 1.3による暗号化が適用されます。

(4) 具体的なセキュリティ対策

  • 暗号化: 転送時はTLS 1.3、保存時はAES-256暗号化を採用。
  • アクセス制御: 最小権限の原則(IAMロール)を厳格に遵守し、社内アクセスには多要素認証(MFA)を必須とします。
  • ログおよび監視: すべての重要な操作をログ記録し、リアルタイムで異常行動を監視します。
  • 脆弱性管理: 定期的な自動脆弱性スキャンを実施し、毎年第三者によるペネトレーションテストを行い、重大な脆弱性は7日以内に修正します。
  • インシデント対応: 詳細なインシデント対応計画を整備し、重大なセキュリティ事件が発生した場合は、影響を受けたユーザーに対し72時間以内に通知し、必要に応じて適切に公表します。

3. 法令等の遵守

当社は、日本国の「個人情報の保護に関する法律」(APPI)その他関連する情報セキュリティに関する法令、ガイドライン、契約上の要求および国際基準を厳格に遵守し、情報処理の適法性および適切性を確保します。

4. 教育訓練の実施

当社は、全役職員および関係者に対し、情報セキュリティに関する教育訓練を定期的に実施し、本方針およびセキュリティ対策の重要性に対する理解を深め、全員が正しく理解し確実に遵守できるようにします。

5. 情報セキュリティ事件(事故)の管理

当社は、情報セキュリティ事件の発生防止に努めるとともに、事件が発生した場合には迅速に対応し、原因を調査し、是正措置を講じ、ユーザーの被害を最小限に抑えるよう努めます。

6. 認証およびコンプライアンス

当社は、AWS、Google CloudおよびAzureの企業グレード認証を活用しています。

  • SOC 2 Type II
  • ISO 27001 / 27017 / 27018
  • その他関連国際基準

当社は自社におけるSOC 2 Type II認証の取得を積極的に推進しており、取得後は本方針を速やかに更新します。

7. 継続的改善

当社は、情報セキュリティ対策の実施状況および本方針の内容を定期的に見直し、技術の進歩、業務環境の変化およびユーザーからのフィードバックを踏まえて必要な改善を行い、情報セキュリティレベルを継続的に向上させます。

8. 脆弱性報告および連絡先

本サービスのセキュリティ脆弱性を発見した場合、または情報セキュリティに関するご質問がある場合は、以下のメールアドレスまでご連絡ください。

メールアドレス: contact@tocoai.dev

当社は、セキュリティ事件報告に対し72時間以内に回答し、必要に応じて適切な公表措置を講じます。

9. アカウント削除

ユーザーはいつでも当社に連絡し、アカウントの削除を請求することができます。アカウント削除後、ユーザーの個人情報およびコンテンツは合理的な期間内に完全に削除されます(バックアップコピーは最大90日間保持)。

当社は、セキュリティ対策の継続的な監視と改善に努めます。本方針に重大な変更がある場合は、公式ウェブサイトへの掲示または電子メール等によりユーザーにお知らせします。

TocoAI セキュリティチーム