Typolessのセキュリティー

入力文章を保存しない設計と、ISO/IEC27001:2022認証に基づく運用体制

セキュリティーへの取り組み

安全な非公開情報の校正

入力された文章はサーバーに残らないため、機密情報を含む文章でも、セキュアに校正作業を行うことができます。

AI学習に利用されません

入力された文章はAI学習に使用されず、サーバーに保存されません。

ISO/IEC27001:2022認証取得

Typolessチームでは、ISO/IEC27001:2022認証を取得した堅牢な情報セキュリティーマネジメントシステムを構築しています。

IdP連携

ご利用中のIdP(Office365、Google Workspaceなど)と連携できます。※エンタープライズ版のみ

コンプライアンス

個人情報保護法を遵守し、ユーザーの個人情報を適切に管理します。

プライバシー保護

当社のプライバシーポリシーに基づき、ユーザー情報を適切に管理しています。

※カスタム辞書・参照ドキュメントは、機能の性質上サーバー上に保存されます。AIの学習に利用されることはありません。

ISO/IEC27001:2022 認証範囲

ISMS認証マーク(IAS / G-CERTi、登録番号 GIJP-1432-IC、ISO/IEC 27001:2022)
組織
株式会社 朝日新聞社 メディア事業本部:サービス開発部・ビジネスソリューション部 / CTO室:メディア研究開発センター
活動
AIプロダクトの開発・研究・販売
登録番号
GIJP-1432-IC

セキュリティーQ&A

セキュリティーチェックシートでよくいただく質問への回答を、開示できる範囲で公開しています。お客様のセキュリティー評価・チェックシート記入にそのままご活用いただけます。

最終更新 2026-06-19・全 98 項目

コンプライアンス・第三者認証

6項目
第三者認証(ISO/IEC 27001)を取得していますか?
はい。ISO/IEC 27001:2022 認証を取得・維持しています(登録番号 GIJP-1432-IC)。
準拠法は何ですか?GDPRには対応していますか?
準拠法は日本法です。日本国内向けのサービスのため、GDPRの直接適用はありません。
政府からの個人情報提供要請にはどう対応しますか?
法的根拠がある場合に限り、必要最低限の範囲で対応します。原則として利用者へ速やかに通知し、対応内容を記録します。
監査は実施していますか?
はい。ISMSの枠組みのもと、内部監査(年1回)および外部監査(年1回)を実施しています。
反社会的勢力排除に関する方針はありますか?
はい。当社および当社の役員・従業員は、反社会的勢力と一切の関係を持たないことを誓約します。
お客様や指名した第三者による直接監査は可能ですか?
お客様または指名された第三者による当社への直接監査は、現行の標準契約では規定していません。ISO/IEC 27001:2022 に基づく定期的な外部監査によって、セキュリティ対策状況を担保しています。

セキュリティ方針・組織体制

11項目
情報セキュリティ基本方針を策定・文書化していますか?
はい。ISMSに基づき、物理セキュリティ、情報セキュリティ、事業継続管理(BCP)、インシデント管理を含む情報セキュリティ方針および関連手順を正式に文書化し、トップマネジメントが承認しています。
セキュリティ方針を定期的に見直していますか?
はい。ISMS内部監査およびマネジメントレビューを通じて方針・手順の妥当性と有効性を確認しており、内部監査・外部監査をそれぞれ年1回実施しています。
情報セキュリティ管理体制を整備し、責任者を任命していますか?
はい。ISMS委員会を設置して方針策定・運用レビュー・改善指示を行い、情報セキュリティ責任者(CISO)を任命しています。
情報セキュリティリスクアセスメントを実施していますか?
はい。ISMSの枠組みに基づき、リスクの特定・分析・評価を行って対策の優先順位を決定しており、年1回見直しを実施しています。
従業員に対してセキュリティ教育を定期的に実施していますか?
はい。全従業員を対象に情報セキュリティ教育を年1回実施し、受講記録を管理しています。
セキュリティインシデントを想定した対応訓練を実施していますか?
はい。インシデントを想定した対応訓練を年1回実施し、初動対応と周知方法を確認しています。
従業員や委託先と秘密保持契約(NDA)を締結していますか?
はい。従業員および委託先と秘密保持契約を締結しており、雇用契約には情報資産保護に関する条項を盛り込んでいます。
入退社や異動に伴うアカウント・権限の付与/剥奪を適切に行っていますか?
はい。入退社や異動に伴うアカウント・権限の付与/剥奪を定められた手続きに基づき実施し、手順書を定期的に見直しています。
採用時に経歴確認(バックグラウンドチェック)を実施していますか?
はい。採用・契約時に経歴確認を実施しています。
最小権限の原則に基づく権限管理を行っていますか。
はい。最小権限の原則に基づき権限を管理しています。アカウントは個人単位で発行し、共有アカウントの禁止を明文化したうえで、アクセス権限の棚卸を定期的に実施しています。
特権アカウント(管理者権限)の管理はどのように行っていますか。
特権アカウントは最小限の人数に限定し、利用者用と管理者用の ID を厳密に分離しています。特権操作は監査ログに記録しています。

認証・アクセス制御

9項目
多要素認証(MFA)に対応していますか。
はい。認証基盤に Auth0 を採用し、MFA に対応しています。パスワードに加えてワンタイムパスワード(OTP)、セキュリティキー、ユーザー個別の証明書を組み合わせた認証や、パスキーによる多要素パスワードレス認証が利用可能です。
SSO(シングルサインオン)に対応していますか。
はい。SAML および OIDC に対応しており、お客様の IdP との連携が可能です(オプションでの提供となります)。
パスワードポリシーはどのようなものですか。
最小 8 文字以上(増加可能)で、英小文字・英大文字・数字をすべて含むことを必須としています。パスワードの再利用制限も設定可能です。
アカウントロックアウトの仕組みはありますか。
はい。ログインに一定回数連続して失敗するとアカウントをロックします。ロック時はご本人にメールが送信され、メールから解除いただけます。
接続元 IP アドレスによるアクセス制限は可能ですか。
はい。オプションで対応可能で、特定の IP アドレスからのアクセスのみを許可する設定ができます。
セッションタイムアウトは設定されていますか。
はい。セッションには有効期限を設定しており、一定時間で自動的に失効します。
リスクベース認証や不正ログイン検知の仕組みはありますか。
はい。リスクベース認証を導入しており、リスクがあると判断された場合は追加の認証を求め、またはログインをブロックします。
API 認証の仕組みはどのようなものですか。
API キーによる認証を採用しています。アクセストークンには有効期限を設定し、通信は HTTPS で暗号化しています。
ロールベースアクセス制御(RBAC)の権限レベルはどのようなものがありますか。
組織向けに 4 つのロールを提供しています。管理者(全権限)、辞書編集者(辞書・ルール編集と校正機能の利用)、メンバー(校正機能の利用のみ)、支払い管理者(支払い・組織管理のみで校正機能は利用しない)です。

データ保護・暗号化

7項目
通信は暗号化されていますか。利用しているプロトコルを教えてください。
はい。TLS 1.2 / 1.3 を利用し、安全なプロトコルと暗号アルゴリズム、十分な鍵長の組み合わせのみを使用しています。HSTS(Strict-Transport-Security)ヘッダーを設定し、信頼できる認証局が発行したサーバー証明書を利用しています。API 通信も HTTPS で暗号化しています。
保存データは暗号化されていますか。暗号化方式を教えてください。
はい。保存データは AES-256 で暗号化しています。パスワードは認証基盤(Auth0)側で bcrypt によりハッシュ化して保護しており、当社システムでは保持していません。
暗号鍵の管理はどのように行っていますか。
暗号鍵はホスティング事業者の鍵管理サービスにより管理されています。
バックアップデータは暗号化されていますか。
はい。安全な暗号方式と十分な鍵長により、バックアップデータを暗号化しています。
パスワード等の認証情報はどのように保護されていますか。
認証基盤に外部サービス(Auth0)を利用しており、パスワード等の認証情報は当社システムでは保持していません。Auth0 の管理下で適切に暗号化・保護されています。
セッションデータはどのように保護されていますか。Cookie のセキュリティ設定を教えてください。
セッション用 Cookie には HttpOnly(JavaScript からアクセス不可)、Secure(HTTPS 通信下でのみ送信)、SameSite=Lax(CSRF 対策)を設定し、セッションに有効期限を設けて保護しています。
データベースへの接続は暗号化されていますか。
はい。データベースへの接続は TLS で暗号化しています。接続に用いる認証情報は秘密管理サービスで管理し、定期的に自動ローテーションを実施しています。

アプリケーションセキュリティ

22項目
脆弱性診断は実施していますか。頻度や対象も教えてください。
はい。Webアプリケーション全体(OWASP Top 10 準拠)を対象に、第三者機関による脆弱性診断を定期的に実施しています。
ペネトレーションテスト(侵入テスト)は実施していますか。
脆弱性診断の一部として部分的に実施していますが、独立したペネトレーションテストの定期的な実施は行っていません。
脆弱性情報の収集とセキュリティパッチの適用方針はありますか。
はい。OS・ミドルウェア・ライブラリ等の脆弱性情報やEOL/EOS情報を収集し、重大度に応じた優先度でセキュリティパッチやアップデートを適用する運用となっています。
ソースコードの静的解析やコードレビューは実施していますか。
はい。静的解析(SAST)ツールによるコード品質・セキュリティチェックに加え、プルリクエストベースのコードレビューを実施しています。
顧客側から脆弱性診断やペネトレーションテストを実施できますか。
お客様側からの脆弱性診断やペネトレーションテストの実施には対応しておりません。当社にて定期的に第三者機関による脆弱性診断を実施しています。
ユーザー入力の検証(バリデーション)はどのように行っていますか。
はい。フロントエンド・バックエンドの双方で入力検証を実施しています。
依存ライブラリの脆弱性管理やコード品質の担保はどのように行っていますか。
はい。フロントエンド・バックエンドそれぞれで依存関係を管理し、自動スキャンにより脆弱性を検出しています。コード品質はリンターや型チェック、CI上の自動テストで担保し、人によるレビューとSAST等のツールによる自動検証を併用しています。
変更管理・リリース管理のプロセスはありますか。
はい。GitHubでソースコードをバージョン管理し、プルリクエストベースのコードレビューを経てリリースしています。CI/CDパイプラインによる自動デプロイを行い、コーディング規約の整備、人によるレビューとSAST等のツールによる自動検証、構成管理・変更管理による可視化を実施しています。
開発環境と本番環境は分離されていますか。
はい。開発環境と本番環境を分離しており、本番データを本番環境以外で利用することは禁止しています。
WAF(Webアプリケーションファイアウォール)を導入していますか?
はい。WAFを導入し、マネージドルールによってアプリケーション層(L7)への攻撃対策を実施しています。
DDoS攻撃への対策は実施していますか?
はい。ネットワーク層(L3/L4)とアプリケーション層(L7)の双方でDDoS対策を実施しており、悪意のある攻撃を検知すると自動で検証・ブロックを行います。
不正侵入検知・防御(IPS/IDS相当)の仕組みはありますか?
専用の IPS/IDS 製品は導入していませんが、ホスティング基盤の自動防御機能とアプリケーション層の検知・防御機能により、不正な侵入を防止しています。
SQLインジェクション対策は実施していますか?
はい。SQL文に値を直接埋め込まず、ORMとパラメータバインディングによる安全なクエリ発行を行っています。あわせてフロントエンド・バックエンドの双方で入力値の検証を実施しています。
クロスサイトスクリプティング(XSS)対策は実施していますか?
はい。出力時のエスケープ処理と入力値チェックを実施し、CookieへのHttpOnly属性付与、X-Frame-OptionsヘッダおよびCSP(Content Security Policy)の設定によりXSSを防止しています。
CSRF(クロスサイトリクエストフォージェリ)対策は実施していますか?
はい。フレームワーク標準のCSRF対策機能を利用しています。あわせてCookieにSameSite属性を設定し、認証トークンによるアクセス制御をHTTPS通信上で実施しています。
セッション管理やセッションハイジャック対策はどうなっていますか?
はい。セッションIDは推測困難な方式で生成し、URLには格納しません。CookieにSecure属性を設定し、ログイン成功後に新しいセッションを開始することでセッションハイジャックを防止しています。
Webサイトの改ざんへの対策はありますか?
はい。即時ロールバック可能なデプロイ基盤を利用しており、改ざんが検知された場合は直前の正常なデプロイへ迅速に復旧できます。
バッファオーバーフロー対策は実施していますか?
はい。メモリに直接アクセスしない言語(JavaScript/TypeScript、Python)で実装しており、バッファオーバーフローのリスクを構造的に低減しています。
クリックジャッキング対策は実施していますか?
はい。X-Frame-Optionsヘッダを出力し、クリックジャッキング攻撃を防止しています。
HTTPヘッダインジェクション対策は実施していますか?
はい。フレームワークの標準機能によりHTTPレスポンスヘッダを適切に処理しています。
メールヘッダインジェクション対策は実施していますか?
メール送信は外部サービスに委託しており、当社アプリケーションから直接メールを送信する機能はないため、該当しません。
マルウェア対策やアップロードファイルのスキャンは実施していますか?
はい。サーバーレス環境ではホスティング事業者標準のウイルス対策が適用され、開発・運用端末にはEDRを導入してパッチ適用・Webフィルタリング・ソフトウェア制限を実施しています。PDF校正のファイルは校正処理のため一時的にクラウドストレージへ保存され、処理後に削除します。削除漏れに備えて1日経過で自動削除し、復元用コピーも残さず、長期保存は行いません。

インフラ・ネットワーク・監視

13項目
データベースへのアクセス制御はどのようになっていますか。
データベースは外部から隔離されたネットワーク内に配置し、最小権限の原則に基づいてアクセスを制御しています。接続に用いる認証情報は秘密管理サービスで安全に管理しています。
クラウド・インフラ管理画面へのアクセスはどのように認証していますか。
インフラアカウントは多要素認証(MFA)を必須とし、緊急用アカウントを除く全ユーザーに適用しています。セッションには有効期限を設定しています。
どのような監査ログを取得していますか。
イベントログ(例外・エラー・障害・セキュリティインシデント)、利用者および管理者の認証・アクセス・操作ログを取得しています。
ログの保存期間はどのくらいですか。
ログの保存期間は13ヶ月です。利用者向けのログは活用レポート画面で期限なく画面表示・ダウンロードが可能です。
ログの改ざん防止策はありますか。
アクセス制御と保存時暗号化、および文書化された運用手順により、ログへの不正アクセス・改変リスクを低減しています。手順は定期的に見直しています。
セキュリティ監視は24時間365日実施していますか。
24時間365日で監視を実施しています。パフォーマンス監視・死活監視・外形監視・不正アクセス監視等により、サービスの稼働状況とセキュリティ上の兆候を継続的に確認しています。
利用者側でログを確認・エクスポートできますか。
はい。活用レポート画面でいつでもエクスポート可能で、期限なく画面表示・ダウンロードできます。ログインID、ログイン日時、各校正機能の利用日時、指摘の採用・無視日時、PDFのアップロード・ダウンロード日時、校正文字数等を確認できます。
ログの時刻同期は実施していますか。
NTP等を利用して時刻同期を実施しています。
データセンターの所在地はどこですか。海外への転送はありますか。
データの保存は日本リージョンのみで行っています。一部のデータ処理やシステムのビルドで米国リージョンを経由する場合がありますが、通信は暗号化され、テキスト校正で入力された文章はサーバーに保存せず、学習にも利用しません。長期保存も行いません。
データセンターの物理セキュリティ対策はどうなっていますか。
自社データセンターは保有しておらず、クラウド事業者の提供するIaaS/PaaSを利用しています。データセンター選定にあたり、入退室管理や自然災害への対策等の物理的セキュリティ対策を確認しています。
他の顧客のデータと分離されていますか(テナント分離)?
はい。マルチテナントとして論理的に分離しています。また開発環境と本番環境も分離しています。
不要なポートは閉じられていますか?
はい。サーバーレス環境を利用しており、不要なポートはデフォルトで閉じられ、必要なポートのみを開放しています。
CSPやHTTPセキュリティヘッダーは設定されていますか?
はい。CSP(Content Security Policy)はdefault-src 'self'を基本とし、必要なドメインのみを許可しています。あわせてX-Frame-Options、X-Content-Type-Options: nosniff、Strict-Transport-Security(HSTS)の各HTTPセキュリティヘッダーを設定しています。

可用性・事業継続

8項目
サービスの稼働率やSLAはどのように公開されていますか。
サービスは計画停止を除き24時間365日提供しています。SLAは設定しておらず、稼働実績はステータスページでリアルタイムに公開しています。
目標復旧時間(RTO)や目標復旧時点(RPO)は定めていますか。
RTOは3時間(平日10〜18時)を目標としています。RPOは継続的バックアップにより直近の復旧可能時点まで保証し、バックアップ保持期間は7日間です。
バックアップの頻度・保存期間・保存場所はどうなっていますか。
バックアップは毎日取得しています。カスタム辞書データは日次で7世代(7日間)保存し、アプリケーションや環境はサービス継続中すべてのバージョンを保存しています。バックアップデータは複数のアベイラビリティーゾーン(物理的に分離した施設)かつ論理的に分離した環境に保存し、取得状況を定期的に確認しています。
BCP/DR(事業継続・災害復旧)計画は策定していますか。
BCP/DRP を策定しており、定期的な見直しと実機訓練を実施しています。災害発生時の復旧は、対応可能な場合1週間以内を目標としています。
システムは冗長化されていますか。
マルチアベイラビリティーゾーン構成を採用し、複数のデータセンターにわたって展開しています。
サポートの受付時間や回答時間はどうなっていますか。
平日10:00〜18:00(祝日・年末年始を除く)にメールで受け付けており、原則2営業日以内に回答します。
計画メンテナンスの際は事前に通知されますか。
計画的なメンテナンス等で停止する場合は、原則として事前にサービス内でお知らせします。
サービス終了時のデータの取り扱いや通知はどうなりますか。
サービスを終了する場合は、利用規約に基づきサービス内のお知らせまたはユーザーへの通知により事前に告知します。お客様のデータは、ご要望に応じてエクスポート・削除に対応します。

インシデント対応

4項目
セキュリティインシデント発生時の対応手順は整備されていますか。
はい。インシデント対応の役割・責任を明確にした対応手順を確立しており、定期的に見直しています。
インシデント発生時の通知体制はありますか。委託元のデータに影響する場合の報告プロセスも教えてください。
はい。お客様のデータに影響しうるセキュリティインシデントが発生した場合は、確立した対応手順に基づき速やかにご連絡いたします。
インシデントの記録・分析や再発防止策の実施はしていますか。
はい。インシデント発生時は記録を残して振り返りを実施し、再発防止策を対応手順の改善に反映しています。
過去に重大なセキュリティインシデントや情報漏洩は発生していますか。
本ページ更新時点で、お客様データの漏洩を伴う重大なセキュリティインシデントは認識していません。インシデントが発生した場合は、確立した対応手順に基づき、速やかにお客様へ通知し、必要に応じて公表します。

プライバシー・個人データの取り扱い

9項目
個人情報保護法に対応していますか?
はい。個人情報保護法に対応しており、取扱い方針は利用規約・プライバシーポリシーに記載し、どなたでも参照できるよう公開しています。
どのような個人データを取り扱っていますか?
取り扱う個人データは登録・ログイン用のメールアドレスが中心です。
クレジットカード情報は保管していますか?
クレジットカード情報は決済代行の Stripe に委託しており、当社システムでは保持しません。
テキスト校正で入力した文章はサーバーに保存されますか?
テキスト校正で入力された文章はサーバーに保存しません。なお、カスタム辞書・参照ドキュメント等、機能の性質上保存が必要なデータは除きます。
個人データの第三者提供はありますか?
営業・顧客対応の一部を外部企業に委託しており、その範囲でメールアドレス等を提供しています。委託先の監督を実施しています。
Cookie や利用者情報の外部送信はありますか?
はい。アクセス解析・マーケティング・認証・機能配信等のため Cookie を利用し、Google Tag Manager / Google アナリティクス、HubSpot、Statsig 等へ利用者情報(匿名化した識別子を含む)を送信しています。送信先・利用目的の詳細は、電気通信事業法の外部送信規律に対応し、朝日新聞社「利用者情報の外部送信について」で開示しています。
契約終了時のデータ削除はどのように行われますか?
ご要望をいただいた場合、1〜2営業日で削除いたします。ただし、お問い合わせに用いられたメールアドレスや契約情報などは削除の対象外となります。
記憶媒体の廃棄やデータの完全消去はどうなっていますか?
クラウドサービスを利用しており、物理的な記憶媒体は当社で保有していないため、媒体の廃棄はクラウド事業者側で適切に管理されています。
サービス利用終了時のデータの返却・削除はどうなりますか?
カスタム辞書のデータはCSV形式でいつでもダウンロードでき、利用終了時のカスタム辞書・ルールは速やかに削除します。ご要望に応じたデータ削除は1〜2営業日で行い、消去・廃棄は復元できない状態で実施します。入力文章は保存していないため対象外で、メールアドレスや契約情報などは削除対象外となります。

サブプロセッサ・外部委託先

5項目
利用しているクラウドサービス(サブプロセッサ)を教えてください。
主要なインフラおよびデータ保管には AWS・Microsoft Azure・Google Cloud を利用しています。認証・決済等の機能は専門事業者(Auth0・Stripe 等)に委託し、生成AIは OpenAI・Microsoft(Azure OpenAI)・Google を利用しています。このほか、ソースコード管理・CRM・エラー監視・外形監視・フィーチャーフラグ配信等で SaaS を利用しています。各事業者ごとの利用目的の詳細は、契約者向けに個別開示しています。
外部委託先を利用していますか?どのような業務を委託していますか?
はい。アプリケーション開発業務およびカスタマーサポートで外部委託先を利用しています。委託先にはセキュリティ対策、インシデント発生時の報告・対処、情報の消去、関連法令の遵守、監査権などを要求事項として文書化しています。
外部委託先の選定・管理基準はありますか?定期的な評価は実施していますか?
はい。外部委託先の選定・管理について方針と基準を定め、セキュリティ要件等を合意・文書化したうえで、年1回、評価・見直しを実施しています。
再委託先の管理はどうしていますか?
再委託は契約書で規定し、許可制としています。再委託先にも同等のセキュリティ要件を求めています。
利用している外部サービスのセキュリティ確認はしていますか?
はい。外部サービスの利用時にヒアリングシートに基づきセキュリティ水準を確認し、年1回見直しを実施しています。

AI・生成AIの利用

4項目
入力した文章やファイルがAIモデルの学習に利用されることはありますか?
テキスト校正・PDF校正・各種アドインでの校正を含めて、お客様が入力された文章・ファイルは学習に利用されません。
AI利用に関するガバナンスや倫理方針はありますか?
はい。AIサービスの利用者向け利用規約を整備し、学習データの収集・利用に関する法令遵守のルールを定めています。AIの出力結果・判断根拠を定期的に評価してバイアス等を継続的にモニタリングし、AIに関する攻撃手法や動向についても情報収集して対応しています。
どの機能で、どの生成AIを利用していますか?
AI校正・良文サポートの修正案生成・ルール辞書AIフィルタ・炎上リスクチェック・参照チェックの各機能で生成AIを利用しています。提供プロバイダは OpenAI 社、Microsoft(Azure OpenAI Service)、Google(Gemini)です。具体的なモデル名・バージョンは非開示としています。
入力データは生成AI事業者側でどのくらい保持されますか?
お客様の入力は生成AIモデルの学習・改善には利用されません。一方で、各AI事業者の規約に基づき、不正利用の検知・防止および法令対応の目的で、限定された期間ログが保持される場合があります。

記入済みセキュリティーチェックシート

セキュリティーチェックシートの提出が必要な場合は、以下の記入済みチェックシートを参考に、お客様ご自身でご記入いただいています。経済産業省および情報処理推進機構(IPA)が公開するチェックリストに準拠した、運用や開発体制に関わる網羅的な観点で構成されています。「Typoless」がお客様のセキュリティー基準を満たしているかのご確認にご活用ください。

Q&Aやチェックシートにない確認事項は、お気軽にお問い合わせください。

お問い合わせ