セキュリティチェックシート
JISA/経産省ガイドラインに準拠した形式で情報を公開しています
最終更新日:2026年1月22日
目次
1. 事業者情報
| No. | 確認項目 | 回答 |
|---|---|---|
| 1-1 | 会社名 | 株式会社ネットフラワーズ |
| 1-2 | 所在地 | 静岡県御前崎市御前崎60-1 |
| 1-3 | 設立年 | 2006年 |
| 1-4 | 資本金 | 300万円 |
| 1-5 | 従業員数 | 5名以下 |
| 1-6 | 問い合わせ窓口 | [email protected] / 052-846-2077 |
| 1-7 | セキュリティ報告窓口 | [email protected] |
2. サービス概要
| No. | 確認項目 | 回答 |
|---|---|---|
| 2-1 | サービス名 | AIボタン |
| 2-2 | サービス内容 | AIチャットボットウィジェットサービス(SaaS) |
| 2-3 | サービスURL | https://aibutton.jp |
| 2-4 | サービス提供形態 | SaaS(マルチテナント) |
| 2-5 | サービス提供開始年 | 2025年 |
| 2-6 | 利用規約URL | https://aibutton.jp/terms |
| 2-7 | プライバシーポリシーURL | https://aibutton.jp/privacy |
3. 組織・体制
| No. | 確認項目 | 回答 |
|---|---|---|
| 3-1 | 情報セキュリティ責任者の設置 | ○ 代表取締役が兼任 |
| 3-2 | 情報セキュリティポリシーの策定 | ○ 策定済み |
| 3-3 | 従業員へのセキュリティ教育 | ○ 入社時および定期的に実施 |
| 3-4 | 機密保持契約(NDA)の締結 | ○ 全従業員と締結 |
| 3-5 | インシデント対応体制 | ○ 対応フロー策定済み |
4. 物理的セキュリティ
| No. | 確認項目 | 回答 |
|---|---|---|
| 4-1 | データセンター所在地 | 日本国内 |
| 4-2 | データセンター事業者 | さくらインターネット株式会社 |
| 4-3 | データセンターの認証 | ISO 27001、SOC 2 Type II(さくらインターネット取得) |
| 4-4 | 入退室管理 | ○ データセンター事業者にて実施 |
| 4-5 | 監視カメラ | ○ データセンター事業者にて設置 |
| 4-6 | 耐震・防火対策 | ○ データセンター事業者にて実施 |
| 4-7 | 停電対策(UPS・自家発電) | ○ データセンター事業者にて実施 |
5. ネットワークセキュリティ
| No. | 確認項目 | 回答 |
|---|---|---|
| 5-1 | 通信の暗号化(SSL/TLS) | ○ TLS 1.2以上を強制 |
| 5-2 | HTTPS対応 | ○ 全通信でHTTPS必須(HTTPは自動リダイレクト) |
| 5-3 | SSL証明書 | Let's Encrypt(自動更新) |
| 5-4 | ファイアウォール | ○ Cloudflare WAF + サーバーファイアウォール |
| 5-5 | WAF(Webアプリケーションファイアウォール) | ○ Cloudflare WAF |
| 5-6 | DDoS対策 | ○ Cloudflare DDoS Protection |
| 5-7 | IDS/IPS | △ Cloudflare WAFにて一部対応 |
6. アプリケーションセキュリティ
| No. | 確認項目 | 回答 |
|---|---|---|
| 6-1 | フレームワーク | Laravel(PHP)- セキュリティアップデート随時適用 |
| 6-2 | SQLインジェクション対策 | ○ プリペアドステートメント使用 |
| 6-3 | XSS(クロスサイトスクリプティング)対策 | ○ 出力エスケープ |
| 6-4 | CSRF(クロスサイトリクエストフォージェリ)対策 | ○ CSRFトークン検証 |
| 6-5 | セッションハイジャック対策 | ○ ログイン時セッション再生成 |
| 6-6 | セキュリティヘッダー | ○ X-Frame-Options, X-Content-Type-Options等設定 |
| 6-7 | 脆弱性診断の実施 | △ 不定期実施 |
7. データ管理
| No. | 確認項目 | 回答 |
|---|---|---|
| 7-1 | データ保管場所 | 日本国内 |
| 7-2 | データベース | MySQL 8.0 |
| 7-3 | 保管データの暗号化 | △ パスワードはbcryptハッシュ化、その他データは平文 |
| 7-4 | バックアップ頻度 | 日次 |
| 7-5 | バックアップ保持期間 | 7日間 |
| 7-6 | バックアップ保管場所 | 日本国内(同一データセンター内) |
| 7-7 | 会話履歴の保持期間 | 6ヶ月(ユーザーによる削除可能) |
| 7-8 | 解約時のデータ削除 | 解約後30日以内に完全削除 |
| 7-9 | データのエクスポート機能 | ○ CSV形式でエクスポート可能 |
8. アクセス制御
| No. | 確認項目 | 回答 |
|---|---|---|
| 8-1 | 認証方式 | メールアドレス + パスワード |
| 8-2 | パスワードポリシー | 8文字以上 |
| 8-3 | パスワードの保存方法 | bcryptによるハッシュ化 |
| 8-4 | ログイン試行回数制限 | ○ 5回失敗で3分間ロック |
| 8-5 | 二要素認証(2FA/MFA) | × 未対応 |
| 8-6 | シングルサインオン(SSO) | × 未対応 |
| 8-7 | IP制限機能 | × 未対応 |
| 8-8 | セッションタイムアウト | ○ 対応 |
| 8-9 | 権限管理機能 | △ 管理者/一般ユーザーの2段階 |
9. 運用管理
| No. | 確認項目 | 回答 |
|---|---|---|
| 9-1 | アクセスログの取得 | ○ 対応 |
| 9-2 | アクセスログの保持期間 | 30日間 |
| 9-3 | 操作ログの取得 | ○ 対応(管理画面操作) |
| 9-4 | 監視体制 | サーバー稼働監視、SSL証明書監視 |
| 9-5 | 障害時の通知 | ○ メール通知 |
| 9-6 | メンテナンス時の事前通知 | ○ 計画メンテナンスは事前通知 |
| 9-7 | OSセキュリティパッチ適用 | ○ 随時適用 |
10. 外部委託先管理
| No. | 確認項目 | 回答 |
|---|---|---|
| 10-1 | AI処理 |
OpenAI(米国)
・API経由のデータはAI学習に使用されない(Zero Data Retention)
・SOC 2 Type II認証取得 |
| 10-2 | 決済処理 |
Stripe(米国)
・PCI DSS Level 1準拠
・クレジットカード情報は当社サーバーに保存しない |
| 10-3 | CDN / WAF |
Cloudflare(米国)
・ISO 27001、SOC 2 Type II認証取得
|
| 10-4 | サーバーホスティング |
さくらインターネット(日本)
・ISO 27001、SOC 2 Type II認証取得
|
11. 第三者認証・監査
| No. | 確認項目 | 回答 |
|---|---|---|
| 11-1 | ISMS(ISO 27001)認証 | × 未取得 |
| 11-2 | プライバシーマーク | × 未取得 |
| 11-3 | SOC 2報告書 | × 未取得 |
| 11-4 | 外部セキュリティ監査 | × 未実施 |
| 11-5 | ペネトレーションテスト | × 未実施 |
※ 利用している外部サービス(さくらインターネット、Cloudflare、OpenAI、Stripe)は各種認証を取得しています。
12. 契約・SLA
| No. | 確認項目 | 回答 |
|---|---|---|
| 12-1 | 利用規約の提供 | ○ https://aibutton.jp/terms |
| 12-2 | SLA(サービス品質保証) | × 提供なし |
| 12-3 | 稼働率目標 | 99.0%(保証なし) |
| 12-4 | 障害復旧目標時間(RTO) | 24時間以内(目標) |
| 12-5 | 損害賠償 | 直接損害に限り、過去1年間の利用料金を上限 |
| 12-6 | 準拠法 | 日本法 |
| 12-7 | 管轄裁判所 | 名古屋地方裁判所 |
凡例
○
対応済み
△
一部対応 / 制限あり
×
未対応