情報セキュリティポリシー

本ポリシーは、当社の企業活動において入手および知り得た情報ならびに当社が業務上保有するすべての情報（以下「情報資産」と言います）と、これを利用する当社の役員、社員、派遣社員等（以下「従業者」と言います）に適用します。当社が保持する情報資産は、会員登録情報（氏名・会社名・メールアドレス等）、認証ID（Clerk）、決済管理ID（Stripe）、および利用回数等のログデータに限定されます。なお、お客様がご入力された発明内容・図面データ等は、特許草案の生成処理完了後に速やかに削除し、当社サーバーに保持しません。

当社は保有するすべての情報資産の保護・管理に努め、情報セキュリティに関する法令、指針、その他の規範を遵守し、情報セキュリティ体制の構築を行います。特に、生成処理中に一時的に取り扱う発明内容・図面データ等の機密性の高い情報については、処理完了後の即時削除を徹底し、不要な保持を行いません。

当社は全社レベルの情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるよう「情報セキュリティ管理責任者」を設置します。管理責任者は、本ポリシーの運用状況を定期的に確認し、必要に応じて改善措置を講じます。

当社は本ポリシーに基づいた内部規程を整備し、情報資産全般の取り扱いについて明確な方針を示すとともに、社内に周知徹底します。また、AI処理を伴う特許情報の取り扱いに関する個別ガイドラインを設け、従業者が安全に業務を遂行できる環境を整えます。

当社は本ポリシーに基づき、法令、社内規程、ルールなどが遵守され、有効に機能しているかを検証する為、定期的かつ必要に応じて情報セキュリティ監査を実施します。

当社は情報資産の安全性を確保する為に、情報の破壊・漏洩・改ざん・紛失・滅失等のリスクに対し、必要な対策を講じます。具体的には以下の対策を実施します。

• アクセス制御：お客様の情報資産へのアクセスを、業務上必要な従業者に限定します。
• 通信の暗号化：サービス利用時の通信はTLS/SSLにより暗号化します。
• クラウドセキュリティ：利用するクラウドサービス（API連携先を含む）の安全性を定期的に評価します。
• 不正アクセス対策：不正アクセス・マルウェア対策を適切に実施します。
• データミニマイゼーション：お客様がご入力された発明内容・図面データ等は、特許草案の生成処理完了後に速やかに削除します。当社は必要最小限の情報のみを保持します。

当社は従業者に対して、情報セキュリティリテラシーの向上および業務遂行に関わる情報資産の適切な管理を目的として、教育・訓練を継続的かつ必要に応じて実施します。

当社は情報の取り扱いを外部に委託する場合には、業務委託先の適格性を十分に審査し、当社と同等以上のセキュリティレベルの維持を要請します。また、本サービスでは認証基盤にClerk, Inc.、決済処理にStripe, Inc.、AI生成処理にOpenAI, L.L.C.を利用しています。各社のデータ取り扱いポリシーを確認のうえ、お客様の情報が不当に利用されることのないよう適切な設定・管理を行います。なお、決済に関するクレジットカード番号・CVC等の機微情報は当社が取得・保有せず、Stripeが直接処理します。委託先のセキュリティレベルが適切に維持されていることを確認するため、継続的な見直し・契約内容の改善・必要に応じた監査を実施し、委託先からの情報漏洩防止に努めます。

当社は情報セキュリティインシデントが発生した場合、または発生の可能性が高まった場合に、速やかに事実確認・影響範囲の特定を行い、お客様および関係者への適切な通知と被害拡大防止措置を講じます。インシデント対応手順を整備し、定期的な訓練を通じて対応能力の維持・向上に努めます。

当社は以上の取り組みを定期的に評価・見直すことにより、情報セキュリティ対策の継続的な改善に努めます。本ポリシーは事業環境の変化・法令の改正・技術の進展に応じて適宜改訂します。

第１条（改廃）

本ポリシーの改廃は、代表取締役の承認のもと行うものとします。

第２条（施行期日）

本ポリシーは、2026年3月20日より施行する。