> ## Documentation Index
> Fetch the complete documentation index at: https://docs.yoursup.co.jp/llms.txt
> Use this file to discover all available pages before exploring further.

# トラストセンター

> ユアサポAIのセキュリティ、プライバシー、コンプライアンスに関する情報

ユアサポAIは、お客様の大切な発明情報を安全にお預かりするため、エンタープライズグレードのセキュリティ基盤を採用しています。本ページでは、当サービスのセキュリティ対策について詳しくご説明します。

***

## サービス概要

<CardGroup cols={2}>
  <Card title="サービス形態" icon="cloud">
    **SaaS**（Software as a Service）

    当社がアプリケーション・インフラを全て管理・提供するSaaS形態です。
  </Card>

  <Card title="通信方式" icon="lock">
    **SSL/TLS暗号化**

    全ての通信はHTTPS（TLS 1.2以上）により暗号化されています。
  </Card>
</CardGroup>

### サービスURL

| サービス        | URL                                   |
| ----------- | ------------------------------------- |
| Word Add-in | `https://word-add-ins.yoursup.co.jp/` |
| ダッシュボード     | `https://dashboard.yoursup.co.jp/`    |
| 認証サーバー      | `https://auth.yoursup.co.jp/`         |

***

## 認証・アクセス制御

ユアサポAIでは、以下のアクセス制御を**実装済み**です。

### 多要素認証（MFA）

<Info>
  Microsoft / Google の OAuth認証に加え、メールアドレスによる認証コード（OTP）方式にも対応しています。OAuth認証をご利用の場合は、各認証プロバイダー側で設定されたMFAポリシーがそのまま適用されます。
</Info>

* 貴社のMicrosoft Entra ID（Azure AD）でMFAを必須化している場合、そのポリシーがそのまま適用されます
* Googleアカウントをご利用の場合も、Googleの2段階認証設定が適用されます
* メールアドレス認証（OTP）をご利用の場合、認証コードの有効期限は60分です
* **セキュリティ上の制約**: Microsoft / Google アカウントが紐付けられたユーザーは、OTP でのログインはできません（MFA バイパス防止）

### SSO（Microsoft Entra ID）連携方式

ユアサポAIの Microsoft Entra ID（旧 Azure AD）連携は、**OAuth 2.0 / OpenID Connect（OIDC）** によるサインイン方式です。

<Info>
  SAML 2.0（IdP/SP 連携）方式は現時点では提供していません。そのため、SAML の「エンティティID」「応答URL（ACS URL）」は該当しません。
</Info>

審査・申請書で「応答URL」に相当する項目が必要な場合、OAuth/OIDC のリダイレクトURI（コールバックURL）として、以下をご利用ください（複数登録が必要なケースに対応しています）。

* `https://auth.yoursup.co.jp/auth/callback`
* `https://auth.yoursup.co.jp/auth/callback/popup`（Word Add-in のポップアップ認証時）
* `https://auth.yoursup.co.jp/api/auth/callback/external`（外部ブラウザ経由の認証フロー時）

<Note>
  Microsoft Entra ID 側での「管理者同意（Admin consent）」の手順や、最小権限（`openid` / `profile` / `email` / `User.Read`）の説明は、[IT管理者様向け：導入技術リファレンス](/faq/it-admin-guide) をご参照ください。
</Note>

### SCIM 2.0（自動プロビジョニング）

現時点では **SCIM 2.0 による自動プロビジョニングは未対応** です。

* ユーザー管理は「招待制」により運用します（管理者が招待したユーザーのみ利用可能）
* 組織単位のアクセス制御は、データベースレベルで Row Level Security（RLS）により分離されています

### メンバー制限（参照・編集）

<AccordionGroup>
  <Accordion title="招待制による組織メンバーシップ管理">
    * 管理者が招待したユーザーのみがサービスを利用可能です
    * 未登録ユーザーはログイン時に拒否されます
    * 組織への参加は、管理者からの招待メールを経由する必要があります
  </Accordion>

  <Accordion title="組織単位でのアクセス制御">
    * ユーザーは自身が所属する組織のデータのみ参照・編集可能です
    * 他の組織のデータにはアクセスできません
    * データベースレベルでRow Level Security（RLS）を実装しています
  </Accordion>
</AccordionGroup>

***

## データ保護

### データの保存場所

<Info>
  発明情報・請求項・明細書・AIチャット履歴等のユーザー入力データは、**当社サーバーには永続的に保存されず、ユーザーのWord文書内（ローカル）にのみ保存**されます。AI処理の実行中に限り、暗号化された一時キャッシュ上にデータが保持されますが、処理完了後またはアドイン終了時に自動削除されます。
</Info>

| データ種別                 | 保存場所                        |
| --------------------- | --------------------------- |
| 発明情報、請求項、明細書、AIチャット履歴 | ユーザーのWord文書内（ローカル）          |
| AI処理中の一時データ           | 一時キャッシュ（アドイン使用中のみ保持、終了時に削除） |
| ユーザー情報（認証情報、プロフィール）   | 当社サーバー                      |
| 組織情報                  | 当社サーバー                      |
| 特許スタイルサンプル（スタイル分析用）   | 当社サーバー                      |
| Embeddingデータ（類似検索用）   | 当社サーバー                      |
| 操作ログ                  | 当社サーバー                      |

### データベースセキュリティ

* **Row Level Security（RLS）**: Supabase（PostgreSQL）のRLSにより、ユーザーは自身が所属する組織のデータのみアクセス可能
* **保存時暗号化**: AES-256暗号化（Supabaseインフラ標準）

### 通信セキュリティ

* **HTTPS必須**: 全ての通信でTLS 1.2以上を使用
* **CORS制御**: 許可されたオリジンからのみAPIアクセスを許可

### セッション管理

* JWTベースのセキュアなセッション管理を実施
* セッションの有効期限管理により、不正アクセスを防止

### データ削除

ご依頼に基づき、当社サーバーに保存されているデータ（ユーザー情報、組織情報、特許スタイルサンプル、Embeddingデータ）を完全に削除する対応が可能です。データベースからの物理削除を実施し、ご要望があれば削除証明を発行いたします。

<Note>
  発明情報・請求項・明細書等はユーザーのWord文書内（ローカル）に保存されているため、ユーザー様自身での削除となります。
</Note>

***

## AI連携のセキュリティ

ユアサポAIでは、生成AIとの連携において、エンタープライズグレードのセキュリティを確保しています。

### 使用AIサービス

<Card title="Google Cloud Vertex AI" icon="brain">
  Vertex AIは、Googleが提供する**エンタープライズ向けのAIプラットフォーム**であり、企業利用に適したセキュリティ・コンプライアンス基準を満たしています。
</Card>

### データ保護ポリシー

<Warning>
  **Zero Data Retention（ZDR）設定済み**

  Vertex AIはZero Data Retention設定により、以下が保証されています：

  * 送信されたデータがAIモデルの学習に使用されることはありません
  * プロンプトおよび生成結果はGoogle側で保存されません
  * 入力データ・生成結果が他の顧客向けサービスに再利用されることはありません
</Warning>

### 連携方式

| 項目       | 内容                           |
| -------- | ---------------------------- |
| AIプロバイダー | Google Cloud Vertex AI       |
| 使用モデル    | Gemini シリーズ                  |
| 連携方式     | 当社バックエンドサーバー経由でAPIを呼び出し      |
| データ経路    | ユーザー → 当社APIサーバー → Vertex AI |

### Embeddingデータの管理

類似特許検索・スタイル分析のため、特許文書のEmbedding（ベクトル化）データを保存しています。

| 項目     | 内容                                       |
| ------ | ---------------------------------------- |
| 保管場所   | Supabase（PostgreSQL + pgvector拡張）東京リージョン |
| 生成モデル  | OpenAI Embeddingモデルを使用                   |
| アクセス制御 | Row Level Security（RLS）により組織単位で分離        |
| 用途     | 類似特許検索、スタイル分析のみに使用                       |

<Note>
  Embeddingの対象となるのは、お客様がスタイル分析用に登録された特許文書であり、発明情報等のユーザー入力データではありません。
</Note>

***

## インフラストラクチャ

### データセンター所在地

<Info>
  データベースは**東京リージョン (ap-northeast-1)** に保管されています。生成AI処理はGoogle Cloudのエンドポイントを経由しますが、Zero Data Retention（ZDR）設定により、処理後にデータが保存されることはありません。
</Info>

### サービスプロバイダー

| プロバイダー                   | 用途                   | データ保存                         |
| ------------------------ | -------------------- | ----------------------------- |
| Supabase                 | データベース・認証基盤（東京リージョン） | あり                            |
| Vercel                   | アプリケーションホスティング       | なし（処理のみ）                      |
| Upstash                  | AI処理用の一時キャッシュ        | 一時キャッシュのみ（アドイン使用中のみ保持、永続保存なし） |
| Google Cloud (Vertex AI) | 生成AI処理（ZDR設定）        | なし（処理のみ）                      |
| OpenAI                   | Embedding生成          | なし（処理のみ）                      |

いずれのプロバイダーも、エンタープライズグレードのセキュリティ基準を満たしています。お客様のデータを上記以外の第三者に提供することはありません。

### コンプライアンス

当サービスが利用するインフラプロバイダーは、以下のコンプライアンス基準を満たしています：

* **SOC 2 Type II**: Vercel、Supabase、Upstash
* **ISO 27001**: Google Cloud（Vertex AI）
* **個人情報保護法（国内）**: プライバシーポリシーに基づき、適切に個人情報を管理しています
* **GDPR（欧州）**: 本サービスは主に国内向けですが、利用するインフラ（Supabase、Google Cloud）はGDPR準拠のデータ処理契約を提供しており、必要に応じて対応可能です

***

## ネットワークアクセス

SaaS形態のため、インターネットからのアクセスを前提としています。

* 認証・認可はアプリケーションレベルで実施
* 全通信はSSL/TLSにより暗号化

***

## 契約終了時の対応

契約終了後、ご依頼に基づき当社サーバーに保存されている全データを完全に削除いたします。

**削除対象データ：**

* ユーザーデータ
* 組織データ
* Embeddingデータ
* スタイル設定データ
* 特許スタイルサンプル

データベースからの物理削除を実施します。ご要望があれば、削除完了後に削除証明を発行いたします。

<Note>
  発明情報・請求項・明細書等はユーザーのWord文書内（ローカル）に保存されており、当社サーバーには永続的に保存されておりません。これらのデータはお客様の管理下にあります。
</Note>

***

## 監査対応

監査や利用状況の開示に対応可能です。

* **利用状況レポート**: 組織ごとの利用状況（ユーザー数、利用頻度等）のレポートを提供可能です
* **ログ提供**: セキュリティ監査に必要なアクセスログ等の提供が可能です
* **監査対応**: 貴社の監査要件に応じて、必要な情報・資料の提供に協力いたします

具体的なご要望がございましたら、担当者までお申し付けください。

***

## お問い合わせ

セキュリティに関するご質問や、セキュリティチェックシートへの回答が必要な場合は、お気軽にお問い合わせください。

<Card title="サポートチームへのお問い合わせ" icon="envelope" href="https://yoursup.co.jp/contact" horizontal>
  セキュリティに関するご質問や、導入審査に必要な技術資料の提供など、全面的にサポートいたします。
</Card>
