StoryHubデータ&セキュリティ
1. はじめに
本文書は、StoryHub株式会社が開発・運用するAI支援編集アシスタント「StoryHub」のデータ管理およびセキュリティ対策について概説します。StoryHubは、取材情報をAIが分析し、効率的なコンテンツ制作を支援するサービスです。本文書の目的は、StoryHub導入企業に対して、データの取り扱いとセキュリティ対策の透明性を提供することです。
2. システムアーキテクチャ概要
StoryHubは、Google Cloud上に構築されています。主要なコンポーネントは以下の通りです。
アプリケーション:Cloud Run上でホスティング
データベース:Cloud SQL (PostgreSQL) を使用
ストレージ:Cloud Storage を使用
AIモデル:OpenAI、Anthropic、Googleの提供するモデルとGCEでセルフホスティングしたモデルを使用
アプリケーション・データベース・ストレージのサーバーは全て日本国内に存在します。
セキュリティ対策として、以下を実装しています。
すべての通信にTLS 1.2以上を使用
Cloud Armorによる Web Application Firewall (WAF) の実装
VPCサービスコントロールによるネットワーク分離
StoryHub開発チームは、Google Cloudサポートチームと共同で、お客様のデータを保護し、安心してサービスをお使いいただける環境を構築しています。
3. セキュリティ対策
3-1. アクセス制御
従来のパスワード認証ではなく、パスワードレスサインイン(OAuth認証・マジックリンク認証)を採用することでパスワード漏洩リスクを根本的に排除
ユーザーのアクセス権限はチームごとに割り当てられたロールに紐付く方式を採用。最小権限の原則に基づくきめ細かなアクセス制御を実現
セッション管理には24時間のアイドルタイムアウトを設定し、長時間の未使用セッションによる不正アクセスリスクを低減
※なおStoryHubのログインの方法には「メールアドレス認証」「Google認証」「Microsoft認証」の3つをご用意しております。詳しくはサポートサイトをご覧ください。
3-2. データ暗号化
保存データ:AES-256ビット暗号化
通信データ:TLS 1.2以上による暗号化
3-3. ネットワークセキュリティ
ファイアウォールルールによる不要なポートのブロック
VPCによるネットワーク分離
WAFによるアプリケーションへの不正アクセスのブロック
DDoS
XSS
その他主要な攻撃
3-4. 監視とログ管理
Cloud Loggingによる包括的なログ収集
Cloud Monitoringによるリアルタイム監視
Cloud Audit Logsによる監査ログ収集
異常検知のためのアラート設定
3-5. セキュリティ更新
利用しているライブラリやインフラについて、アップデート情報を自動的に収集するシステムを構築
特に重要なセキュリティアップデートは速やかに適用する体制
4. データ管理
StoryHubで取り扱うデータは以下の4種類です。
すべてのデータは、保存時および転送時に暗号化されています。
データ | 保存場所 | アクセス制御 | 保持期間 |
取材情報 | Cloud Storage(暗号化保存・非公開ストレージ) | ユーザーのロールに基づく、アプリケーションレベルでのアクセス管理 | ユーザーによる削除操作およびチームの削除を行わない限り永続的に保持 |
作成コンテンツ | Cloud SQL(暗号化保存) | ユーザーのロールに基づく、アプリケーションレベルでのアクセス管理 | ユーザーによる削除操作およびチームの削除を行わない限り永続的に保持 |
AIへの指示 | Cloud SQL(暗号化保存) | ユーザーのロールに基づく、アプリケーションレベルでのアクセス管理 | チームの削除を行わない限り永続的に保持 |
ユーザー情報 | Cloud SQL(暗号化保存) | ユーザーのロールに基づく、アプリケーションレベルでのアクセス管理 | ユーザーの削除を行わない限り永続的に保持 |
5. コンプライアンス
StoryHubは以下の法規制を遵守しています。
5-1. 個人情報保護法
個人情報保護方針の公開
個人情報の適切な取得、利用、管理
5-2. 不正アクセス禁止法
アクセス制御機能の適切な実装
不正アクセス発生時の速やかな報告体制の整備
5-3. 特定商取引法
6. AIの利用とリスク管理
6-1. 利用するAIモデルのデータポリシー
StoryHubではAPIを通してAIを使用する際、入力および出力をAIの学習に使用しないポリシーを定めている事業者のAIモデルのみを使用しています。AIとのやり取りの履歴に関しては、不正な利用の検知のため、30日程度保存された後削除される規定になっています。(保存期間は事業者により多少変化します。)
OpenAI: OpenAI におけるエンタープライズプライバシー
Anthropic: Commercial Terms of Service
6-2. 著作権侵害リスクへの対応
レシピ実行による記事作成時に、素材情報を人間が明示的に指定(アップロード)
レシピ実行による記事作成時に、Webクローリングを制限
6-3. AIの誤出力(ハルシネーション)への対策
レシピ実行による記事作成時に、素材情報を人間が明示的に指定(アップロード)
AIによる生成コンテンツに対して、人間の最終的なレビューを行うようガイド
7. 利用ガイドライン
7-1. 安全な利用のためのアドバイス
サインインに使用するアカウントについて、複数人での共有を禁止
不審な活動の即時報告
7-2. 問題発生時の連絡方法
セキュリティインシデント報告用メールアドレス:support@storyhub.jp
8. 更新履歴
2024年9月:初版公開
2025年3月:商号変更・サービス名変更のため名称表記と連絡先を修正
