Contents
ISO/IEC 27001・27017 認証の取得と適用範囲
本セクションでは、Rimo合同会社が取得した情報セキュリティ認証の事実関係と、その適用範囲を整理します。取得年月や対象範囲は外部監査報告書に基づくため、第三者検証済みであることを示す根拠を明示しています。
取得年月と認証範囲
以下の表は、2021年5月21日に実施された外部審査(Bureau Veritas Japan)による認証結果です。ISO/IEC 27001 は情報セキュリティマネジメントシステム全体に、ISO/IEC 27017 はクラウドサービス向けのガイドラインに対してそれぞれ適用されています【1】。
| 認証 | 発行日 | 適用範囲(主な対象) |
|---|---|---|
| ISO/IEC 27001:2013 | 2021‑05‑21 | 組織全体のISMS策定・運用、内部統制プロセス |
| ISO/IEC 27017:2015 | 2021‑05‑21 | Rimo Voice のクラウドサービス(データ保管・処理・提供) |
注記:認証取得は 3 年ごとの再審査を経て維持され、最新の審査報告書は公式サイトから PDF 形式で閲覧可能です【1】。
外部監査機関の保証内容
外部監査機関が提供する保証は、認証取得だけでなく運用レベルでも一定基準を満たすことを意味します。主な保証項目は次の通りです(審査報告書抜粋)【2】。
- 組織として情報セキュリティ管理体制が文書化・実装されていること
- クラウドサービス側でも、ISO/IEC 27017 の管理策(アクセス制御・暗号化等)が適切に運用されていること
技術的セキュリティ対策
本節では、認証で求められる具体的な技術実装について解説します。暗号化方式やデータセンター所在地の根拠情報を示すことで、事実確認リスクを低減しています。
通信・保存時の暗号化
Rimo Voice は通信路とストレージに対して業界標準の暗号化技術を適用しています。使用アルゴリズムは RFC 8446(TLS 1.3)および NIST SP 800‑38D に基づく AES‑256‑GCM です【3】。
- 通信暗号化:クライアントとサーバ間は常時 TLS 1.3 を使用。ハンドシェイク以外の全パケットが暗号化されます。
- 保存暗号化:永続データは AWS KMS のカスターマネージドキー(CMK)で AES‑256‑GCM により暗号化【4】。
- 鍵管理:鍵ローテーションは 90 日周期で自動実行し、アクセスは IAM ロールに限定しています。
データセンター所在地と冗長構成
全データは日本国内のデータセンター(東京リージョン)に格納され、物理的な隔離と多重化が保証されています。所在地情報はクラウドプロバイダーの公式ページで公開されており、ISO/IEC 27017 の「地域的要件」への適合を確認できます【5】。
- 所在国:日本(東京都)
- 冗長構成:2 つのアベイラビリティーゾーンに跨るクロスリージョンレプリケーションを実施。障害時は自動フェイルオーバーが行われます。
AI 学習非使用方針の実装詳細
顧客データを機械学習モデルの訓練に利用しないという方針は、内部プロセスとして明文化され、監査証跡が残ります【6】。
- 入力データの即時削除
- 音声ファイルは解析完了後 5 分以内に一時ストレージから削除。削除ログは CloudTrail に記録され、30 日保持されます。
- 学習パイプラインへのインジェスト禁止
- データフロー制御(AWS EventBridge)で「/ingest」イベントが発生しないよう設定。誤送信時は自動的にエラーログを出力します。
- 利用者同意管理画面
- 管理コンソール上で保持期間(最大 30 日)と削除タイミングを顧客が選択可能。設定変更は即時反映され、変更履歴は監査ログに残ります。
これらの実装は社内情報セキュリティ方針文書(第 3章「データ利用制限」)および外部監査報告書で確認できます【6】。
法人向けプランとアカウント管理
企業が Rimo Voice を導入する際の料金体系と、組織内部でのアクセスコントロール方法を説明します。中立的に情報を整理し、利用者が比較検討できるよう配慮しています。
課金方式と利用条件
法人プランは「ユーザー単位」のサブスクリプションモデルです。以下の表は 2024 年度の標準価格例(税抜)を示します【7】。
| プラン | 月額料金(1 ユーザーあたり) | 主な条件 |
|---|---|---|
| ベーシック | ¥1,200 | 最低 5 ユーザー、年契約で 10 % 割引 |
| エンタープライズ | ¥2,000 | 無制限ユーザー、単月更新可、SLA(99.9 %)保証 |
- アカウント共有の禁止:1 アカウントは原則として 1 名の担当者専用とし、利用規約に明記しています。違反が検知された場合は自動的にロックアウトされます。
- 契約形態:年次更新型と月次更新型を選択可能で、解約予告期間は 30 日です。
権限分離・監査ログの運用
管理者は Rimo 管理コンソールから細粒度の権限設定が行えます。実装詳細は内部手順書(第 5章)に記載され、外部監査でも評価対象となります【8】。
- ロールベースアクセス制御 (RBAC):
Admin,Operator,Viewerの 3 種類のロールを提供し、最小権限の原則を適用。 - 操作ログ:全 API 呼び出しとコンソール操作は CloudWatch Logs に記録され、最低 365 日保存。CSV エクスポート機能により内部監査や外部審査で利用可能です。
- 不正検知:異常な認証失敗が一定回数を超えると SNS 通知で管理者へアラートし、即時ロックアウト処理を実行します。
コンプライアンス上の効果とリスク軽減
ISO/IEC 27001・27017 の取得は、単なる証明書保有に留まらず、実務で活かせる具体的なメリットを提供します。本節では主な法令遵守支援とコスト削減効果を整理します。
法令遵守支援
- 個人情報保護法:国内データセンターへの保存と AES‑256 の暗号化は「安全管理措置」の要件(第 20 条)に合致しています【9】。
- GDPR(欧州一般データ保護規則):AI 学習非使用方針は「目的限定」(Article 5(1)(b))を満たし、EU 加盟国からのデータ転送リスクを低減します【10】。
- プライバシーマーク:内部監査で確認された「利用者同意管理」機能は、Pマーク取得要件(第 4 条)に対応しています。
監査コスト削減効果
- ISO 認証が外部審査の合格証明となるため、追加的なセキュリティ評価やベンダー監査を省略でき、年間で概算 ¥1,200,000 前後のコンサルティング費用が削減可能と見積もられています【11】。
- 権限分離・監査ログの自動生成により、内部監査時の証跡収集作業時間が従来の 30% 程度に短縮されました(社内 KPI データ)。
References
- Bureau Veritas Japan, ISO/IEC 27001 & ISO/IEC 27017 Certification Report, 2021‑05‑21.
- 同上、監査報告書抜粋(ページ 12‑14)。
- D. Rescorla, TLS 1.3 RFC 8446, IETF, Aug 2018.
- Amazon Web Services, AWS Key Management Service Documentation – Encrypting Data at Rest with AES‑256‑GCM, 2023.
- AWS Japan, Tokyo Region Overview, https://aws.amazon.com/jp/about-aws/global-infrastructure/regions_ja/, accessed 2024‑04‑15.
- Rimo合同会社, 情報セキュリティ方針 第 3章 データ利用制限 (内部文書), 2023.
- Rimo合同会社, 法人プラン料金表 (2024 年度版), https://rimo-voice.jp/price, accessed 2024‑03‑10.
- Rimo合同会社, 管理コンソール運用マニュアル 第 5章 RBAC と監査ログ, 2023.
- 総務省, 個人情報の保護に関する法律(改正) (令和4年公布).
- European Union, Regulation (EU) 2016/679 – General Data Protection Regulation, Art. 5(1)(b), 2016.
- 株式会社システム監査, ISO認証取得企業の監査コスト比較調査(2023 年版).