# 提供元のセキュリティ {#security-posture}

GMO Flatt Security 株式会社が提供する **Shisho Cloud byGMO** および **Takumi byGMO** のセキュリティ体制について、お客様の社内稟議やセキュリティチェックシートご回答時の参照資料としてご利用いただける範囲でまとめます。

:::info このページの位置付け
本ページは、サービス全般に共通するセキュリティ上の取り組みを概観するためのものです。製品ごとの個別の挙動（診断対象データの保管期間、Takumi Guard のレジストリプロキシ動作、Runner の VM 隔離設計など）は、各製品の機能ドキュメントを併せてご参照ください。
:::

## 取得済みの認証 {#compliance}

### ISO/IEC 27001 (ISMS) {#iso27001}

GMO Flatt Security 株式会社は、情報セキュリティマネジメントシステムに関する国際規格 **ISO/IEC 27001 (ISMS)** を取得しています。

| 項目                 | 内容                                                                                                                                                                                            |
| -------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 認証基準             | JIS Q 27001:2025 (ISO/IEC 27001:2022 + Amd 1:2024)                                                                                                                                              |
| 適用範囲             | (1) 情報セキュリティに関する診断、ペネトレーションテスト、コンサルティング、インシデント対応、リサーチ、教育サービス事業<br/>(2) 情報セキュリティに関するクラウドサービスの企画、開発、運用事業 |
| 認証登録番号         | JP26/00000054                                                                                                                                                                                   |
| 認証機関（認定番号） | SGS ジャパン株式会社 (ISR021)                                                                                                                                                                   |
| 初回登録日           | 2026 年 2 月 17 日                                                                                                                                                                              |
| 有効期限             | 2029 年 2 月 17 日                                                                                                                                                                              |

最新の認証ステータスは、ISMS-AC の認証取得組織検索ページ（[JP26/00000054](https://isms.jp/lst/ind/CR_JP26_x002F_00000054.html)）からご確認いただけます。さらなる詳細のご請求は、本ページ末尾の[お問い合わせ窓口](#contact)までご連絡ください。

## データの取り扱い {#data-handling}

### 保存リージョン {#data-residency}

お客様データは、原則として **日本リージョン** で保存・処理しています。一部の運用メタデータや管理用 SaaS のログは、各 SaaS 提供者のホスティング地域に従います。

### 保持期間と削除 {#data-retention}

Shisho Cloud 組織に紐づくお客様データは、原則として組織のライフサイクル（ご解約および組織削除の手続き）に従って削除されます。組織の削除手続きについては、[組織管理 > 組織を削除する](/docs/ja/t/management/organization.md#delete) をご参照ください。

一方、各機能の処理過程で受け取った入力データは、それよりも短いライフサイクルで削除される場合があります。たとえば、診断機能に提供されたソースコードや関連する入力ファイルは、機能提供に必要な最小限の期間で削除します。

:::info
個人データについて、関連諸法令に基づく削除をご希望の場合は、[個人データの削除方法](/docs/ja/c/misc/data-deletion.md) をご参照ください。
:::

### AI/LLM 利用時の定め {#llm-providers}

:::warning AI 機能を利用する場合に限ります
本節の内容は、Takumi byGMO の **AI を利用する機能** をご利用いただく場合にのみ適用されます。AI を利用しない機能のご利用範囲では、お客様データが下記の LLM プロバイダに送信されることはありません。
:::

Takumi byGMO の AI 機能では、推論処理に外部の LLM プロバイダの API を利用します。現時点で開示可能な範囲の推論プロバイダには、以下を含みます。

- Google Cloud Vertex AI
- AWS Bedrock
- Anthropic API

いずれも **API 経由での利用** であり、お客様データが LLM のトレーニングに使われることはありません。利用するプロバイダの構成は、品質改善や新モデル追加に伴って今後変更される可能性があります。

なお、上記の推論プロバイダ上で実際に利用している具体的なモデル名やバージョン構成については、開示いたしかねます。

## お問い合わせ窓口 {#contact}

セキュリティに関するお問い合わせ、脆弱性のご報告、認証情報のご請求などは、[お問い合わせ](/docs/ja/contact/index.md) ページに記載の窓口をご参照ください。

## よくある質問（FAQ） {#faq}

### セキュリティチェックシートへの回答は可能ですか？ {#faq-security-questionnaire}

Takumi サブスクリプションの試用・ご契約を前提とする場合、可能でございます。ただし、多数のお引き合いをいただいている都合上、無料サービスのみの利用の場合にはお引き受け致しかねる点ご了承ください。

### プライバシーポリシーはどこにありますか？ {#faq-privacy-policy}

GMO Flatt Security の [プライバシーポリシー](https://flatt.tech/privacy-policy/) をご参照ください。

### 利用規約はどこにありますか？ {#faq-terms-of-service}

Shisho Cloud byGMO / Takumi byGMO の [利用規約](https://shisho.dev/ja/terms) をご参照ください。