セキュリティ FAQ

カボシア株式会社が運営するデータインフラ事業として、以下のサービスを提供しています。

• FUDOSAN DB：日本の不動産公開データを構造化し、賃料推定 AI と組み合わせて提供
• EDINET DB：日本の上場企業の有価証券報告書から財務データを構造化し、Web ダッシュボード・REST API・MCP Server で提供

両サービスとも公開データを主な情報源としており、機微な個人情報の取り扱いは最小限に抑えた設計です。本 FAQ は両サービスを対象としますが、実装エビデンスの整理は EDINET DB を中心に行っており、FUDOSAN DB 固有の実装詳細は確認後に追記します。

当社 Web サイトに以下を公開しています。

• セキュリティホワイトペーパー
• 本 FAQ
• プライバシーポリシー
• 利用規約

個別の DDQ 対応は security@cabocia.jp までご連絡ください。

情報セキュリティ責任者は代表取締役、実務担当は執行役員が務めています。連絡先：security@cabocia.jp

未取得です（2026年5月時点）。取得を視野に内部準備を進めており、お客様の調達要件等を踏まえて取得時期を判断します。本ホワイトペーパーで開示している管理態勢は、ISO/IEC 27001 Annex A 管理策を 参考に、現時点で必要性の高い技術的・組織的安全管理措置から順次実装・運用しているものであり、第三者審査による「準拠」「適合」を示すものではありません。

未取得です。米国・グローバル B2B の必要性が明確化した段階で取得を検討します。

未取得です。当社サービスは公開データを主としており、取り扱う個人情報は顧客アカウントと利用ログに限定されているため、個人情報保護法を遵守する形で運用しています。

ISMS については、お客様要件・営業案件の状況を踏まえ、2026年9月末に取得着手の可否を再判断する予定です。

• Google Cloud Platform（ISO 27001/27017/27018, SOC 1/2/3 取得済）の基盤を利用
• ISO/IEC 27001 Annex A 管理策を 参考 に、必要性の高い項目から順次実装
• 重要変更時のコードセキュリティレビュー、依存関係更新時の CVE 確認を実施
• インシデント対応・バックアップ運用の文書化

DDQ にも個別対応します。

透明性確保のため、現時点で未対応・未整備の項目を以下のとおり明示します。

BigQuery / Cloud Storage 等に保存する 主要なアプリケーションデータ は Google Cloud Platform の asia-northeast1（東京）リージョン に保管します。決済・メール・CDN・解析については Q3.2 を参照してください。

主たるデータ保管は東京リージョン内で完結します。Stripe（決済）/ Cloudflare（CDN/DNS）/ Resend（メール）/ Google Analytics 4（解析）の利用に限り、委託先のグローバルインフラを通過する場合があります。各委託先はプライバシーポリシーで開示しており、個人情報保護法に基づく越境移転規律を遵守しています。

• 窓口：security@cabocia.jp
• 対応目安：請求受付から30日以内に削除完了 → 本人へ通知
• 削除の対象外：法令で保存義務のあるデータ、匿名加工データ、GCP のバックアップ・監査ログの自動ローテーションによる削除

はい。テナント分離は顧客識別子（user_email）でクエリ単位の論理的な分離 + アプリケーション層で確実にフィルタしています。大規模顧客向けには専用 GCP プロジェクトでの分離も検討可能です。

お客様が当社に提供したデータの所有権はお客様に帰属します。利用規約に定める範囲内でサービス提供のために利用し、解約時には削除に応じます。

ユーザーの Google アカウントに設定された MFA がそのまま OAuth サインインに適用されます。当社管理画面の IAP も Google アカウントの MFA に依拠します。

現時点では Google OAuth のみ対応。エンタープライズ向けの SAML / Okta 等の SSO 連携は要件が明確になった段階で対応します。

• 保管：SHA-256 でハッシュ化して BigQuery に保存。平文では保存しません
• 発行：開発者ダッシュボードから自己発行（Google OAuth 認証後）
• 失効：ユーザー自身による失効、当社からの強制失効が可能
• 比較：HMAC タイミング攻撃を防ぐため hmac.compare_digest を使用
• レート制限：プラン別の日次・月次上限を設定

はい。Cloud Audit Logs、アプリケーションログ、BigQuery クエリ履歴、IAP 認証ログを保管しています。不正検知・監査用途で 24ヶ月保管します。

終了日に Google Workspace アカウント停止、IAP 許可リスト除外、GitHub organization 除外、API Key 失効を実施します。半年に一度、IAM / 許可リストの棚卸しを実施します。

はい。すべての公開エンドポイントは TLS 1.2 以上 で暗号化しています。HTTP リクエストは自動的に HTTPS にリダイレクトされ、HSTS ヘッダーにより HTTPS が強制されます（整備中）。

はい。Google Cloud の標準暗号化（AES-256）が BigQuery / Cloud Storage / Secret Manager / Cloud Run のコンテナイメージに適用されます。

現時点では Google 管理鍵を利用しています。エンタープライズ要件で CMEK が必要な場合は個別にご相談ください。

• API Key：SHA-256 ハッシュ化して保存
• パスワード：当社では保有しません（Google OAuth に委任）
• セッション ID：Secret Manager 管理の SECRET_KEY で署名

業界標準の認証取得、データ所在地・転送に関する開示、インシデント対応・通知体制、利用規約上のデータ保護条項を確認したうえで選定しています。

プライバシーポリシーに重要な委託先変更がある場合は、当社 Web サイトおよび登録メールアドレス宛に通知します。DPA はエンタープライズ契約で個別締結可能。異議申立ては security@cabocia.jp で個別相談を承ります。

• アクセス解析（Google Analytics 4）の無効化
• 専用 GCP プロジェクトでの分離運用
• 個別契約に基づく委託先制限

• 重要変更時のコード差分レビュー（AI 補助 + 人間レビュー）
• 機能リリース時の集中レビュー
• 依存関係更新時の CVE スキャン（pip-audit）
• 重要変更時の IAM / 公開設定の棚卸し

月次・四半期の定期運用化は ISMS 取得着手と合わせて整備します。

現時点で外部委託のペンテストは未実施。Cloud Armor / WAF 強化と合わせて検討します。お客様の要件で個別のペンテストレポートが必要な場合は対応可否をご相談ください。

EDINET DB と共通の管理基盤に対し、2026-02-22 / 02-23 の包括レビューで HIGH 4件 / MEDIUM 4件を即時修正完了しています。FUDOSAN DB 固有の包括レビューは 2026-05-09 に着手しました。

はい。security@cabocia.jp で受け付けます。

• 対象範囲：fudosandb.jp / edinetdb.jp / edinetdb.com / 関連 API・MCP
• セーフハーバー：個人情報・機密データを取得・改変・破壊・第三者開示しない、DDoS / スパム / ソーシャルエンジニアリングを行わない、修正完了まで第三者開示しない、これらを遵守いただいた善意の報告者への法的措置は行いません
• 報奨金：金銭的報奨金プログラムは現時点では未実施。内容に応じて謝意の表明・謝礼の検討

• SAST：コード差分レビュー（AI + 人間）
• SCA：pip-audit による依存関係スキャン
• DAST：未導入。Cloud Armor / WAF 導入時に検討

• GCP モニタリング + 内部監視ヘルスチェック
• BigQuery のジョブ履歴監視（異常クエリ・コスト検知）
• データ品質の日次自動チェック
• すべての異常は Slack 即時通知

1. 検知 → Slack 通知
2. トリアージ（Severity 判定）
3. 封じ込め（影響範囲特定、必要に応じてサービス停止・キー失効）
4. 是正（根本原因の修正、再発防止策の実装）
5. 記録（ポストモーテム作成）
6. 顧客通知（個人情報漏えい等の場合）

個人情報保護法 第26条が定める 報告対象事態 に該当する場合、以下のとおり実施します。

• 個人情報保護委員会への速報：発覚日から概ね 3〜5 日以内
• 個人情報保護委員会への確報：30 日以内（不正の目的をもって行われたおそれがある場合等は 60 日以内）
• 本人への通知：影響範囲・対応方針・問い合わせ先を明記して速やかに

個人情報漏えいに該当するインシデントは発生していません。詳細は契約締結時に開示可能です。

はい。エンタープライズ契約に基づき、検知から通知までの目標時間、連絡窓口、月次レポート、ポストモーテム共有等を含む SLA を個別に合意可能です。

• BigQuery：GCP のリージョン内冗長化により単一障害点リスクを 低減（GCP 全体障害時はサービス停止の可能性、GCP の SLA に依拠）
• Secret Manager：自動バージョン管理（最新 10 世代を保持）
• ソースコード：GitHub に保管
• 公開データ：国土交通省 不動産情報ライブラリ等の公的ソースから再構築可能、加えて GCS にもアーカイブ
• バックアップからの 復元試験は未定期化 であり、優先課題として整備中

公開データに関する 社内目標値：RTO 4 時間 / RPO 24 時間。現時点では返金・補償を伴う標準 SLA としては公開していません。エンタープライズ契約に基づき、稼働率・通知目標・サポート時間・RTO / RPO 等を個別に協議のうえ合意可能です。

• 主要インフラ（GCP）の SLA に基づくリージョン冗長化
• 重要シークレット・コードのバックアップ
• 主要連絡先・対応手順の社内共有

事業継続計画書（BCP）の正式文書化は ISMS 取得着手と合わせて進めます。

GCP 障害時はサービスが停止する可能性があります。GCP の SLA は 99.95%（Cloud Run）/ 99.99%（BigQuery）等で定められており、当社サービスもこれに依拠します。

• 顧客アカウント情報：メールアドレス、お名前、会社名、利用目的
• API リクエストログ：エンドポイント、IP、UA、クエリパラメータ等
• フィードバック投稿内容
• Google Analytics 4 のアクセス解析データ

クレジットカード情報は当社では保有せず、Stripe で直接処理されます。

• API キー発行・管理・利用量制限の運用
• サービス改善、利用状況分析
• 不正利用の検知・防止
• 重要なお知らせ・オンボーディング案内のメール送信（許諾範囲内）

法令に基づく場合を除き、本人同意なく第三者提供は行いません。業務委託先への提供はプライバシーポリシーに明記のうえで利用目的の範囲内で実施します。

主に日本国内でのサービス提供を前提としていますが、海外お客様向けには個別に対応可能です。要件に応じて DPA 締結・データ主体権利への対応を整備します。

ご本人の請求に対し、本人確認のうえ合理的な範囲で対応します。ご請求は security@cabocia.jp までご連絡ください。

当社は内部開発で生成 AI（Anthropic Claude / OpenAI ChatGPT 等）を活用しています。FUDOSAN DB では賃料推定エンジン等で機械学習を採用していますが、これは公開データを学習元とする推定モデルであり、お客様データを学習に使用することはありません。

当社が収集した API リクエストログ・MCP リクエストログ・検索クエリログを、外部の生成 AI サービス提供事業者に対して学習目的で提供することはありません（プライバシーポリシーに明記）。

• OpenAI / Anthropic 等の生成 AI サービス利用時は、利用条件・管理設定を確認のうえ運用しています
• 学習利用・データ保持の有無は、利用するサービス・契約条件に従います
• 顧客の個別機微データは当社内部開発でも入力しません

はい。AI が生成したコード・文書は 必ず人間がレビュー したうえでデプロイします。そのままのデプロイは禁止しています。

はい。エンタープライズプランでは個別契約・NDA・DPA に対応します。ご相談は お問い合わせ よりご連絡ください。

現時点では、標準約款上の一律 SLA は公開していません。エンタープライズ契約では、稼働率・通知目標・サポート時間・RTO / RPO 等を個別に協議のうえ合意可能です。

エンタープライズ契約に基づき、合意した範囲で監査・現地視察に対応します。契約条項として明記いたしますので個別にご相談ください。

お客様データは契約終了時にエクスポート（CSV / JSON 等）に対応します。解約後 30 日間はエクスポート受付期間としてアカウントを保持します。

個別の要件は security@cabocia.jp までご連絡ください。DDQ・セキュリティチェックシート対応も承ります。

重要な変更は当社 Web サイトおよび登録メールアドレス宛にお知らせします。

現時点ではマルチテナント SaaS のみ提供しています。専用環境（dedicated）でのご提供はエンタープライズ契約の範囲で個別相談に応じます。