セキュリティホワイトペーパー
最終更新: 2026年4月17日 | バージョン: 2.1
発行元: 株式会社ModeNote | 代表者: 山本 康人 | 所在地: 神奈川県横浜市神奈川区金港町5-14 クアドリフォリオ8階 | お問い合わせフォーム
目次
1. サービス概要とアーキテクチャ
ModeNote は、Chrome 拡張機能として動作する AI 要約サービスです。ユーザーが閲覧中の Web ページや PDF 文書を、AI(Google Gemini / Anthropic Claude)を用いて要約・分析します。
システム構成要素
| コンポーネント | 役割 | 技術スタック |
|---|---|---|
| Chrome 拡張機能 | ユーザーインターフェース、ページ内テキスト/PDF の取得 | Manifest V3, Service Worker |
| API サーバー | 認証、レート制限、AI API へのプロキシ | Node.js (Express), PostgreSQL (Neon Serverless) |
| AI API | テキスト/PDF の処理・要約生成 | Google Gemini API, Anthropic Claude API |
重要: ModeNote サーバーはリクエストの中継(プロキシ)のみを行い、ユーザーが送信したテキストや PDF のコンテンツをサーバー上に保存・蓄積することは一切ありません。
2. データフロー図
2.1 ページ要約のデータフロー
図1: ページ要約時のデータフロー
2.2 PDF 要約のデータフロー
図2: PDF 要約時のデータフロー
2.3 データの経路と保持
| データ | 拡張機能 | ModeNote サーバー | AI API |
|---|---|---|---|
| ページテキスト / PDF | メモリ上のみ | 通過のみ・保存なし | 処理後破棄 *1 |
| プロンプト(指示文) | ローカルストレージ | 通過のみ・保存なし | 処理後破棄 *1 |
| 要約結果 | メモリ上のみ | 通過のみ・保存なし | 処理後破棄 *1 |
| 使用量メタデータ | - | 記録 (ID, モデル, トークン数, 日付) | - |
| ユーザーアカウント | - | 記録 (Google ID, 名前, メール) | - |
*1 AI プロバイダーのデータポリシーについては 第8章 を参照
3. データの取り扱い
3.1 サーバーが保存しないデータ
- ユーザーが送信した Web ページのテキスト内容
- ユーザーが送信した PDF ファイルの内容
- AI が生成した要約結果
- リクエスト/レスポンスの本文(body)
3.2 サーバーが記録するデータ
| データ項目 | 目的 | 保持期間 |
|---|---|---|
| ユーザー ID・メール・表示名 | アカウント管理 | アカウント削除まで |
| API キー(ソルト付きハッシュ + 管理用暗号化平文) | 認証 | キー無効化まで |
| 使用トークン数・モデル名・日付 | 課金・レート制限 | 記録日から1年間 |
| アクセスログ(IP, UA, パス) | セキュリティ監視 | Cloud Run 標準ログ(30日間) |
ログに含まれない情報: リクエスト本文(テキスト・PDF データ)はアクセスログに記録されません。Express の logger ミドルウェアは URL パス・ステータスコード・レスポンス時間のみを記録します。
4. 個人情報保護法への対応
4.1 個人情報の第三者提供に該当しない理由
ModeNote のサービス利用は、個人情報保護法第27条第5項第1号に定める「委託」に該当し、第三者提供には当たりません。
法的根拠: 個人情報保護法 第27条第5項第1号 ─ 個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合は、第三者提供の制限は適用されない。
4.2 委託に該当する根拠
- 利用目的の範囲内の処理: ユーザーが「このテキスト/PDF を要約して」という指示を出し、ModeNote はその指示に従ってAI処理を行い結果を返すのみです。ユーザーの利用目的の達成に必要な範囲内でデータを処理しています。
- データの非保持: ModeNote サーバーはテキスト・PDF のコンテンツを保存せず、メモリ上で中継するのみです。処理完了後にデータは即座に破棄されます。
- AI API プロバイダーの契約上の保証: 有料 API プランにおいて、Google・Anthropic いずれもユーザーデータを AI モデルの学習に使用しないことを契約で保証しています(詳細は第8章参照)。
- 委託先の監督: ModeNote はデータ処理委託先として AI プロバイダーの利用規約・DPA(Data Processing Agreement)を確認し、適切な安全管理措置が講じられていることを監督しています。
4.3 要配慮個人情報を含むデータの取り扱い
企業や医療機関において、Web ページや PDF に要配慮個人情報(病歴、健康診断結果等)が含まれる場合でも、上記の「委託」の枠組み(個人情報保護法第27条第5項第1号)においては、第三者提供に該当せず、本人から個別の同意を取得する法的義務は生じません。これは、委託元である企業や医療機関が既に適法に取得した個人情報を、業務効率化(文書要約)の目的で委託先に処理させるものであり、利用目的の範囲内の取扱いに該当するためです。
ただし、委託元は以下の点に留意する必要があります:
- 委託先(ModeNote および AI プロバイダー)に対する必要かつ適切な監督を行うこと(同法第25条)
- 自組織のプライバシーポリシーまたは掲示等の手段において、AI を用いた業務効率化ツールの利用について利用目的に言及すること(同法第21条)
- 機微性の高い情報を扱う場合は、組織内のセキュリティポリシーに基づき適切な判断を行うこと
- ModeNote との間で、データの取扱いに関する条項を含む業務委託契約を締結すること
なお、透明性確保の観点から、委託元において「業務の効率化のため、AI を用いた文書要約ツールを利用している」旨を掲示等により周知することを推奨します。
4.4 外国にある第三者への個人データの提供
本サービスでは、要約処理・決済処理・データベース運用に伴い、以下の事業者に個人データを提供します。個人情報保護法第28条に基づく外国第三者提供として、以下の情報を公表します。
| 提供先 | 位置づけ | 所在国 | 個人情報保護制度・安全管理措置 |
|---|---|---|---|
| Google LLC | 委託先(AI要約) | 米国 | CDPA (Cloud Data Processing Addendum) に基づく契約上の保護措置 |
| Anthropic PBC | 委託先(AI要約) | 米国 | DPA (Data Processing Addendum) に基づく契約上の保護措置 |
| Neon, Inc. | 委託先(DB運用) | 米国法人(データ保管はシンガポールリージョン) | SOC 2 Type II 取得済み、encryption at rest |
| Stripe, Inc. | 決済代行事業者(委託ではなく独立した取扱事業者) | 米国 | PCI DSS Level 1 準拠、DPA に基づく契約上の保護措置 |
米国およびシンガポールは個人情報保護委員会による「同等性認定」の対象国ではありませんが、各社との間で適切なデータ処理契約(DPA / CDPA 等)を締結し、契約上の安全管理措置を確保しています。なお Stripe, Inc. は当社の委託先ではなく、カード情報等を独自に取扱う決済代行事業者であり、当社はクレジットカード番号等の決済情報を取得・保持しません。
5. 通信の暗号化
| 通信区間 | 暗号化方式 | 備考 |
|---|---|---|
| 拡張機能 → ModeNote サーバー | TLS 1.3 (HTTPS) | Google Cloud Run 経由 |
| ModeNote サーバー → Google Gemini API | TLS 1.3 (HTTPS) | Google Cloud インフラ |
| ModeNote サーバー → Anthropic Claude API | TLS 1.3 (HTTPS) | Anthropic Cloud インフラ |
すべての通信区間は HTTPS(TLS 1.3)で暗号化されており、平文での通信は一切行われません。
6. 認証・認可
6.1 ユーザー認証
- Google OAuth 2.0: ユーザーは Google アカウントで認証を行います。ModeNote はパスワードを保持しません。
- API キー認証: 各リクエストは API キー(
X-API-Keyヘッダー)で認証されます。
6.2 アクセス制御
- プランベースのモデル制限: ユーザーのサブスクリプションプランに応じて、利用可能な AI モデルが制限されます。
- レート制限: IP ベース(60リクエスト/分)およびトークンベース(日次・月次上限)の二重制限を適用。
- CORS 制限: 許可されたオリジンからのリクエストのみを受け付けます。
6.3 管理画面
- 管理画面へのアクセスはパスワード認証で保護されています。
- ログイン試行は 15 分あたり 5 回に制限されています(ブルートフォース防止)。
7. インフラストラクチャ
| 項目 | 詳細 |
|---|---|
| サーバー OS | Container (Alpine Linux) |
| ランタイム | Node.js |
| プロセス管理 | Google Cloud Run (auto-scaling) |
| リバースプロキシ / CDN | Google Cloud Load Balancer + Cloudflare DNS |
| データベース | PostgreSQL(Neon Serverless、シンガポールリージョン、encryption at rest) |
| サーバーリージョン | asia-southeast1(シンガポール) |
| セキュリティヘッダー | helmet.js(X-Frame-Options, HSTS, X-Content-Type-Options 等) |
7.1 Google Cloud Run
ModeNote サーバーは Google Cloud Run 上のコンテナとして稼働しています。Google Cloud のマネージドインフラにより、DDoS 防御、SSL/TLS 終端、オートスケーリングが提供されます。サーバーレスコンテナのため、OS レベルのパッチ適用は Google が自動的に行います。
8. AI プロバイダーのデータポリシー
8.1 Google Gemini API(有料プラン)
| 項目 | 内容 |
|---|---|
| データの学習利用 | なし ─ 有料 API のデータは AI モデルの学習に使用されない |
| データ処理契約 | CDPA(Cloud Data Processing Addendum)に基づく |
| データ保持期間 | 不正利用監視目的で最大 55 日間保持(その後自動削除) |
| Zero Data Retention (ZDR) | 申請により即時削除オプション利用可能 |
| リージョン | Google Cloud のグローバルインフラ |
8.2 Anthropic Claude API(有料プラン)
| 項目 | 内容 |
|---|---|
| データの学習利用 | なし ─ API 入出力データはモデルの学習・改善に使用されない |
| データ処理契約 | DPA(Data Processing Addendum)に基づく |
| データ保持期間 | 安全性評価目的で最大 30 日間保持(その後自動削除) |
| Zero Data Retention | 利用可能(契約オプション) |
| セキュリティ認証 | SOC 2 Type II 取得済み |
共通保証: Google・Anthropic いずれの有料 API においても、送信されたデータは AI モデルの学習・改善には一切使用されません。これは各社の利用規約および DPA により契約上保証されています。
9. コンプライアンス対応
| 法令・規格 | 対応状況 |
|---|---|
| 個人情報保護法(日本) | 対応済み ─ 委託構成、プライバシーポリシー公開 |
| Chrome Web Store ポリシー | 準拠 ─ Manifest V3、最小権限の原則 |
| GDPR(EU) | 検討中 ─ EU ユーザー向け対応を検討 |
| 特定商取引法(日本) | 対応済み ─ 表記ページ公開済み |
9.1 Chrome 拡張機能の権限
ModeNote が要求する Chrome 権限とその理由:
| 権限 | 用途 |
|---|---|
activeTab | 現在のタブのテキスト取得(要約対象) |
sidePanel | サイドパネル UI の表示 |
storage | 設定・プロンプトのローカル保存 |
tabs | マルチタブ要約時にタブ一覧を取得 |
scripting | ページからテキスト・PDF リンクを抽出 |
identity | Google OAuth 認証 |
host_permissions (<all_urls>) | あらゆるページのテキスト取得(要約対象がどのドメインかを事前に特定できないため)(ユーザーの明示的な操作時のみ実行。バックグラウンドでの自動取得は行いません) |
10. お問い合わせ
セキュリティに関するご質問・ご懸念がございましたら、下記までお問い合わせください。
- 事業者: 株式会社ModeNote
- お問い合わせ: お問い合わせフォーム