WOVN のサービスを安心してご利用いただくための取り組み

1. セキュリティ対策の概要

当社サービス提供基盤のセキュリティ対策概要を次の図で示します。

2. 通信やデータの保護

当社サービス提供基盤との通信、またお客様データはすべてストレージベースで暗号化されて保管されています。またそれらデータへのアクセスを厳格に管理しています。

3. 外部からの攻撃に対する多層的な防御

外部から当社サービス提供基盤への攻撃に備え、次の図で示すような多層的な防御を実装し、運用しています。

4. 可用性

当社サービス提供基盤は、次の図で示すような高い可用性を確保し、安定したサービスの提供に努めています。

1. 目的

Wovn Technologies 株式会社（以下「当社」）は、経営理念の実現に向け、業務上保有する情報資産の保護と適正に管理することを目的として、情報セキュリティ対策の基本方針をここに定めます。

2. 適用範囲

この基本方針は、業務上保有する全ての情報資産及びこれを利用する全ての者（以下「情報利用者」）に適用します。

3. 基本方針

情報セキュリティの責任者および管理部署を定め、情報セキュリティに対する必要なセキュリティ対策、継続的改善を実施できる体制を維持してまいります。

4. 情報セキュリティ対策の実施

情報資産への脅威（不正アクセス/漏洩/改ざん/紛失/破壊/利用妨害等）に対し、機密性、完全性および可用性を確実に保護するための人的、組織的、技術的施策を講じ、情報資産を安全かつ適正に管理、運用いたします。

5. 情報セキュリティ教育の実施

情報利用者に対し必要な情報セキュリティ教育を実施し、基本方針ならびに各種規程の周知徹底と、リテラシーの向上を進めます。

6. 継続的な改善

これらの基本方針、規程などを継続的に見直し、改善することに努めます。

1. 目的

Wovn Technologies株式会社（以下、「当社」）は、クラウドサービスの提供および利用における情報セキュリティを維持・向上させるため、本方針を確立しました。当社が提供するクラウドサービス（以下、「当社サービス」）を安心してご利用いただくために、当社では当社サービスの提供に関わる役員、従業者を含めた関係者が本方針を順守し、当社サービスにおける情報セキュリティの継続的な改善に真摯に取り組みます。

2. 当社サービスの設計及び実装に適用する情報セキュリティ要求事項

お客様からいただく情報セキュリティ要求事項および、情報セキュリティに関わる事業関連法令の要求事項、当社の情報セキュリティ方針を踏まえて、当社サービスの設計、開発および運用を行います。

3. 内部関係者に対するリスクへの対応 および お客様データへのアクセス制御手順

当社サービスでお客様からお預かりするデータに対して、サポート問合せへの対応やプロ翻訳依頼をいただいた際の対応などお客様の許可を得た場合や、当社サービスの運用上やむを得ず必要と判断した場合を除き、原則アクセスしません。またデータへのアクセス権は、常に必要最小限の範囲に制限し、その内容を定期的に監査することにより、内部の関係者に対するリスク対策を行います。

4. マルチテナントに対するリスクへの対応

当社サービスは、マルチテナントアーキテクチャを採用しています。お客様間で相互に、お客様のデータへアクセスできないよう論理的に分離しています。

5. 当社サービスの変更通知に関する方針

当社サービスの変更（機能の廃止、サービスメンテナンスによる停止など）が発生する場合は、お客様への影響を考慮し、当社が定めた方法にて可能な限り事前に通知します。

6. お客様の利用終了後のアカウントおよびデータに関する方針

お客様と当社との間で、当社サービスの利用契約が終了した場合、合意された利用規約の定めに従い、お客様のアカウント及びデータは、当社が定めた期間内に当社の定める方法で適切に削除します。

7. お客様によるフォレンジック調査への支援についての方針

当社サービスの利用に伴い発生する各種ログ等のディジタル証拠について、法の定める要求またはお客様による個別の提出要請に対し、その提供が適切であると判断できた場合、当社サービス提供に影響の無い範囲で個別の提出に応じることが可能です。ログ等は当社サービスの機能を通してのみ、お客様に提供されます。また当社は、ログデータの改ざん防止と信頼性を確保するため、保存期間、保存方式、アクセス制限を定めています。

はじめに

当社サービスは ISO/IEC 27017 クラウドサービスプロバイダ が提供すべきセキュリティ対策を実装しています。

このページでは、それら機能の提供内容について説明します。

適用範囲

当社が提供する次のサービスに適用されます。

• WOVN.io ( WOVN.api や 各種導入方式で提供するものを含みます )
• WOVN.app
• WOVN.video
• 翻訳Now.

1. サービスの提供形態

WOVN が提供するすべてのクラウドサービスは SaaS サービスとして提供しています。

2. お客様との責任分界点

以下の責任範囲をお客様と当社で分担しています。

当社の責任範囲

• 当社サービス提供基盤およびアプリケーションに対するセキュリティ対策
• 当社サービスに保管されたお客様データの保護

お客様の責任範囲

• お客様アカウントおよびパスワードの適切な管理
• 当社サービスを利用いただくにあたって必要な当社サービスの設定管理
• 当社サービスを利用いただくにあたって必要な基盤やアプリケーション等の管理
• 当社サービスに保管されるお客様データの制御
• お客様データのバックアップ

3. お客様データの保管場所

お客様からお預かりしたデータは、当社のサービス提供基盤にて保管されます。

当社はサービス提供基盤として AWS (Amazon Web Services) を利用しており、アメリカ合衆国 オレゴン州とオハイオ州のリージョンにてデータが保管されます。

4. お客様データの削除

当社は、お客様との本サービス利用契約の終了後、お客様データを削除するものとし、その結果、預託データの破損、消失等が生じないことについて、何ら保証するものではありません。

削除方法としては、解約時にお客様にてプロジェクト削除を実施いただきます。プロジェクト削除により速やかにお客様のデータが削除されます。プロジェクト削除されていない場合、3ヶ月経過後に当社にて削除いたします。

お客様アカウントの削除については、ご自身での削除をお願いしております。お客様アカウントの削除は以下の次の手順により実施いただけます。

• お客様アカウントの削除 （↗︎ 詳細はこちら）

ただし当社は、当該データのログ及びバックアップを、障害対応又は不正利用の防止等、当社サービスの安定的な運用に必要な範囲で保持する場合がございます。

お客様にて、お客様データの削除を実施いただいた場合にも同一の仕様となります。

ログデータおよびバックアップデータの最大保持期間は以下となります。

• ログデータ：400日間
• バックアップデータ：14日間

5. お客様データへのラベル付け機能

次のラベル付機能を提供しています。

• ページに対するラベル付け機能 （↗︎ 詳細はこちら）
• 翻訳対象文字に対するラベル付け機能 （↗︎ 詳細はこちら）

6. お客様アカウントの登録および削除

お客様アカウントの登録および削除は次の手順により実施いただけます。

• お客様アカウントの作成 （↗︎ 詳細はこちら）
• プロジェクトに紐づくアカウントの管理 （↗︎ 詳細はこちら）
• お客様アカウントの削除 （↗︎ 詳細はこちら）

お客様アカウントの削除により、お客様アカウントに関係するデータが削除されます。

ただし、ログデータおよびバックアップデータには一定期間保持されます。

ログデータおよびバックアップデータの最大保持期間は以下となります。

• ログデータ：400日間
• バックアップデータ：14日間

7. アクセス権の管理

お客様は、登録したお客様アカウントの権限を、次の手順により切り替えることが出来ます。

• プロジェクトごとのアカウントの権限 （↗︎ 詳細はこちら）

8. お客様アカウントのパスワード管理方法

新規登録したユーザーは、ユーザ登録時に自身でパスワードを設定することが可能です。またその際に多要素認証を有効化することを推奨しております。

また、パスワードの変更は、パスワード変更画面から実施いただけます。

パスワードを忘れてしまった場合、サインイン画面からパスワードリセットを実施いただけます。

具体的な手順を次のページにて公開しております。

• パスワードの変更 （↗︎ 詳細はこちら）
• パスワードを忘れてしまった場合 （↗︎ 詳細はこちら）

9. お客様データの暗号化

当社は、お客様のデータを通信時および保管時のそれぞれで暗号化しています。

10. 当社サービスの変更管理

サービスへの機能追加等変更については、ログイン後のダッシュボードから確認いただけます。

11. 手順書の提供

お客様が利用できる手順は、 以下よりご確認いただけます。

• サポートページ （↗︎ 詳細はこちら）

12. バックアップについて

お客様データは、当社データベースにて保管されます。当該データのバックアップを日次で14世代保持しています。

このバックアップデータは、当社がサービス運用として必要な場合にのみ利用します。お客様からの個別の復元要求へのご要望には対応しておりません。

お客様向けのバックアップ機能として、次の機能を利用いただくことができます。

• 翻訳データのダウンロード・アップロードの使い方 （↗︎ 詳細はこちら）
• 翻訳データダウンロード機能 （↗︎ 詳細はこちら）
• 用語集の使い方 （↗︎ 詳細はこちら）

13. ログの時刻に関する情報

当社サービス内で提供されるログは、タイムゾーン UTC で記録されています。

お客様は、管理画面よりプロジェクト設定変更に関するログを確認および取得することができます。ログは3ヶ月間保持されます。

• アクティビティログ （↗︎ 詳細はこちら）

これらログの時刻は、当社がサービス基盤として利用する AWS が提供する NTP サービスと同期しています。

14. 脆弱性管理に関する情報

当社では、システムで利用している OS 、ミドルウェア等に関する脆弱性情報を、定期的に収集しています。

システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適用されます。

15. 開発におけるセキュリティ情報

当社サービスは、以下のようなガイドライン、または当社が定めるコーディング規約等に則り開発されます。

• 「NIST SP 800-218 Secure Software Development Framework」を参考に、アプリケーションの開発サイクルを管理
• 「IPA 安全なウェブサイトの作り方」を参考に、セキュリティを考慮したアプリケーションの開発
• 各利用言語のコーディングガイドを元にした当社が定めるコーディング規約

16. インシデント発生時の対応

お客様に大きな影響を与えるセキュリティインシデント（データの消失、長時間のシステム停止等）が発生した場合は、インシデント検知後最大72時間を目標に次のいずれかの方法でお知らせいたします。

• サービスステータスページを更新することによる通知 （↗︎ サービスステータスページはこちら）
• プロジェクト所有者権限のユーザへメールによる通知

情報セキュリティインシデントに関する問合せは、お問い合わせ窓口よりご連絡ください。

• お問い合わせ窓口: （↗︎ お問い合わせフォーム）

17. お客様データの保護および第三者提供について

お客様データは、当社のサービス提供基盤にて保管されます。当社では合理的な努力のもと、お客様データの保護を行っています。お客様データへのアクセス権は限られた従業者にのみ付与されています。

ただし法令又は裁判所若しくは政府機関の命令に基づき、秘密情報を開示する可能性があります。この際、当社は可能な限りお客様へ事前に通知を行います。

18. 適用法令

当社サービス利用規約は、日本法に基づいて解釈されるものとします。

19. 認証

現在、ISMS および ISO 27017 認証取得にむけての対応を実施しております。

20. 外部クラウドサービスの利用

次の外部クラウドサービスを利用しています。当社では外部クラウドサービス利用前に、当社の定める情報セキュリティ基準を満たすことを確認した上で、外部サービス利用の契約を締結し、利用を開始しています。

クラウドサービス名	利用用途	運営会社	本社所在国	データ保管国
Amazon Web Services (AWS)	提供サービスの基盤として利用	Amazon Web Services, Inc.	アメリカ合衆国	アメリカ合衆国（オレゴン州、オハイオ州）
Jira, Confluence, statuspage	お問合せ対応の管理、サービスステータスページの公開	Atlassian, Inc.	オーストラリア	オーストラリア
Datadog	お問合せ対応の管理、サービスステータスページの公開	Datadog, Inc.	アメリカ合衆国	アメリカ合衆国（カリフォルニア州）
DeepL API	機械翻訳プロバイダの1つとして利用	DeepL SE	ドイツ	ドイツ
Fastly	翻訳応答等をキャッシュする CDN として利用 WOVN Proxy のサービス基盤として利用	Fastly, Inc.	アメリカ合衆国	キャッシュデータは世界中に分散して保管
Google Cloud Platform	機械翻訳プロバイダの1つとして利用	Google LLC	アメリカ合衆国	アメリカ合衆国
Mandrill	システムメール送信のため	Intuit Inc.	アメリカ合衆国	アメリカ合衆国
Microsoft Azure	機械翻訳プロバイダの1つとして利用 生成 AI を利用する機能を有効化した際に設定に応じて利用	Microsoft Corporation	アメリカ合衆国	アメリカ合衆国
みらい翻訳 API	機械翻訳プロバイダの1つとして利用	株式会社みらい翻訳	日本	アメリカ合衆国（カリフォルニア州）
MongoDB Atlas	サービス基盤の一部を構成するデータベースとして利用	MongoDB, Inc.	アメリカ合衆国	アメリカ合衆国（オレゴン州）
OpenAI	機械翻訳プロバイダの1つとして利用 生成 AI を利用する機能を有効化した際に設定に応じて利用	OpenAI LLC	アメリカ合衆国	アメリカ合衆国
Phrase TMS	プロ翻訳を依頼いただいた場合の翻訳作業およびその管理のため	Phrase a.s.	チェコ共和国	ドイツ
Re:lation	お客様からのお問合せを管理するため	株式会社インゲージ	日本	日本
Replicate	WOVN.video サービスを利用いただく際の文字起こし機能のため	Replicate, Inc.	アメリカ合衆国	アメリカ合衆国
Rollbar	エラーログの収集と通知のため	Rollbar, Inc.	アメリカ合衆国	アメリカ合衆国
Salesforce	お客様からのお問合せを管理するため	Salesforce, Inc.	アメリカ合衆国	日本
Sumo Logic	各種ログの収集と検索基盤として利用するため	Sumo Logic, Inc.	アメリカ合衆国	日本
Zendesk	サポートページ公開のため	Zendesk, Inc.	アメリカ合衆国	アメリカ合衆国

21. 委託先の利用

プロ翻訳サービスをご利用いただく場合、当社は以下に記載する委託先へ翻訳業務を委託する場合があります。

委託先	本社所在国
株式会社アミット	日本
株式会社 翻訳センター	日本
株式会社川村インターナショナル	日本
株式会社東輪堂	日本
日本映像翻訳アカデミー株式会社	日本

これらの委託先に対しては、当社の定める情報セキュリティ基準を満たすことを確認した上で、委託契約を締結しています。また、定期的なセキュリティ監査を実施し、セキュリティ水準の維持・向上に努めています。

なお依頼いただいたプロ翻訳の言語ペアまたは当社内の翻訳者の稼働状況によっては、当社が選定した個人の翻訳者による翻訳を行う場合がございます。この場合においても、当社はその翻訳者に対して当社の定める情報セキュリティ基準を満たすことを確認した上で、翻訳業務を委託しています。

1. 脆弱性の報告方法

WOVN のサービスにおいてセキュリティ上の脆弱性を発見された場合は、以下の方法でご報告ください。

• メールアドレス: security@wovn.io
• 件名: [脆弱性報告]

2. 対象外とする脆弱性

以下の脆弱性については、脆弱性報告の対象外としております。報告いただいたとしてもその報告を契機としての対応は行いません。

• ソーシャルエンジニアリング
• システム環境や当社オフィス環境への物理的なアクセスの侵害
• DoS に関する軽微な脆弱性
• 当社がサポートしていないブラウザやデバイスでのみ生じる問題
• ユーザーのパスワードを推測する脆弱性
• DKIM, SPF, DMARC などのメール認証用 DNS レコードに関する推奨されない構成

3. 報告時に必要な情報

脆弱性報告の際は、以下の情報をできるだけ詳しくご提供ください：

• 脆弱性の概要
• 脆弱性の再現手順
• 影響を受けるサービスやコンポーネント
• 想定される影響や被害

4. バグバウンティプログラムについて

私たちは「すべての人が母国語で情報を得られる世界」の実現を目指し、グローバルな情報アクセシビリティを支えるサービスを提供しています。現在、報奨金を伴うバグバウンティプログラムは実施しておりませんが、安全で信頼性の高いサービスの提供に努めています。万が一、脆弱性などの問題にお気づきの際は、ぜひご連絡いただけますと幸いです。

最終改訂日

2025年4月30日

改訂履歴