企業間取引のデータを、
銀行と同じ基準で守る。
調達購買のデータは、お客様の競争力そのもの。
newjiは「企業間のお金と情報を扱うシステムは、銀行と同等の品質が必要」という基準で、
技術・組織・運用の三方向からセキュリティに取り組んでいます。
newjiのセキュリティ、3つの柱
ツールを導入するだけでは企業データは守れません。
仕組み・人・運用の3つが揃って初めて、実効性のあるセキュリティになると考えています。
技術的な対策
暗号化通信・不正アクセス対策・アプリケーション層の堅牢性など、システムそのものの安全性を担保します。
組織的な対策
従業員研修・秘密保持契約・権限管理など、データを扱う「人」のリスクを仕組みで抑えます。
運用品質の担保
自動テスト・エラー監視・PR前チェックなど、日々の開発・運用の中で品質を維持する仕組みを整えています。
技術的な対策
システムそのものの安全性を、インフラからアプリケーション層まで多層で守ります。
データの暗号化保存
お客様のデータはサーバー段階で暗号化して保存。取引先情報や購買条件などの重要データを保護します。
常時SSL/TLS暗号化通信
すべての通信をSSL/TLSで暗号化。データの改ざん・なりすまし・通信内容の漏洩を防止します。
不正アクセス対策
DDoS保護・WAF・IDS・ファイアウォールを導入。不正アクセスの防御と、不審な活動の検知を行います。
脆弱性対策
ツールと目視による定期的な脆弱性チェックを実施。第三者機関による脆弱性診断の導入も予定しています。
メールなりすまし対策
DMARCを導入し、差出人のなりすましを防止。取引先とのメールコミュニケーションの信頼性を守ります。
AWS東京リージョンでの運用
AWSのクラウドインフラ上、東京リージョン(ap-northeast-1)でお客様の業務データを保管する方針です。物理セキュリティ・冗長化・複数AZ構成など、クラウドプロバイダーの堅牢な基盤を活用しています。
※ 本番環境の構成確定時に詳細を順次公開します。
アプリケーションセキュリティ
newjiは企業間取引を扱うシステムとして、
アプリケーション層で「そもそも他社データに触れない設計」を徹底しています。
二要素認証(2FA)
TOTP方式の二要素認証に対応。パスワードだけでは突破できない、強固な認証を実現します。
会社別データの完全分離
すべてのデータ読み書きに企業IDのスコープを徹底し、他社のデータには構造的にアクセスできない設計。意図的な共有(品目共有など)だけを例外として扱います。
役割別の権限管理
調達・営業・管理者など役割に応じたアクセス権限を設定。購買権限・営業権限を個別に制御でき、必要な人に必要な情報だけを開放します。
多段階承認ワークフロー
金額や条件に応じた承認ルールを設定可能。意図しない発注や操作を組織的に防止します。
全操作の変更履歴
品目・発注・見積などのデータ変更をすべて履歴として記録。「いつ・誰が・どこを変えたか」を追跡でき、監査・内部統制にも対応できます。
レート制限
ログイン試行は15分あたり10回、API利用は1時間あたり100回、ファイルアップロードは1時間あたり50回など、操作ごとに上限を設定。ブルートフォース攻撃や異常な大量アクセスを自動でブロックします。
ログイン履歴の記録
すべてのログインをIP・タイムスタンプ・デバイス情報とともに記録。不正アクセスの兆候があった場合、即座に追跡できます。
APIキーの暗号化管理
外部AI(Claude・GPT・Gemini等)との連携用APIキーは暗号化して保管。企業ごとに分離し、他社から参照されることはありません。
AI操作は必ず人間が承認
AIアシスタントがデータを作成・更新する重要な操作は、必ず人間の確認と承認を経てから実行。意図しない自動処理で業務が壊れないよう、最終判断は常に人間が握ります。
全データの一括エクスポート
管理者権限で、自社の品目・取引先・在庫・発注・見積・契約などの業務データを、いつでもCSV一括でダウンロード可能。お客様のデータは常にお客様のもの、というデータポータビリティの原則を実装で担保しています。
外部AIへの送信データポリシー
AI機能(Claude / GPT / Gemini)を利用する場合でも、お客様の業務データが各AIプロバイダーの学習データに使われないよう、商用API契約条件のもとで運用しています。パスワード・APIキー・2FAシークレット・添付ファイル本体は送信されません。
※ 企業ごとの設定で、AI機能全体を無効化することも可能です。
退会時のデータ削除方針
ご契約終了時には、誤操作・復元要求に備えて一定期間データを保持したのち、物理削除する方針です。バックアップからの完全消去は次回ローテーション時に完了します。
※ 保持期間・復元フローの詳細は利用規約およびプライバシーポリシーに準拠します。
外部AIプロバイダーの開示
AI機能を利用する場合、以下のプロバイダーに必要最小限の業務データを送信します。
いずれも商用APIの契約条件のもと、送信データはプロバイダー側のAIモデルの学習には使用されません。
| プロバイダー | 所在国 | 主な第三者認証 | 用途 |
|---|---|---|---|
| Anthropic, PBC(Claude) | 米国 | SOC 2 Type II | テキスト生成・データ抽出・要約 |
| OpenAI, LLC(GPT) | 米国 | SOC 2 Type II | テキスト生成・データ抽出・要約 |
| Google LLC(Gemini) | 米国 | SOC 2 Type II / ISO/IEC 27001 | テキスト生成・データ抽出・要約 |
接続経路の2方式
本サービスの基本動作に必要な一部のAI機能は、newjiが契約する外部AIプロバイダーのAPIを通じて動作します。当社のAPIキー経由で送信されます。
大部分のAI機能は、お客様自身が契約するAPIキーを本サービスに登録して動作します。お客様のAPIキーは暗号化して保管し、他社から参照されることはありません。
企業ごとの設定で、AI機能全体を無効化することも可能です。無効化した場合、外部AIへのデータ送信は一切発生しません。
組織的な対策
システムを扱うのは人です。
従業員教育・契約・物理環境の面からも、リスクを仕組みで抑えます。
セキュリティ監視区画
オフィス内にセキュリティ監視区画を設置し、ログの定期的なモニタリングを実施。異常があれば即座に対応します。
機密文書の安全な廃棄
機密文書は施錠付きの溶解BOXで廃棄。紙媒体からの情報漏洩リスクを排除します。
セキュリティ研修
全従業員に対してセキュリティ研修を実施し、リテラシー向上に継続的に取り組んでいます。
秘密保持契約(NDA)
全従業員と、入社時および退社時に秘密保持契約を締結。お客様の情報を扱う責任を明文化しています。
特権アカウントの最小化
管理者権限を持つ特権アカウントは、業務上必要な最小限の人員に制限。定期的な利用者管理を行っています。
端末・記憶媒体の管理
業務端末へのアプリケーションインストール・可搬記憶媒体の利用について社内規定を整備。外部からの脅威を防御します。
運用品質の担保
セキュリティは一度設定したら終わりではありません。
日々の開発・運用の中で品質を維持する仕組みを整えています。
エラー監視と運用可視化
サーバー上のエラーや異常を常時監視し、発生した問題をリアルタイムで検知。構造化ログで「どの操作で何が起きたか」を追跡でき、問題があれば速やかに対応します。
自動テストと型チェック
コード変更のたびに自動テスト・TypeScript型チェック・ビルド検証を実施。「権限チェックが入っているか」「データが他社に漏れていないか」を機械的に確認してからリリースします。
リリース前の全項目チェック
PR(コード変更提案)のたびにセキュリティ・品質チェックリストの全項目を確認。ビジネスロジック・認証・権限の漏れがないか、機械的・人的の両面で検証します。
継続的な脆弱性更新
使用しているフレームワーク・ライブラリの脆弱性情報を常時監視し、セキュリティパッチを速やかに適用します。
インシデント対応
万が一セキュリティインシデントが発生した場合、速やかにお客様へ通知し、影響範囲の特定・封じ込め・再発防止策を実施します。
セキュリティ基準の継続的見直し
「企業間取引データは銀行と同等品質が必要」という基準を常に見直し、最新の脅威と技術トレンドに合わせて更新しています。
本ページに記載された技術的・アプリケーション・運用品質の項目は、現在のnewjiプラットフォームに実装済みの内容です。
委託先の認証取得状況および当社の認証取得ロードマップについては、下部の「Compliance & Roadmap」セクションをご参照ください。
認証取得状況と今後のロードマップ
委託先の第三者認証ステータスを開示するとともに、newji自身の認証取得についても順次準備を進めています。
主要委託先の認証取得状況
| 区分 | 委託先 | 所在国 | 主な第三者認証 |
|---|---|---|---|
| クラウドインフラ | アマゾンウェブサービスジャパン合同会社(AWS) | 日本(東京リージョン) | ISO/IEC 27001 / 27017 / 27018、SOC 1/2/3、PCI DSS |
| メール配信 | Resend, Inc. | 米国 | SOC 2 Type II |
| エラー監視 | Functional Software, Inc.(Sentry) | 米国 | SOC 2 Type II、ISO/IEC 27001 |
| AI機能 | Anthropic, PBC / OpenAI, LLC / Google LLC | 米国 | 各社の商用 API における SOC 2 Type II 等 |
newji の認証取得ロードマップ
自社運用基準の確立と委託先認証の開示
銀行同等品質の運用基準で開発・運用を実施。主要委託先の第三者認証ステータスを上表のとおり継続的に開示しています。
第三者機関による脆弱性診断
本番リリース後、外部のセキュリティ専門会社による脆弱性診断の実施を計画。指摘事項の対応・再診断のサイクルを確立します。
ISMS(ISO/IEC 27001)認証取得
情報セキュリティマネジメントシステムの第三者認証取得に向けた準備を進めます。エンタープライズのお客様の調達基準に応える体制を整えます。
SOC 2 Type II 認証取得
米国・グローバル取引先のお客様にも対応できるよう、SOC 2 Type II 等の国際標準認証の取得を中長期で計画しています。
ロードマップ各フェーズの実施時期は、本サービスの利用拡大状況・お客様のご要望・社内体制整備の進捗に応じて柔軟に調整します。
個別のセキュリティチェックシート対応・DPA(データ処理補完契約)締結等のご要望は、下部の問い合わせフォームよりご連絡ください。