セキュリティ

コンプライアンス

Lumoのセキュリティは、国内外の公的ガイドラインや業界標準を踏まえて設計・運用しています。第三者機関による認定の取得や、公的な規格・法令への準拠を通じて、継続的に信頼性の確保に努めています。

プライバシーマーク認定

運営会社はJIPDEC認定のプライバシーマークを取得し、JIS Q 15001に基づく個人情報保護マネジメントシステムを運用しています。

LINEヤフー認定テクノロジーパートナー

LINEヤフー株式会社より、LINEプラットフォームのセキュリティ要件および技術審査を通過した技術パートナーとして認定されています。

HubSpot認定テクノロジーパートナー

HubSpotのテクノロジーパートナーとして、セキュリティ・プライバシー基準に準拠したアプリケーションを提供しています。

準拠している規格・法令

個人情報の保護に関する法律（個人情報保護法）
JIS Q 15001
電気通信事業法
不正アクセス禁止法
経済産業省「クラウドサービスレベルのチェックリスト」
総務省「ASP/SaaS情報開示指針」
IPA「安全なウェブサイトの作り方」
OWASP Top 10 for LLM Applications 2025

外部機関による脆弱性診断

外部専門機関による脆弱性診断を年1回以上実施。診断結果のサマリはNDA締結のうえでご共有が可能です。

データ保護

お客さまからお預かりするデータは、Lumoが提供するすべての機能の土台です。データの性質に応じて取り扱いのレベルを分け、どこに保管し、どのように暗号化し、いつ削除するかまでを設計しています。
個人データの取り扱いの詳細については、個人情報取り扱い規定をご覧ください。

個人データの取り扱い

お客さまからお預かりする個人データは、個人情報保護法および「個人情報取り扱い規定」に基づき、秘密保持・目的外利用の禁止・安全管理措置などを厳格に遵守して取り扱います。すべての従業員・業務委託先との間で秘密保持契約を締結し、個人情報を取り扱う従業員には定期的な教育・監督を実施しています。個人データの取り扱いを再委託する場合も、当社と同等の義務を課したうえで必要な監督を行います。

ワークスペース単位での厳密な分離

すべてのデータはワークスペース単位で構造的に分離され、他のお客さまのデータが混在することを防止しています。また、データの分離が正しく機能しているかを自動テストで継続的に検証しており、分離が不十分な変更はリリース前に自動で検出・拒否されます。

契約終了時のデータ削除

契約終了時またはお客さまのご要望に応じて、お預かりしているデータを30営業日以内に削除します。ご希望があれば削除完了の証明書を交付します。

データの保管場所

データベースおよびバックアップはGCP東京リージョン（日本国内）、ファイルストレージはCloudflare R2アジア太平洋リージョンです。

保存時・通信時の暗号化

保存時はAES-256、通信時はTLS 1.2以上で暗号化。機密性の高いデータにはアプリケーションレベルの追加暗号化も適用しています。

重要度に応じたデータ分類

データを重要度の4段階（Critical／High／Medium／Low）に分類し、それぞれに応じた暗号化・アクセス制御・ログ記録を適用しています。

AIセキュリティ

Lumoの中核機能はAIエージェントです。マーケティング施策の企画支援からLINE上での自動応答まで、AIがお客さまの業務に深く関わります。だからこそ、AI固有のリスクに対しての対策を厳重に整備しています。

お客さまデータのAI再学習利用の禁止

お客さまのデータが、外部AIモデルの学習・ファインチューニングに利用されることは一切ありません。AIへの入力は対象ワークスペースのデータに限定され、処理結果も対象ワークスペース内にのみ保存されます。

AI処理はGoogle Cloud内で完結

LumoのAI処理はすべてGoogle Cloud内の閉じた環境で完結し、お客さまのデータが外部のAIサービスに送られることはありません。処理はすべて日本国内で実行されます。

ユーザーによる承認フロー（Human-in-the-Loop）

AIはマーケティング施策の提案や下書き作成までを担い、LINE配信やセグメント・ワークフローの有効化といった実行の判断は必ずユーザーが行います。

OWASP Top 10 for LLM Applications 2025を踏まえたセキュリティ設計

AI/LLM特有のリスクについて、OWASP Top 10 for LLM Applications 2025を参照し、全10項目に対する対策を設計・運用に反映しています。継続的な見直しを通じて、リスク低減に努めています。

LINE連携

Lumoは、LINE公式アカウントとの連携がサービスの中核を担っています。LINEヤフー認定テクノロジーパートナーとして、LINEプラットフォームのセキュリティ要件を満たした実装を行っています。

Webhookの署名検証

LINEからのWebhookはすべて署名検証を実施。チャネルシークレットはワークスペースごとに個別管理・暗号化しています。

LINEユーザーデータの保護

LINEユーザーID、プロフィール情報、チャネルアクセストークンはワークスペース単位で分離管理。アクセストークンは暗号化して保存しています。

LINEへのログイン

標準的なOAuth 2.0 / OpenID Connectフローで実装し、取得情報はサービス提供に必要な最小限に限定しています。

配信メッセージの安全性

AIが作成した配信メッセージは、お客さまのプレビューと承認を経てから送信されます。セグメント配信の対象条件もワークスペース内のデータのみを参照するため、他のお客さまのエンドユーザーに誤配信されることはありません。

可用性・インシデント対応

サービスが止まったりデータが失われたりする危険性に備え、継続的な監視体制と、万が一の事態に備えた対応フローを整えています。

冗長構成とオートスケーリング

主要サービスは常時複数インスタンスで稼働し、単一障害点を排除。目標稼働率は月間99.9%、24時間365日のサービス提供を目指しています。

バックアップと災害復旧

定期的なフルバックアップとPITR（ポイントインタイムリカバリ）により、任意の時点への復旧が可能です。RTO 1時間未満、RPO 5分未満を目標としています。

24時間体制の監視と通知

サービスの稼働状況やセキュリティイベントを継続的に監視し、インシデント発生時は影響を受けるお客さまに72時間以内に第一報を通知します。

インシデント対応の6フェーズ

検知・報告／初動対応／調査・分析／復旧／通知／再発防止の6フェーズで定型化した対応体制を整えています。発見者はセキュリティ責任者に即時報告し、影響範囲の特定からお客さまへの通知、再発防止策まで一貫して対応します。