ログイン

セキュリティポリシー

最終更新日 2026.02.18

弁護士業務をサポートする以上、情報セキュリティは当社の生命線です。お客様の情報は万全の形で保護されます。

 

 

はじめに

firmeeはクラウドを利用した管理サービスです。クラウドアプリのセキュリティリスクは大きく以下の4つです。

  • プラットフォームに起因するリスク
  • サーバに起因するリスク
  • アプリケーションに起因するリスク
  • ユーザ側に起因するリスク

 

当社はこの全てにおいて万全の体制を構築しています。

 

最強のインフラストラクチャ

一般にクラウドサービスは特定のインフラストラクチャ上で作動します。
firmeeはAmazon Web Services(以下「AWS」といいます)の東京リージョンで運用されています。
AWSは世界最大級のクラウドインフラストラクチャプロバイダーであり、世界中の政府機関、金融機関、大手企業に採用されている、最高水準のセキュリティと信頼性を誇るプラットフォームです。

firmeeは、AWSが提供する以下のサービスを活用した高度な冗長化構成を採用しています。

  • AWS Fargate:複数のアプリケーションサーバーをコンテナ化し、自動的に負荷分散を行うことで、高い可用性と拡張性を実現しています。
  • AWS Aurora:複数のアベイラビリティーゾーンにまたがるデータベースクラスター構成により、自動的なフェイルオーバーと高速なデータ復旧を実現しています。

アプリケーションは独立したプラットフォーム環境で動作し、厳重にアクセス管理されています。 アクセスはもちろんSSL(Secure Sockets Layer)/TLS(Transport Layer Security)により暗号化されます。 システムへのアクセス権者も限定されており、またいわゆる総当たり攻撃(brute force)を防ぐため パスワード認証ではなくキー認証(公開鍵と秘密鍵を組み合わせて初めてアクセスできる方式)を採用しています。
脆弱性を発見、対策するために幾重にも及ぶ検証作業を設けており、プラットフォームの公開にあたっては、侵入テスト、 脆弱性審査、コードチェックなどを繰り返した上、第三者の検証機関による検査を実施しています。 公開後も定期的な第三者検証を実施しています。
データベースは毎日自動バックアップを実施しており、万が一のデータロスに対しても迅速な復旧が可能です。 アプリケーションは複数のサーバに分散して運用されており、 不測の事態が生じた場合にも自動的にバックアップサーバーに切り替わり、サービスの継続性が保たれます。

当然のことながら、AWS及び当社にとってユーザーの情報はすべてのユーザのものであり、ソースコード、 入力情報は自由に廃棄、変更、出力が可能です。AWSの従業員は、当社からの要請がない限り、 firmeeの情報にアクセスすることはありません。 従業員の採用時には厳重なセキュリティチェックを行っています。またセキュリティチームが頻繁に研修を実施しています。

誤解されがちですが、クラウドアプリケーションのセキュリティはインストール型のアプリケーションよりも一般に強固です。インストール型のアプリケーションであっても、利用するコンピュータがスタンドアロンでなければ、実はクラウドと同じようにインターネットに接続されています。アプリケーションに脆弱性が見つかれば、ネットを介して容易にソフトウェア情報にアクセスすることが可能です。コンピュータの世界に国境はなく、日本国内に限られたウィルスや脆弱性を検証するだけでは足りません。ユーザー数が少なければ脆弱性のチェックに費やすことのできる労力も限られます。本当にセキュリティを実現するためにはスタンドアロン型端末のみを利用しなければなりませんが、現実的ではありません。
AWSでは、早期に、確実に脆弱性が発見され、検証され、対策されます。新たな脆弱性の発見を促すために報酬制度も設けており、そのスピード感はまさに桁違いです。世界規模で展開しているため、あらゆる種類の脆弱性に対応しています。

スタンドアロン端末だけで弁護士業務を行うことは、極めて不便です。他のクラウドサービスとの統合もできません。便利さの観点からも、セキュリティの観点からも、クラウドアプリケーションは圧倒的に優れているのです。

 

最強のデータセンター

firmeeは、Amazon社が提供するAmazon Web Services(以下「AWS」といいます)の東京リージョンデータセンターを利用しています。AWSのデータセンターは以下のすべての認証を受けています。

  • ISO27001
  • SOC 1 and SOC 2、SSAE 16、ISAE 3402
  • PCI DSS Level 1
  • FISMA Moderate  など

ISO27001は情報管理の国際認証規格で、法律、施設、テクノロジーの各観点から万全な情報セキュリティ管理を実施する組織のみに与えられる認証です。SOCは、サーバ管理を委託する企業として適切な内部統制を構築していることを監査法人や公認会計士が認証するものです。PCIはクレジットカード情報を取り扱う企業としての認証、FISMA Moderateはアメリカ政府の情報を安全に取り扱うことのお墨付きです。このように、AWSは世界中の主要なセキュリティ認証を受けています。

AWSのサーバ施設は原則として非公開で、目立たない建物にひっそりと設けられています。他方、その内部では軍施設や国境警備と同等のセキュリティ管理が実施されています。施設内のみならず、敷地内に入る際にも厳格な入場制限が課せられ、電子機器をはじめとする工業品は原則持ち込み禁止とされています。スタッフであっても建物内でアクセスできる部屋は必要な範囲に限られており、入室の都度、認証が求められます。サーバやコンピュータへの電子的なアクセスにも厳格な認証が求められ、そのすべてのログが記録され、事後的な監査を受けています。

火災などの災害に対する備えも万全です。自動検知機能、防火扉、スプリンクラーなど最先端の機能がすべての部屋に設けられています。電源も何重にも確保されており、バックアップも万全です。
サーバは世界中の施設で分散管理されており、一部に不測の事態が生じても即座に相互に補完しあい、対応されます。特に東京リージョンは複数のアベイラビリティーゾーン(独立したデータセンター)で構成されており、高い冗長性と可用性を実現しています。

このように、想定されうるあらゆるリスクに対し、実現可能な最高レベルのセキュリティが実現されています。インストール型のアプリケーションは一般に事務所内のサーバにされますが、軍と同程度のセキュリティを実現することはまずありえません。サーバや管理する施設に不測の事態が生じればそれまでです。アプリケーションの販売先企業においてバックアップが取られている場合もありますが、その企業がAWSと同等のセキュリティを確保していることはほとんどありません。
データセンターのセキュリティという観点からも、実はクラウド型のほうが安全なのです。

 

安心の運営体制

当社の運営は大きく開発チーム(責任者:小川晴昭)と経営チーム(責任者:井桁大介)に分かれています。 お客様の情報に直接アクセスできるのは開発チームだけです。 経営チームのメンバーは、弁護士資格を有する者を含め、お客様の情報に直接アクセスすることはありません。

開発チームのメンバーに対しては、経営チームが厳格なセキュリティチェックを施します。 経歴の確認を始め、その人物に対する全人格的な審査を経なければ、アクセス権限を与えることはありません。

firmeeの運営に際しては、ファイヤーウォール、不正侵入対策、SSLなどの確立されたセキュリティ技術を用いて、 常に最先端の情報保護をはかるとともに、その取扱いに細心の注意を払っています。 アプリケーションの脆弱性審査、侵入テスト、パッチテスト等も定期的に実施しております。

なお、開発チームのメンバーがお客様の情報にアクセスするのは以下の場合に限られます(詳しくはプライバシーポリシーをご確認ください。)

  • 本サービスの提供及び管理
  • 本サービス使用料の入出金管理
  • 本サービス全体の利用状況又は利用傾向の分析、確認
  • お客様個人の利用状況又は利用傾向の分析、レポートの提供
  • 当社のサービスその他お客様にとって有用と思われるイベントの案内
  • お客様からの問い合わせや質問への対応
  • 不具合、バグ等の探知、処理
  • 当社のサービスの改善、開発
  • アンケートの実施
  • 割引の案内等キャンペーンの実施

 

AI連携機能(外部AIサービスとの連携)について

firmeeは、外部AIサービスと連携する機能(AI連携機能)を提供しています。この機能は、Model Context Protocol(MCP)と呼ばれるオープンプロトコルを使用し、ユーザーの皆様の指示に基づき、ユーザーの皆様が利用する外部AIサービスからfirmeeのデータにアクセスすることを可能にするものです。

AI連携機能において、当社は以下のセキュリティ対策を講じています。

  • オプトイン方式:AI連携機能は、ユーザーが自ら明示的に有効化しない限り利用されません。デフォルトでは無効に設定されており、意図しないデータ送信を防止します。
  • 認証制御:外部AIサービスからのアクセスは、OAuth認証を通じて行われます。ユーザーは、いつでも認証を取り消すことができます。
  • SSL/TLS暗号化:外部AIサービスとの通信はすべてSSL/TLSにより暗号化されます。
  • アクセス範囲の制御:MCPサーバーは、当社が定義したツール(APIエンドポイント)を通じてのみデータを提供します。外部AIサービスがfirmeeのデータベースに直接アクセスすることはありません。
  • データの非保存:当社はMCPサーバーを通じて送信されたデータを別途保存しません。データはリクエストごとにfirmeeのデータベースから取得され、外部AIサービスに送信されます。外部AIサービス側でのデータ保持は、当該サービスのポリシーに従います。

なお、外部AIサービスにおけるデータの取扱い(保持期間、モデルトレーニングへの使用の有無等)は、ユーザーの皆様と当該サービス提供者との契約関係に依存します。弁護士アカウントは、AI連携機能の利用にあたり、自らが利用するAIサービスのプラン種別及びそのポリシーを十分に確認した上でご利用ください。

 

AI連携機能のセキュリティ監視と一時停止

当社は、AI連携機能に関連するセキュリティイベントを継続的に監視しています。以下の場合、当社はAI連携機能の全部または一部を事前の通知なく一時停止することがあります。

  • AIサービス事業者においてセキュリティインシデント(データ漏洩、不正アクセス等)が発生し、または発生するおそれがあると当社が判断した場合
  • MCPサーバーに対して異常なアクセスパターン(通常を大幅に超えるリクエスト頻度、不審なデータ取得パターン等)が検知された場合
  • AIサービス事業者がそのセキュリティポリシーを、会員情報の保護に重大な影響を及ぼしうる形で変更した場合

一時停止を行った場合、当社は合理的に可能な範囲で速やかに会員に通知し、原因の解消後すみやかに機能を復旧します。

 

AIサービス事業者の再委託先(サブプロセッサー)

AI連携機能の対象となるAIサービス事業者は、サービス提供のためにクラウドインフラストラクチャ提供事業者その他の再委託先(サブプロセッサー)を利用している場合があります。主要なサブプロセッサーの情報は、「AI連携機能対応サービス一覧」に記載しています。

 

AIサービス事業者のセキュリティ認証の確認

当社は、AI連携機能の対象とするAIサービス事業者について、以下の観点からセキュリティ水準を確認しています。

  • 第三者認証(SOC 2 Type II、ISO/IEC 27001等)の取得状況
  • データの暗号化(転送中及び保存時)の実施状況
  • 個人情報保護法制への対応状況(GDPR、APPI等)
  • データ処理契約(DPA)の締結可否

ただし、当社はAIサービス事業者のセキュリティ体制を保証するものではなく、会員は自らの責任において利用の可否を判断するものとします。

 

AI連携機能のログ記録

当社は、AI連携機能を通じた外部AIサービスへのアクセスについて、以下のログを記録しています。

  • アクセス日時
  • 利用されたツール(APIエンドポイント)の種別
  • リクエスト元の情報(AIサービス事業者の識別情報)
  • エラー発生の有無

これらのログは、セキュリティ監視、障害対応、及びサービス改善の目的で利用されます。ログにはユーザー情報の実体データは含まれません。

 

なりすましを防ぐために:Google/Microsoft認証、通知メール、確認作業

firmeeの弁護士アカウントのログインはGoogle/Microsoft認証を採用しています。したがってGoogle/Microsoftアカウントのパスワードが漏えいしない限り、firmeeのログインも破られません。

Google/Microsoft認証と同様、初めてのデバイスからfirmeeにログインをした場合は、登録アドレスに通知メールを送信いたします。

新たに秘書アカウントを登録する際には、両認証に加え、マジックリンク認証が利用できます。勘違い、なりすましなどを検知するため、 登録された秘書用メールアドレスに通知メールを送り確認作業を求めつつ、 秘書アカウントで確認ボタンが押された際には常に弁護士アカウントにも通知メールを送信いたします。

セキュリティ上の懸念が発生した場合には、登録情報のみならず、ひまわりサーチなどに登録された番号と照合したうえで 事務所に直接電話し、登録弁護士ご本人に確認いたします。悪用が疑われる場合など、 緊急時には事前の告知なくアカウントを停止する場合もございます。

 

ユーザーの皆様へのお願い

セキュリティに100%はありません。万が一のリスクを補てんするために以下の2点をお願いいたします。

    • Google/Microsoftの2段階認証の設定

2段階認証を設定するとログインするためにはパスワードのほかに携帯電話等を利用した認証手続が必要となります。これにより万が一パスワードが漏えいした場合にも、それだけでアカウントにログインされることはありません。

    • 弁護士保険への加入

弁護士保険に加入することで、firmeeを含む様々なサービスの利用に起因する情報漏えい事故に伴う損害が補てんされます。当社は、ログインID又はパスワードの漏えいに伴う悪用、違法な傍受、通信妨害、不慮の回線の切断等による損害について免責されますので何卒ご了承ください。詳細は利用規約をご覧ください。

 

その他

本セキュリティポリシーは改訂することがございます。都度、ウェブサイトまたはサービス内のお知らせ機能により皆様にお知らせいたします。
本セキュリティポリシーに関し、ご意見、苦情、ご質問がある方は以下のメールアドレスまでお問い合わせください。

service@firmee.com

 

2017年5月20日 制定・施行
2018年7月3日 改訂
2025年10月11日 改訂(AWS東京リージョンへの移行に伴う更新)
2026年2月18日 改訂(AI連携に関連する更新)