セキュリティホワイトペーパー
最終更新: 2026年2月 | バージョン: 1.0
目次
1. サービス概要とアーキテクチャ
ModeNote は、Chrome 拡張機能として動作する AI 要約サービスです。ユーザーが閲覧中の Web ページや PDF 文書を、AI(Google Gemini / Anthropic Claude)を用いて要約・分析します。
システム構成要素
| コンポーネント | 役割 | 技術スタック |
|---|---|---|
| Chrome 拡張機能 | ユーザーインターフェース、ページ内テキスト/PDF の取得 | Manifest V3, Service Worker |
| API サーバー | 認証、レート制限、AI API へのプロキシ | Node.js (Express), SQLite |
| AI API | テキスト/PDF の処理・要約生成 | Google Gemini API, Anthropic Claude API |
重要: ModeNote サーバーはリクエストの中継(プロキシ)のみを行い、ユーザーが送信したテキストや PDF のコンテンツをサーバー上に保存・蓄積することは一切ありません。
2. データフロー図
2.1 ページ要約のデータフロー
図1: ページ要約時のデータフロー
2.2 PDF 要約のデータフロー
図2: PDF 要約時のデータフロー
2.3 データの経路と保持
| データ | 拡張機能 | ModeNote サーバー | AI API |
|---|---|---|---|
| ページテキスト / PDF | メモリ上のみ | 通過のみ・保存なし | 処理後破棄 *1 |
| プロンプト(指示文) | ローカルストレージ | 通過のみ・保存なし | 処理後破棄 *1 |
| 要約結果 | メモリ上のみ | 通過のみ・保存なし | 処理後破棄 *1 |
| 使用量メタデータ | - | 記録 (ID, モデル, トークン数, 日付) | - |
| ユーザーアカウント | - | 記録 (Google ID, 名前, メール) | - |
*1 AI プロバイダーのデータポリシーについては 第8章 を参照
3. データの取り扱い
3.1 サーバーが保存しないデータ
- ユーザーが送信した Web ページのテキスト内容
- ユーザーが送信した PDF ファイルの内容
- AI が生成した要約結果
- リクエスト/レスポンスの本文(body)
3.2 サーバーが記録するデータ
| データ項目 | 目的 | 保持期間 |
|---|---|---|
| ユーザー ID・メール・表示名 | アカウント管理 | アカウント削除まで |
| API キー(ハッシュ化) | 認証 | キー無効化まで |
| 使用トークン数・モデル名・日付 | 課金・レート制限 | 無期限(集計用) |
| アクセスログ(IP, UA, パス) | セキュリティ監視 | ローテーション(ログファイル) |
ログに含まれない情報: リクエスト本文(テキスト・PDF データ)はアクセスログに記録されません。Express の logger ミドルウェアは URL パス・ステータスコード・レスポンス時間のみを記録します。
4. 個人情報保護法への対応
4.1 個人情報の第三者提供に該当しない理由
ModeNote のサービス利用は、個人情報保護法第27条第5項第1号に定める「委託」に該当し、第三者提供には当たりません。
法的根拠: 個人情報保護法 第27条第5項第1号 ─ 個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合は、第三者提供の制限は適用されない。
4.2 委託に該当する根拠
- 利用目的の範囲内の処理: ユーザーが「このテキスト/PDF を要約して」という指示を出し、ModeNote はその指示に従ってAI処理を行い結果を返すのみです。ユーザーの利用目的の達成に必要な範囲内でデータを処理しています。
- データの非保持: ModeNote サーバーはテキスト・PDF のコンテンツを保存せず、メモリ上で中継するのみです。処理完了後にデータは即座に破棄されます。
- AI API プロバイダーの契約上の保証: 有料 API プランにおいて、Google・Anthropic いずれもユーザーデータを AI モデルの学習に使用しないことを契約で保証しています(詳細は第8章参照)。
- 委託先の監督: ModeNote はデータ処理委託先として AI プロバイダーの利用規約・DPA(Data Processing Agreement)を確認し、適切な安全管理措置が講じられていることを監督しています。
4.3 要配慮個人情報を含むデータの取り扱い
医療機関や企業において、Web ページや PDF に要配慮個人情報(病歴、健康診断結果等)が含まれる場合でも、上記の「委託」の枠組みにおいては本人の同意なく処理を委託することが可能です。ただし、委託元は以下の点に留意する必要があります:
- 委託先(ModeNote および AI プロバイダー)に対する必要かつ適切な監督を行うこと
- 自組織のプライバシーポリシーにおいて、AI を用いた業務効率化ツールの利用について言及すること
- 機微性の高い情報を扱う場合は、組織内のセキュリティポリシーに基づき適切な判断を行うこと
5. 通信の暗号化
| 通信区間 | 暗号化方式 | 備考 |
|---|---|---|
| 拡張機能 → ModeNote サーバー | TLS 1.3 (HTTPS) | Cloudflare Tunnel 経由 |
| ModeNote サーバー → Google Gemini API | TLS 1.3 (HTTPS) | Google Cloud インフラ |
| ModeNote サーバー → Anthropic Claude API | TLS 1.3 (HTTPS) | Anthropic Cloud インフラ |
すべての通信区間は HTTPS(TLS 1.3)で暗号化されており、平文での通信は一切行われません。
6. 認証・認可
6.1 ユーザー認証
- Google OAuth 2.0: ユーザーは Google アカウントで認証を行います。ModeNote はパスワードを保持しません。
- API キー認証: 各リクエストは API キー(
X-API-Keyヘッダー)で認証されます。
6.2 アクセス制御
- プランベースのモデル制限: ユーザーのサブスクリプションプランに応じて、利用可能な AI モデルが制限されます。
- レート制限: IP ベース(60リクエスト/分)およびトークンベース(日次・月次上限)の二重制限を適用。
- CORS 制限: 許可されたオリジンからのリクエストのみを受け付けます。
6.3 管理画面
- 管理画面へのアクセスはパスワード認証で保護されています。
- ログイン試行は 15 分あたり 5 回に制限されています(ブルートフォース防止)。
7. インフラストラクチャ
| 項目 | 詳細 |
|---|---|
| サーバー OS | Ubuntu (LTS) |
| ランタイム | Node.js |
| プロセス管理 | systemd |
| リバースプロキシ / CDN | Cloudflare Tunnel (Zero Trust) |
| データベース | SQLite(ファイルベース、暗号化ストレージ上) |
| セキュリティヘッダー | helmet.js(X-Frame-Options, HSTS, X-Content-Type-Options 等) |
7.1 Cloudflare Zero Trust
ModeNote サーバーは Cloudflare Tunnel を通じて公開されており、サーバーの IP アドレスは外部に公開されません。DDoS 防御、WAF(Web Application Firewall)、SSL/TLS 終端は Cloudflare が提供します。
8. AI プロバイダーのデータポリシー
8.1 Google Gemini API(有料プラン)
| 項目 | 内容 |
|---|---|
| データの学習利用 | なし ─ 有料 API のデータは AI モデルの学習に使用されない |
| データ処理契約 | CDPA(Cloud Data Processing Addendum)に基づく |
| データ保持期間 | 不正利用監視目的で最大 55 日間保持(その後自動削除) |
| Zero Data Retention (ZDR) | 申請により即時削除オプション利用可能 |
| リージョン | Google Cloud のグローバルインフラ |
8.2 Anthropic Claude API(有料プラン)
| 項目 | 内容 |
|---|---|
| データの学習利用 | なし ─ API 入出力データはモデルの学習・改善に使用されない |
| データ処理契約 | DPA(Data Processing Addendum)に基づく |
| データ保持期間 | 安全性評価目的で最大 30 日間保持(その後自動削除) |
| Zero Data Retention | 利用可能(契約オプション) |
| セキュリティ認証 | SOC 2 Type II 取得済み |
共通保証: Google・Anthropic いずれの有料 API においても、送信されたデータは AI モデルの学習・改善には一切使用されません。これは各社の利用規約および DPA により契約上保証されています。
9. コンプライアンス対応
| 法令・規格 | 対応状況 |
|---|---|
| 個人情報保護法(日本) | 対応済み ─ 委託構成、プライバシーポリシー公開 |
| Chrome Web Store ポリシー | 準拠 ─ Manifest V3、最小権限の原則 |
| GDPR(EU) | 検討中 ─ EU ユーザー向け対応を検討 |
9.1 Chrome 拡張機能の権限
ModeNote が要求する Chrome 権限とその理由:
| 権限 | 用途 |
|---|---|
activeTab | 現在のタブのテキスト取得(要約対象) |
sidePanel | サイドパネル UI の表示 |
storage | 設定・プロンプトのローカル保存 |
identity | Google OAuth 認証 |
host_permissions (<all_urls>) | あらゆるページのテキスト取得(要約対象がどのドメインかを事前に特定できないため) |
10. お問い合わせ
セキュリティに関するご質問・ご懸念がございましたら、下記までお問い合わせください。
- メール: support@mdnt-ai.com