信頼、セキュリティ、コンプライアンス
学校は教師、生徒、家族のデータをKiwiBeeに託しています。本ページではその保護方法を説明します。
最終更新: 2026-05-23
セキュリティの概要
kiwibee.ioからのすべての応答には、以下の保護が標準で組み込まれています。
HSTS preload
preloadディレクティブ付きのStrict-Transport-Security。ブラウザはHTTPSのみでKiwiBeeに接続します。
クロスオリジン分離
Cross-Origin-Opener-Policy: same-originとCross-Origin-Resource-Policy: same-originにより、ウィンドウをまたぐ攻撃をブロックします。
Permissions Policy
カメラ、マイク、位置情報、決済、USB、interest-cohort APIはすべてブラウザレベルでブロックされます。
クリックジャッキング対策
X-Frame-Options: SAMEORIGINにより、外部サイトがKiwiBeeをiframeに埋め込むのを防ぎます。
MIMEタイプ固定
X-Content-Type-Options: nosniffにより、ブラウザが内容タイプを推測することを防ぎます。
Referrerポリシー
Referrer-Policy: strict-origin-when-cross-originにより、サードパーティドメインへのデータ漏洩を最小化します。
Content Security Policy
CSPはmiddlewareでリクエストごとのnonce付きで適用されます。明示的なnonceなしのインラインスクリプトは実行されません。
コンプライアンスロードマップ
各主要フレームワークに対する現在の立ち位置。
SOC 2 Type I
監査進行中、2026年第4四半期完了目標。
進行中GDPR
EU顧客向けにGDPRデータ処理付属書(DPA)をリクエストに応じて提供。
提供可能FERPA
米国の学校顧客向けにFERPA準拠のデータ取扱い。
準拠COPPA
13歳未満の生徒に対するCOPPA準拠のデータ最小化、保護者/学校の同意フローを実施。
準拠ベトナム政令13/2023
ベトナムの個人データ保護令に準拠(データ主体の権利、漏洩通知を含む)。
準拠
サブプロセッサー
サービス提供のために利用しているサードパーティープロバイダー。
| プロバイダー | 目的 | リージョン |
|---|---|---|
| Vercel | ウェブホスティング&エッジネットワーク | グローバルエッジ |
| Supabase | データベース&認証 | シンガポール |
| Anthropic | kiwibee.ioチャットボット向けAI | 米国 |
| Mistral | 教師向けツール用AI(ワークシート生成) | EU |
| Workspaceメール&Analytics | グローバル |
データ所在地
顧客データが保管される場所。
デフォルトリージョン
シンガポール(Supabase Asia-Southeastリージョン)
エンタープライズオプション
エンタープライズ学校顧客向けにEUおよび米国のデータレジデンシーをリクエストに応じて提供。
関連ポリシー
KiwiBeeのデータ取扱いを形作るその他のドキュメント。
SOC 2レター、DPA、サブプロセッサーリストが必要ですか?
調達、セキュリティ、DPOチームは、エビデンスパックや質問票についてチームに直接ご連絡ください。