ゲストの予約情報、滞在中の会話、暗証番号、通話録音。すべて、ホスト本人と運営チーム以外には届かない経路で扱われます。AirSync が保証する 6 つの基準と、データ取扱いの実態をすべて開示します。
取得済みの認証と進行中の申請を、進捗込みで開示しています。「準備中」を「取得済み」と書かないことが、私たちの信頼の取り方です。
個人情報保護法・GDPR・CCPA に基づくポリシー運用を、PrivacyMark 規程準拠で行っています。データ主体からの削除請求・開示請求には 30 日以内に対応します。申請手続きは 2026 年 6 月に提出済み、第三者監査機関による現地審査を Q3 中に予定しています。
取得が完了するまでの期間も、運用は PrivacyMark 規程と同等のレベルで実施しています。「準備中」と「取得済み」を曖昧にしないため、表示は申請中のまま継続します。
すべてのデータベース・ストレージ・アプリケーションサーバーは ap-northeast-1 (東京) 内で完結します。海外リージョンへの複製・推論は一切行いません。AI 推論も同リージョンの VertexAI 経由で、データの国外移転はありません。
バックアップは S3 Cross-Region Replication を「無効」に設定。復旧用のスナップショットも東京リージョン内 (Standby AZ) でのみ保持します。監査ログは年次外部監査で確認しています。
ISO 27001 の要求事項に沿って、情報資産の特定・リスクアセスメント・アクセス制御・インシデント対応プロセスを文書化・運用しています。第三者審査機関による認証を 2026 年 4 月 2 日に取得しました。
運用面では四半期ごとの内部監査を実施しており、監査記録は契約後の運営代行会社向けに開示可能です。
AirSync API は月間稼働率 99.9 % (Team プランは 99.95 %) をサービスレベル目標として運用予定です。下回った場合は契約に基づき利用料の返金を行います。リリース後の SLA 目標は 99.9 % 以上、計画停止は事前 7 日告知のみで実施します。
ステータスページ (status.airsync.jp · 準備中) で、リアルタイムの稼働状況とインシデント履歴を公開予定です。
Google Workspace · Microsoft Entra ID (旧 Azure AD) · Okta との SAML 2.0 SSO に対応予定です。SCIM によるユーザー自動プロビジョニングも Team プランで対応予定。チームメンバーの入退社が頻繁な運営代行会社向けの設計です。
すべての管理画面は監査ログの対象です。誰が・いつ・どの物件設定を変更したかを 1 年間保持します。
電話転送機能で発生する通話録音は、Twilio の Voice Recording を経由して S3 (東京) に AES-256 で暗号化保存されます。鍵管理は AWS KMS を使用し、ホスト本人と運営チーム以外には復号権限がありません。
保存期間はデフォルト 90 日 (Team プランで 1 年に延長可能)。期間経過後は自動削除されます。録音の有無はゲストにも自動アナウンスされ、通話冒頭で告知が流れます。
「ゲストの個人情報」と一言でまとめず、項目ごとに保存場所と保存期間を開示します。
| 項目 | 保存場所 | 保存期間 |
|---|---|---|
| ゲスト氏名 · 国籍 · 連絡先 (メール · 電話) | RDS (東京) · 暗号化 | 予約終了から 3 年 |
| 予約番号 · チェックイン / アウト日時 · 物件 ID | RDS (東京) · 暗号化 | 予約終了から 5 年 (会計法令準拠) |
| OTA / Beds24 経由のメッセージ本文 | RDS (東京) + S3 (東京) · 暗号化 | 予約終了から 1 年 |
| AI 推論時のプロンプト · 出力 | RDS (東京) · 暗号化 · VertexAI 側はログ保持なし | 30 日 (デバッグ・改善目的) |
| スマートロックの暗証番号 | RDS (東京) · 二重暗号化 (KMS + 個別鍵) | チェックアウト後 24 時間で消去 |
| 通話録音 | S3 (東京) · AES-256 + KMS | 90 日 (Team は 365 日) |
| 監査ログ (誰が何を操作したか) | CloudWatch Logs (東京) | 1 年 |
ゲスト本人からの開示・削除請求は、ホスト経由でも、お問い合わせフォームから直接でも受け付けます。
法令に基づく保存義務がある項目を除き、原則として 30 日以内に対応します。
脆弱性を発見された方は、以下の窓口にご報告ください。受領確認は 2 営業日以内、初動対応は 5 営業日以内に行います。
サービスの脆弱性、認可制御の不備、データ漏洩の可能性などを発見された場合は、下記までご連絡ください。報告内容は非公開で扱い、修正後に報告者の同意を得たうえで開示する場合があります。
報告者には責任ある開示 (responsible disclosure) を遵守いただいたうえで、感謝の表明を行います (バグバウンティは現時点では未実施)。
security@airsync.jp運営代行会社のセキュリティ部門・法務部門との事前協議も歓迎します。NDA を結んだうえで、内部監査記録・SOC2 相当の運用記録を開示可能です。