私たちの運営原則
リーガルAIは、弁護士・クライアント間の特権、職業上の責任規則、現代のデータ保護法という3つの厳しいプライバシー制度の交差点に位置します。パブリックサイト、AI Suite、Sovereign Suite、コンサルティング契約に至るまで、プラットフォームのすべての部分をこれら3つを守るよう設計しています。私たちは実施していることを公開し、主張することを認証し、目標に向かって取り組んでいるときはすでに達成済みとは言いません。
データ保護の仕組み
暗号化
転送中:すべてのクライアント/サーバートラフィックにTLS 1.3を使用。
保存時:会話履歴、提出物、アップロードされた文書を含むすべての保存データにAES-256を使用。
フィールドレベル:機密フィールド(認証トークン、APIキー)はストレージ暗号化を超えてアプリケーション層で暗号化。
データレジデンシー
LawraのホスティングSaaSはGoogle Cloud(Firebase)上で動作し、特定のレジデンシーを必要とするクライアント向けのマルチリージョン機能を備えています。Sovereign Suiteの展開はお客様の自社インフラ内で実行されます — お客様のレジデンシー、お客様の境界。
アクセス制御
すべての管理アクションに監査ログを備えたロールベースアクセス。お客様管理のIDに対応。Sovereign Suiteは事務所の既存SSOおよびインフォメーションバリアシステムと統合します。
監査証跡
すべてのプロンプト、すべてのAI出力、すべての引用文書 — ユーザー、案件、タイムスタンプで記録。ディスカバリー、弁護士会の照会、内部調査は可視性を後付けで追加することを必要とすべきではありません。ログはお客様のポリシーに従って保持され、オンデマンドでエクスポート可能です。
特権の保全
案件スコープのデータ分離:ある案件の文書と会話は別の案件のプロンプトには入りません。特権的な業務成果物にはフラグが付けられ分離されます。AIの使用開示は管轄区域ごとに設定可能です。
インシデント対応
指名された役割、コミュニケーションテンプレート、お客様への通知コミットメントを備えた定義されたインシデント対応手順。四半期ごとのテーブルトップ演習。NDAのもとで要約が入手可能な年次ペネトレーションテスト。
認証&コンプライアンス
現在の状況、今後の予定、透明なタイムライン。取得していない認証を主張しません。
| 標準 | ステータス | 備考 |
|---|---|---|
| SOC 2 Type II | 🟡 進行中(目標:2026年Q4) | Big Four監査法人との内部統制監査が進行中。Type Iレポートは2026年中頃を予定;Type IIは続いて実施予定。 |
| ISO 27001 | 🟡 ロードマップ(目標:2027年) | 情報セキュリティ管理システムの文書化を開発中。実装フェーズはSOC 2と並行して計画。 |
| ISO 42001 | 🟡 ロードマップ(目標:2027年) | AIマネジメントシステム(AIMS)標準。Lawraはこの新興認証を追跡するアーリーアダプターの一つです。 |
| GDPR | 🟢 準拠 | データ処理契約書が入手可能。EU データ主体はprivacy@lawra.ioを通じて権利を行使できます。処理記録を維持しています。 |
| LGPD | 🟢 準拠 | ブラジルおよびラテンアメリカのクライアントにとって重要。DPOを指定済み。データ主体のリクエストワークフローが稼働中。 |
| HIPAA | 🟡 リクエスト対応(Sovereign Suiteのみ) | HIPAAに準拠した環境にSovereign Suiteを展開するヘルスケアクライアント向けにBAAが入手可能。 |
AIモデルプロバイダー — 私たちの立場
LawraのホスティングAI Suiteは、公開向けツールにGoogle Firebase AI(Gemini 2.5 Flash)を使用しています。この設定を選択したのは、GoogleのFirebase AI規約にはカスタマーデータがGoogleの基盤モデルのトレーニングに使用されないという契約上のコミットメントが含まれているためです。
Sovereign Suiteの展開では、お客様が信頼するモデルプロバイダーへの独自APIキーを使用できます — Anthropic Claude(学習なしコミットメントのエンタープライズティア)、OpenAI(ZDR付きエンタープライズ)、Google Gemini、またはお客様のネットワーク内で完全に実行されるオープンウェイトモデル(Llama、Mistral、Qwen、DeepSeek、Gemma)を独自GPUインフラ上で使用できます。
Lawraを通過するいかなるデータも販売・賃貸・転用しません。カスタマーデータを使用する内部モデルトレーニングパイプラインを持ちません。使用するすべてのモデルはサードパーティまたはオープンウェイトであり、プロバイダー固有の契約条件はリクエストに応じて確認可能です。
質問、監査リクエスト、または開示
セキュリティアンケート、監査リクエスト、お客様固有の条件、または脆弱性の開示については、security@lawra.ioまでご連絡ください。Sovereign Suiteの契約にはスタンダードスコーピングの一部としてセキュリティレビューが含まれます。すべてのエンタープライズセキュリティアンケートには5営業日以内に対応します。
コメント
コメントを読み込み中...