Tiro、ISO/IEC27001:2022 認証を取得

Tiroは、2026年6月4日付で、情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO/IEC 27001:2022の認証を取得しました。

Tiroは、社内会議やお客様との打ち合わせなど、重要な情報を扱うAI議事録サービスです。そのため、プロダクトの開発初期から、お客様のデータを安全に保護することを最優先事項として取り組んできました。

今回の認証取得は、Tiroがこれまで実践してきた情報セキュリティの取り組みと運用体制が、国際的な基準に照らして適切であることが第三者機関によって認められたものです。

今後もTiroは、お客様に安心してご利用いただけるサービスを提供するため、継続的なセキュリティ強化と改善に取り組んでまいります。

重要なデータを扱う、Tiroの原則

会議を記録するということは、単に音声をテキストに変えることではありません。そこには、組織の意思決定、お客様との会話、社内の議論、そしてこれからの計画が含まれています。

だからTiroは、速く正確な議事録を提供すること以上に、お客様のデータが安全に扱われることを大切に考えてきました。

Tiroはプロダクトの初期から、権限管理、データの暗号化、音声データの破棄、システムへのアクセス制御など、お客様のデータを守るための原則を、サービス運営の全体に反映してきました。

ISO/IEC 27001:2022認証が意味すること

ISO/IEC 27001:2022は、組織が情報セキュリティリスクを体系的に管理し、改善していくための情報セキュリティマネジメントシステム、すなわちISMSに関する国際標準です。ISOの公式な説明によれば、ISO/IEC 27001はISMSが満たすべき要求事項を定義し、情報セキュリティマネジメントシステムを構築・運用・維持・改善するための基準を示しています。

この認証は、単にセキュリティ関連の文書を備えているという意味ではありません。サービスを開発し運用する方法、システムのアクセス権限を管理する方法、メンバーが端末や情報を扱う方法、そしてセキュリティリスクを特定し改善するプロセスが、実際に運用されていることを、独立した審査を通じて確認してもらう手続きです。

Tiroは今回の認証を通じて、お客様のデータを守るための情報セキュリティマネジメント体制が、ISO/IEC 27001:2022の基準に適合していることを確認されました。

Tiroがお客様のデータを守る仕組み

1. 音声・データの即時破棄

Tiroは会議の音声を、テキストに変換するために必要な範囲でのみ処理し、原則として元の音声を保管しない方針を適用してきました。

リアルタイムの会議記録では、音声がSTT処理を経たあとにメモリとストリームから破棄されます。アップロードされた音声・動画ファイルも、処理が完了したあとに自動で破棄されます。元の音声の保管は、ユーザーが明示的に有効にした場合にのみ、例外的に適用されます。

また、ユーザーがノートを削除した場合、関連するデータは復元できない形で消去され、不要なデータが残らないように管理しています。

2. AIモデルの再学習への利用禁止

Tiroは、お客様の会話、議事録、要約データを、AIモデルの学習やファインチューニングに使用しません。

これは、無料・有料・法人のお客様であるかにかかわらず、一貫して適用される原則です。また、LLM・STTのパートナーとの契約においても、お客様のデータを学習に使わないこと、そして保存しないことが守られるよう管理しています。

3. データの全面的な暗号化

Tiroは、お客様のデータが保存・送信される過程で安全に守られるよう、暗号化の仕組みを適用しています。

議事録や要約などの保存データはAES-256で暗号化され、サービスの通信区間ではTLS 1.3に基づく安全な伝送方式を使用します。さらに、暗号化キーの管理体制を別途運用し、お客様のデータが安全に守られるよう設計しています。

4. 徹底したアクセス制限

お客様のデータと主要なシステムへのアクセスは、業務上必要な範囲に制限されます。

Tiroは最小権限の原則に従ってアクセス権限を管理し、主要なシステムとデータへのアクセス履歴を追跡できる形で記録します。運用上必要なアクセスも、制限された権限体系の中で管理し、アクセス記録は監査できる形で残します。

お客様のデータは、お客様ご自身と、お客様が共有した相手を中心にアクセスできるよう設計されており、社内の運用上のアクセスも厳格に制限されています。

5. 通信とネットワークのセキュリティ

Tiroは、サービスの運営環境を守るために、通信とネットワークのセキュリティ体制もあわせて運用しています。

ファイアウォールとネットワークのセキュリティ設定によって、不正なトラフィックや異常なアクセスを遮断し、主要なシステムは分離されたネットワーク環境で管理します。これにより、許可されていないアクセスが発生しないよう、継続的に点検しています。

6. 監査ログとリアルタイムモニタリング

セキュリティは、一度設定すれば終わり、というものではありません。

Tiroは、サービス運営環境のセキュリティ状態を継続的に点検し、異常の兆候や脆弱性をすばやく見つけるためのモニタリング体制を運用しています。

主要なシステムへのアクセス、変更、クエリのログは監査できる形で記録され、不審な挙動や潜在的なセキュリティリスクを検知するためのモニタリングを継続的に行っています。これにより、問題が起きる前にリスクを特定し、必要な対応をすばやく進められるよう備えています。

法人のお客様に合わせたセキュリティ

法人のお客様には、組織ごとのセキュリティポリシーに合わせて、SSO、MFA、ロールベースのアクセス制御、組織図との連携、接続IPの制限など、追加のセキュリティ設定をご利用いただけます。

Tiroは、お客様企業のセキュリティ要件と運用環境に合わせて、より細かなアクセス権限の管理と、アカウントのセキュリティ設定を提供しています。

認証はゴールではなく、継続的な改善のプロセスです

セキュリティを取り巻く環境は、変わり続けています。AI技術が急速に進歩するなかで、セキュリティ上の脅威もより巧妙になっており、Tiroはこうした変化に合わせて、サービスのインフラと運営体制を継続的に点検しています。

Tiroは6月からペネトレーションテストを実施し、潜在的なセキュリティリスクを先回りして特定し、改善していく予定です。

今回のISO/IEC 27001:2022認証は、Tiroのセキュリティの歩みにおける重要なマイルストーンです。ただ、Tiroは認証の取得をゴールではなく、より信頼できるサービスをつくっていくための、継続的な改善のプロセスととらえています。

これからもTiroは、お客様が安心して会議を記録し、活用できるように、セキュリティリスクを継続的に点検し、より安全なサービス環境をつくっていきます。

認証情報

今回の認証は、ISO/IEC 27001の認証審査を行う機関としてANABから認定を受けた認証機関Sensiba LLPによる、独立した審査を通じて取得しました。

Tiroのセキュリティポリシーと認証情報は、Tiro Trust Centerでご確認いただけます。

認証書の確認、セキュリティレビュー資料、DPA、その他セキュリティに関するお問い合わせが必要な場合は、partners@theplato.ioまでご連絡ください。

ありがとうございます。