セキュリティ

最終更新日:2026年3月31日

RAKUDAメールは、お客様のデータを安全に保護するため、業界水準のセキュリティ対策を実施しています。メール本文はサーバーに保存せず、プライバシーファーストの設計思想でサービスを構築しています。

データフロー概要

RAKUDAメールにおけるデータの流れは以下のとおりです。

  1. ユーザーがGoogle OAuth 2.0で認証し、RAKUDAメールにアクセスを許可します。
  2. Gmail APIを通じて、ユーザーのメールデータ(件名・本文・送信者情報)を取得します。
  3. AI処理(返信ドラフト生成・要約等)のため、メールデータをAnthropic社のAPIに送信します。
  4. Anthropic APIからの応答をユーザーに返却し、送信したメールデータは即時破棄されます。
  5. メール本文・AI生成結果はサーバーに保存されません。保存されるのはアカウント情報と利用状況のみです。

データの暗号化

すべての通信はTLS 1.3(HTTPS)で暗号化されています。ブラウザとサーバー間、サーバーとGmail API間、サーバーとAnthropic API間のデータ転送はすべて暗号化通信で保護されています。データベースに保存されるアカウント情報もAES-256で暗号化されています。

Google APIデータの取り扱い

Gmail APIから取得したメールデータは、AI返信ドラフト生成・要約等の処理のためにAnthropic社のAPIに送信されます。処理完了後、メールデータはサーバーから即時削除され、永続的に保存されることはありません。Anthropic社のAPIは0-day data retentionポリシーを適用しており、API経由で送信されたデータはモデルのトレーニングに使用されず、処理後に保持されません。

Google OAuth 2.0認証

Googleの公式OAuth 2.0プロトコルを採用しています。RAKUDAメールがユーザーのGoogleパスワードを取得・保存することはありません。認証トークンはサーバー側で暗号化して管理し、ユーザーはいつでもGoogleアカウント設定からRAKUDAメールのアクセス権を取り消すことができます。

最小権限の原則

RAKUDAメールは、サービス提供に必要最小限のGoogleスコープのみを要求します。メールの読み取り・送信・ラベル管理、カレンダーの読み取り・イベント作成など、各機能に必要な権限のみを使用し、不要なデータへのアクセスは行いません。

インフラストラクチャ

アプリケーションはVercel(SOC 2 Type II認証済み)でホスティングされています。データベースはSupabase(SOC 2認証済み)を使用しており、データの保存・管理において高いセキュリティ基準を満たしています。決済処理はStripe(PCI DSS Level 1準拠)を通じて行われ、クレジットカード情報がRAKUDAメールのサーバーに保存されることはありません。

コンプライアンス

RAKUDAメールは、Google API Services User Data Policyに準拠してユーザーデータを取り扱います。取得したGoogleユーザーデータは、プライバシーポリシーに記載された目的以外には使用しません。また、ユーザーデータの第三者への販売は行いません。

ゼロデータ保存ポリシー

RAKUDAメールは、メール本文およびAI生成結果をサーバーに永続的に保存しません。具体的には以下のとおりです。

  • メール本文はAI処理のために一時的にメモリ上で使用され、処理完了後に即時破棄されます。
  • AI生成結果(返信ドラフト等)はユーザーへの応答後にサーバーから削除されます。
  • サーバーに保存されるのは、アカウント情報(メールアドレス・表示名)と利用状況(AI機能の利用回数等)のみです。
  • ユーザーはいつでもアカウント削除を要求でき、削除後30日以内にすべてのデータが完全に消去されます。

脆弱性報告・お問い合わせ

セキュリティに関するご質問、脆弱性の報告については、以下までご連絡ください。脆弱性の報告をいただいた場合は、速やかに調査・対応いたします。

メール:admin@rakuda-ai.com

運営:株式会社T Advisory