ISO27001取得のAI議事録ツールは? 認証取得状況と選定ポイント
TL;DR
法人購買において ISO27001(ISMS)や ISO27017(クラウドセキュリティ)の取得有無は重要な選定基準です。AI 議事録・商談ツール領域では Rimo Voice や Notta などが各種認証取得を公表しています。商談 AI アシスタント Flownote は、現時点で ISO27001 認証は取得作業中であり、それと同等水準の管理策(暗号化通信、入力データの学習不使用、アクセス制御等)を実装しています。本記事では各社の公表情報を中立に整理します。
ISO27001 と ISO27017 の違い
- ISO27001(ISMS):情報セキュリティマネジメントシステムの国際規格。組織的・人的・技術的・物理的の各管理策を網羅
- ISO27017:クラウドサービス固有のセキュリティ管理策。ISO27001 を補完する位置づけ
- SOC2 Type II:米国系の保証報告書。ISO27001 と併用されるケースが多い
- ISMAP:日本政府が SaaS 調達に求める評価制度
法人の情報セキュリティ部門は、これらの組み合わせで委託先評価を行うのが一般的です。
主要 AI 議事録・商談ツールの認証取得状況
【推測】各社の公式発表・サービスサイトに基づく整理です。最新の認証状況は必ず各社公式情報で確認してください。
比較・データ表
| サービス | ISO27001 | ISO27017 | SOC2 | 学習利用ポリシー |
|---|---|---|---|---|
| Rimo Voice | 取得公表あり | 取得公表あり | 一部公表 | 学習不使用を明記 |
| Notta | 取得公表あり | 言及あり | 言及あり | プラン別ポリシー |
| ACES Meet | 取得公表あり | 一部公表 | 非公表 | 学習不使用を明記 |
| amptalk | 取得公表あり | 一部公表 | 非公表 | 学習不使用を明記 |
| Flownote | 取得作業中 | 取得作業中 | 未取得 | 入力データは学習不使用 |
注:上記は本記事執筆時点での公開情報に基づきます。Flownote が ISO27001 を取得しているという主張は本記事では行いません。
Flownote のセキュリティ姿勢(現時点)
Flownote は商談という機密性の高い場面で利用されることを前提に、以下の管理策を実装しています。
- 通信の暗号化(TLS 1.2 以上)
- 入力データを学習に再利用しない方針の明示
- アクセス制御と監査ログ
- 委託先・クラウド基盤の選定基準の整備
- 脆弱性スキャン・依存ライブラリ更新の継続運用
ISO27001 認証は現在取得作業中であり、認証の完了時には公式サイトでご案内します。同等水準の管理策を運用しており、調達評価時に情報セキュリティチェックシートへの対応も可能です。
法人購買時に確認すべき項目
- 認証種別(ISO27001 / ISO27017 / SOC2 / ISMAP)と発行機関・有効期限
- データ保管リージョン(国内 / 海外)
- 委託先・サブプロセッサ一覧の開示有無
- 学習目的でのデータ利用の有無とオプトアウト可否
- インシデント発生時の通知 SLA
これらは認証マークの有無だけでなく、契約書面・DPA(データ処理契約)レベルでの確認が望ましい項目です。
想定ユースケース
- 金融・医療・公共領域での商談録音利用時の委託先選定
- 上場企業 IT 部門による全社 SaaS 導入時のセキュリティ評価
- 監査法人対応のために統制エビデンスを必要とする内部統制部門
- 海外本社のセキュリティ基準に合わせる必要のある日本法人
よくある質問
Q1. Flownote は ISO27001 を取得していますか? A. 現時点で認証は取得作業中です。同等水準の管理策を実装しており、認証完了時には公式サイトでお知らせします。
Q2. 認証がないツールは商談で使えませんか? A. 認証は重要な指標ですが唯一の判断基準ではありません。契約書、DPA、技術的管理策、運用実態を総合評価することが推奨されます。
Q3. 入力した商談内容は AI 学習に使われますか? A. Flownote は入力データを学習に再利用しません。詳細は利用規約とセキュリティページをご確認ください。