セキュリティ対策はPhotoroomが担うので、チームの負担を減らせます

はい。PhotoroomはAPIサービスを対象としたSOC 2 Type 2の認証を取得しています。最新のレポート（2026年4月）および現在の管理体制はTrust Centerでご確認いただけます。調達プロセスで他の範囲に関する証明が必要な場合は、早めに営業担当までご相談ください。

はい、どちらも対応しています。PhotoroomはGDPRの原則に基づき運用しており、サブプロセッサーの一覧や、情報漏えい時の通知プロセスを文書化しています。また、モデルの学習前には個人データを匿名化しています。Enterpriseのお客様には、アカウント担当者を通じてデータ処理契約（DPA）をご用意しています。

ご契約内容によって異なります。

• Enterprise契約：デフォルトでは利用されません。トレーニングへの利用は、書面で明確に合意された場合のみ行われます。

• セルフサービスAPIプラン：デフォルトで利用されますが、アカウント設定からお客様ご自身でオプトアウトできます。

• すべてのプラン：トレーニング用データと本番データは別々に保管されます。トレーニング用データへのアクセスはMLチームのメンバーに限定され、すべてのアクセスは記録されます。

当社のインフラは米国のGoogle Cloud PlatformおよびAmazon Web Services上で運用されています。通信中のデータはTLS 1.2以上で暗号化されており（Cloudflare経由で管理）、保存時のデータもGCPおよびAWSのインフラ層で暗号化されています。現在、EU限定のデータ保管には対応していません。地域限定のデータ保管が契約要件の場合は、早めに営業担当までご相談ください。

同期APIで処理された画像は、レスポンス返却後すぐに破棄されます。非同期APIの画像は、ジョブ実行中のみ一時的に保持され、その後削除されます。運用ログは15日後に削除され、APIアクセスログは1年間保持され、セキュリティ調査や監査依頼時に利用可能です。

ホスティングとストレージにはGCPおよびAWS、CDN・セキュリティ・DNSにはCloudflare、イベントログやAPIパラメータの記録にはDatadog、ホスティングにはVercelを利用しています。現在の利用サービス一覧はTrust Centerで公開しています。

記録されているインシデント（2024年10月）：サービスの利用が30分間中断しました。お客様のデータ漏洩はありませんでした。本件は記録され、インシデント対応プロセスに基づき確認されています。

はい。アプリの利用者は、アカウント設定内の切り替えでモデル改善へのデータ提供をオプトアウトできます。トレーニングにデータが使用される場合、個人情報は事前に匿名化されます。なお、これはAPI顧客向けの契約とは別であり、APIの場合は契約内容によって異なります（Enterprise：デフォルトで利用不可、セルフサービス：オプトアウト可能）。