Gorgias の SOC 2 とセキュリティ:カバーする範囲としない範囲(2026年版)

Alicia Kirana Utomo
執筆者

Alicia Kirana Utomo

Katelin Teen
レビュー者

Katelin Teen

最終更新 June 14, 2026

専門家による検証済み
Gorgias の SOC 2 とセキュリティガイドのヒーローイラスト

SOC 2 が本当に意味すること(そして意味しないこと)

SOC 2 は American Institute of CPAs が運用する監査フレームワークです。独立監査人がソフトウェアベンダーを Trust Services Criteria と呼ばれる一連の管理項目に照らして審査し、レポートを発行します。政府の免許ではなく、単純な合格/不合格の一律スタンプでもありません。購入者が読み込む詳細なレポートです。

知っておくと最も役立つのは、ベンダーが常に混同させがちな2種類のレポートの違いです。

  • SOC 2 Type I は、管理体制がある1日において正しく設計されていたことを確認するものです。1回のスナップショットです。
  • SOC 2 Type II は、その管理体制が6〜12か月の期間にわたって実際に機能していたことを確認するものです。実績の証明です。

重視すべきなのは Type IIであり、Gorgias が保有しているのもこちらです。Type I レポートは1日分の事務作業で取得できますが、Type II は監査人がほぼ1年近くにわたって管理体制の運用を観察したことを意味します。

SOC 2 Type I と Type II の比較、および5つの Trust Services Criteria
SOC 2 Type I と Type II の比較、および5つの Trust Services Criteria

監査人がカバーできる Trust Services Criteria は5つあります:Security、Availability、Processing Integrity、Confidentiality、Privacy です。必須なのは Security(「Common Criteria」)のみで、残りの4つはベンダーの裁量で含めるかどうかが決まります。これが、ロゴを信じるのではなく実際のレポートを読むべき理由の一つです。まずプラットフォーム自体の背景を知りたい場合は、Gorgias レビューで日々の製品の動作を解説しています。

Gorgias は SOC 2 に対応している?はい、Type II です

Gorgias は SOC 2 Type II を保有し、毎年更新しています。そのTrust Centerによれば、最新の更新は 11/30/2024 に付与され、これで4年連続とのことで、「Gorgias SOC 2 Type II Report 12.31.2025.pdf」というダウンロード可能なレポートが掲載されています。Gorgias は6か月間の独立監査の後、この認証を初めて発表し、2022年以降更新を続けています。(11/30/2024 という日付は最新の更新が付与された日であり、レポートのファイル名は単にそのレポートがカバーする監査期間を反映しているだけで、12/31/2025 までとなります。)バッジの背後にある企業についての背景は、Gorgias の所有者についての記事をご覧ください。

Gorgias Trust Center が SOC 2 Type II のステータスと準拠バッジを示している様子(Gorgias より)

Trust Center は Vanta 上で運用されており、バッジの背後にある管理体制は年に1回チェックして忘れられるのではなく、継続的に監視されているということです。これは良い兆候です。コンプライアンスを生きたシステムとして扱うベンダーと、年に一度の防災訓練のように扱うベンダーとの違いです。同じことは、あなたが検討しているどのAI ヘルプデスクエージェントにも当てはまります。継続的な監視は、古びた PDF に勝ります。

Gorgias の SOC 2 レポートを入手する方法

実際のレポートは短い申請の後ろに置かれており、これは普通のことです。SOC 2 レポートには十分な内部情報が含まれているため、ベンダーが公に公開することはほとんどありません。手順は次のとおりです。

  1. Gorgias Trust Center を開き、非公開の「SOC 2 Type II Report」文書を見つけます。
  2. 「Request Access」フォームを送信します(セキュリティページからも同じ申請が Vanta ポータル経由で行えます)。security@gorgias.com にメールを送ることもできます。
  3. すでに有料プランに加入している場合、近道があります。Gorgias の DPAの第8条により、顧客は12か月以内かつ管理体制に重要な変更がない限り、自社での現地監査を実施する代わりに最新の SOC 2 Type II レポートを受け入れることができます。

この3番目のポイントは、見た目以上に価値があります。小規模な ecommerce チームにとっては、ベンダーが提供する SOC 2 Type II レポートがセキュリティレビューそのものになることが多く、自社で監査を委託する代わりにそれを読むだけで済みます。同じ Trust Center では、調達チームが完全なセットを求める場合に向けて、ペネトレーションテストのレポート、インシデント対応計画、暗号化ポリシーも非公開で提供しています。

Gorgias のコンプライアンスの全体像

ここでマーケティングと実態が少しずれてきます。「Gorgias はエンタープライズグレード」という主張が多く流布しているため、どの認証が本当に Gorgias 自身のものであり、どれがスタック内の別の存在に属しているのかを正確に整理する価値があります。

フレームワークGorgias のステータス実際の内容
SOC 2 Type II✅ 保有、毎年更新(4年目)自社認証。レポートの日付は 12/31/2025、Trust Center 経由
SOC 2 Type I上位互換で不要Gorgias はより厳格な Type II を保有しており、単独の Type I は公開されていない
GDPR✅ 準拠EU/英国/スイスの SCC を含む公開DPA
CCPA / 米国プライバシー✅ 準拠Trust Center に「CCPA Compliant」バッジ、DPA にも明記
HIPAA + BAA⚠️ 申請すれば利用可提供されているが、レポートと BAA はアクセス申請の後ろに非公開
ISO 27001❌ Gorgias 自身のものではないホスト元である Google Cloud のものであり、Gorgias のものではない
PCI DSS❌ 保有していないカード情報は保存されず、決済は Stripe に委任

つまり誠実にまとめると:SOC 2 Type II は Gorgias が保有し監査を受けている認証であり、GDPR、CCPA、HIPAA は個別の証明書ではなく契約・運用面で対応されており、ISO 27001 と PCI DSS は Gorgias 自身のものではありません。これは決して欠点ではなく、ecommerce ヘルプデスクとしては通常の、しっかりした姿勢です。ただし、ベンダーレビューを書く際には ISO 27001 バッジではなく SOC 2 Type II レポートを引用すべきということです。(コストが本当の疑問であれば、Gorgias 料金ガイドGorgias チケット上限の解説で課金モデルを取り上げています。)

バッジの先にあるもの:Gorgias によるデータの取り扱い

証明書は概要にすぎません。実質的な内容は、誰も監査していないときにベンダーがあなたのデータをどう扱っているかであり、Gorgias の2025年セキュリティホワイトペーパーと DPA はこの点について比較的具体的です。

Gorgias のセキュリティページで暗号化、ホスティング、アクセス制御を説明している様子(Gorgias より)

暗号化。 Gorgias はデータを「HTTPS の TLS 暗号化接続のみを通じて」送信し、サーバー上のすべてのデータは Google Cloud のキー管理サービスで管理される鍵によって保存時に暗号化されます。細部を気にする方への注意点として、Gorgias 自身のページは「保存時に暗号化」と述べるだけで AES-256 のような具体的な暗号方式を明示していないため、セキュリティチームがそれを文書として必要とする場合は直接問い合わせてください。

ホスティングとデータレジデンシー。 Gorgias は AWS ではなく Google Cloud Platform 上で稼働しています。これは多くの購入者が最初に持ちがちな思い込みとは異なります。暗号化されたバックアップは複数の Google Cloud リージョンにわたって保持されており、サブプロセッサ一覧には Google Cloud が米国、EU、オーストラリアに広がっていることが示されています。Gorgias が公に約束していないのは、単一テナントに対する EU 限定のデータレジデンシーオプションです。データレジデンシーが必須要件である場合は、契約前に必ず書面で確認してください。

データが実際にどこへ流れるか。 これは SOC 2 バッジだけでは分からない部分です。顧客のサポートデータは Gorgias 内に留まるだけでなく、名前が挙げられた一連のサブプロセッサへと流れていきます。そして、これこそが SOC 2 が管理体制を敷こうとしている対象です。

Gorgias サポートデータの流れ:購入者のメッセージから Google Cloud 上の Gorgias ヘルプデスクへ、そしてサブプロセッサである OpenAI、Stripe、Twilio へ
Gorgias サポートデータの流れ:購入者のメッセージから Google Cloud 上の Gorgias ヘルプデスクへ、そしてサブプロセッサである OpenAI、Stripe、Twilio へ

サブプロセッサ一覧(2026年3月30日最終更新)には、AI 機能向けのOpenAI、決済向けのStripe、SMS と音声向けのTwilio、さらに Cloudflare、Datadog などが含まれます。これらの大半はデータが米国内に置かれており、そのために DPA には EU 転送の仕組みが用意されています。有用な点として、DPA の第5条により、新しいサブプロセッサが追加される場合は15日前の事前通知があり、データ保護上の理由で異議を申し立てる10日間の期間が確保されます。

侵害通知と削除。 知っておくべき2つの数字があります。セキュリティ侵害が発生した場合、Gorgias は決められた期間内に通知することを約束しています。

"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."

この文言はGorgias の DPA の第6条からのものです。そして契約終了時には、第9条により Gorgias は契約終了後90日以内に個人データを返却・削除することが義務付けられていますが、バックアップコピーは失効するまで一定期間残る可能性があります。削除申請の実践的な手順を知りたい場合は、別記事のGorgias の GDPR とデータ削除ガイドをご覧ください。

テスト。 Gorgias は年次のグレーボックスペネトレーションテストを実施し、インシデント用の公開ステータスページを公開しています。誠実に指摘しておきたい不整合として、2025年のホワイトペーパーではアクティブな非公開バグバウンティプログラムが説明されているのに対し、実際のセキュリティページでは「現在一時停止中」と書かれています。些細なことですが、慎重な審査者なら気づくような点です。参考までに、Gorgias の実際のデータ侵害についての公開記録は見つかりませんでした。

アクセス制御:SSO、SAML、2FA

コンプライアンス証明書はバックエンドをカバーします。日常的には、チームが実際に触れるセキュリティ管理はログインであり、この点で Gorgias はエントリーレベルのほとんどのヘルプデスクよりも寛容です。

管理項目利用可否
Google および Microsoft 365 SSO✅ すべての Helpdesk プラン
カスタム SAML SSO(Okta、JumpCloud)別途「カスタム SSO」設定が必要(必要なプラン階層は非公開)
二段階認証(2FA)セルフサービス。管理者は強制可能、14日間の猶予期間あり
ロールベースの権限✅ 利用可能
メール確認によるフォールバック新しい場所や30日間未使用の IP からのアクセスで発動

注目すべきは、Google と Microsoft の SSO がすべての Helpdesk プランで利用できる点で、エンタープライズ階層に限定されていないのは良い判断です。Okta などによるカスタム SAML SSO は別途設定が必要で、Gorgias のドキュメントはどの有料プランで必要になるかを公に明示していないため、SAML が必須であれば直接問い合わせてください。管理者はワークスペース全体に2FA を強制し、14日間の適用猶予期間を設けることもでき、承認済みのメールドメインによる自動参加を設定することもできます。アカウントを管理している場合は、Gorgias サインインガイドでアクセスの基本を解説しています。

SOC 2 は最低条件であり、それがすべてではない

ここで、すべての ecommerce 創業者に持ち帰ってほしい視点の転換があります。SOC 2 Type II レポートは必要不可欠であり、Gorgias は良いものを保有しています。しかし2026年、あなたのサポートツールはもうチケットを保存するだけの存在ではなく、Shopify の注文データを読み取り、返金を発行し、サブスクリプションを編集するGorgias AI サポートエージェントを動かしています。バッジはベンダーの管理体制を監査するものであり、その AI がデータで何をするかまでは答えてくれません。

SOC 2 バッジが確認する内容と、AI サポートベンダーについて答えられない質問の比較
SOC 2 バッジが確認する内容と、AI サポートベンダーについて答えられない質問の比較

標準的な SOC 2 レポートの範囲外にある3つの質問があり、それらは Gorgias を含むどの AI サポートベンダーにも尋ねるべき質問です。

  • ベンダー(またはその AI サブプロセッサ)はあなたのデータでモデルを学習させているか? Gorgias はサブプロセッサとして OpenAI を利用しています。OpenAI の API 利用規約ではビジネスデータは学習に使用されないとされていますが、思い込むのではなく、その連鎖を明示的に確認すべきです。
  • あなたのデータは他の顧客からどれほど分離されているか? マルチテナント SaaS は一般的ですが、分離の厳密さは様々であり、マーケティングページで詳しく説明されることはほとんどありません。
  • AI エージェントは実際に何をどこまで見て実行できるか? 返金を発行し、すべての顧客の注文履歴を読み取れるエージェントは、FAQ に答えるだけのチャットボットよりもはるかに大きなセキュリティ面のリスクを持ちます。範囲の制御はセキュリティ機能の一つです。

これらは Gorgias を避けるべき理由ではなく、どのAI ヘルプデスクにも適用すべき基準であり、SOC 2 レポートと並べて自社のベンダーチェックリストに組み込む価値があります。この観点で選択肢を比較しているなら、最良の AI ヘルプデスクソフトウェアのまとめではデータの取り扱いも機能だけでなく評価しています。Shopify サポートに最適な AIについてのガイドでも同様のアプローチを取っています。

eesel を試す

これら3つの質問を念頭に置いて AI サポート層を評価しているなら、それはまさに eesel が構築された視点です。eesel はすでに使っているヘルプデスクの中で自律型 AI エージェントを動かし、データの取り扱いを最優先の機能として扱っています。あなたのデータはいかなるモデルの学習にも使われません。各ワークスペースは他のすべての顧客から完全に分離されており、ライブチケットに触れる前に、シミュレーションとスコープ設定のセットアップを通じて、エージェントが何を見て何をできるかを正確にコントロールできます。

eesel のセキュリティページ:GDPR、CCPA、Vanta の信頼バッジと、モデルを学習させないという約束を示している

コンプライアンス面では、eesel は標準および個別カスタムの DPA によりGDPR と CCPA に準拠しており、削除申請には60日以内に対応し、Vanta による継続的な監視のもとで SOC 2 Type II を取得中です(完了後は NDA のもとで完全なレポートが利用可能になります)。詳細はeesel のセキュリティページで確認できます。あるいは、無料で始めるを選び、まず自社のデータに対してエージェントのスコープを設定してみることもできます。コスト面での比較については、Gorgias 料金の解説で AI エージェントが実際にどれだけのコストになるかをまとめています。

よくある質問

Gorgias は SOC 2 に準拠していますか?
はい。Gorgias はSOC 2 Type IIを保有し、2022年以降毎年更新しています。最新のレポートの日付は 12/31/2025 です。Type II は2種類の SOC 2 レポートのうちより厳格な方で、ある1日に管理体制が正しく設計されていたかだけでなく、6〜12か月の期間にわたって実際に機能していたかどうかを審査します。
Gorgias の SOC 2 レポートのコピーはどうすれば入手できますか?
Vanta を利用したGorgias Trust Centerにアクセスし、非公開の「SOC 2 Type II Report」PDF へのアクセスを申請するか、security@gorgias.com にメールを送ってください。すでに顧客であれば、Gorgias の DPAにより、自社で監査を実施する代わりにそのレポートを受け入れることができます。
Gorgias は GDPR と HIPAA に準拠していますか?
Gorgias は GDPR と CCPA に準拠しており、標準契約条項(SCC)を通じて EU・英国・スイスからのデータ移転をカバーする公開のデータ処理契約があります。HIPAA 準拠と業務提携契約(BAA)は提供されていますが、いずれも公開されておらず、アクセス申請が必要です。データ削除については、Gorgias の GDPR 準拠ガイドで詳しく解説しています。
Gorgias は私のデータをどこに保存していますか?
Gorgias は Google Cloud Platform でホストされています(よくある思い込みとは異なり AWS ではありません)。データは転送中は TLS で暗号化され、保存時は Google Cloud のキー管理サービスで暗号化されます。バックアップは複数の Google Cloud リージョンにわたって保持されています。Gorgias の公開ページでは特定アカウントに対する EU 限定のデータレジデンシーを保証していないため、データレジデンシーが必須要件である場合は直接確認してください。
AI サポートツールを信頼するには SOC 2 バッジだけで十分ですか?
それだけでは不十分です。SOC 2 レポートは、ベンダーのセキュリティ管理体制が独立監査を受けたことを示しますが、その AI ベンダーがあなたのデータでモデルを学習させているか、各顧客のデータがどれほど厳密に分離されているか、AI エージェントが何をどこまで見て実行できるかまでは示しません。これらは、どのAI ヘルプデスクエージェントベンダーにも尋ねる価値のある別の質問であり、まさにeesel がセキュリティに対して取っているアプローチです。

Share this article

Alicia Kirana Utomo

Article by

Alicia Kirana Utomo

Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.

Related Posts

All posts →
Who owns Gorgias? A 2026 look at its founders, funding and platform
Guides

Gorgias(ゴージアス)の所有者は誰?創設者、資金調達、プラットフォームの2026年最新展望

eコマース向けヘルプデスクのリーダーであるGorgiasの背景にあるストーリーを解き明かしましょう。創設者のRomain Lapeyre氏とAlex Plugaru氏、資金調達の歩み、そしてプラットフォームの仕組みについて解説します。

Kenneth PanganKenneth PanganNov 24, 2025
Gorgiasのコーラルカラーで描かれた、Gorgias AI料金解説のイラストヘッダーバナー
Guides

Gorgias AIの料金:2026年版コスト完全ガイド

Gorgias AIの料金を2026年版で完全解説。チケット制プラン、1解決あたり0.90ドルのAI Agentアドオン、見落としがちな二重課金、実際の支払額をまとめた。

Riellvriany IndriawanRiellvriany IndriawanJun 15, 2026
Illustrated hero banner for a roundup of the 7 best Gorgias alternatives in 2026
Guides

2026年版 Gorgiasの代替ツール7選

GorgiasはShopify向けに設計されていますが、チケット単位の料金モデルはスケールするにつれて正当化しにくくなります。予算重視から企業向けまで、7つの代替ツールをテストし、最適な選択肢を見つけられるようまとめました。

Alicia Kirana UtomoAlicia Kirana UtomoJun 14, 2026
Shopifyのeコマース会話を処理するサポート担当者とAIチャットボットのイラスト
Guides

Gorgias AIチャットボット:できること、コスト、そして適した使い所

Shopifyストア向けGorgias AIチャットボットを冷静に解説:AI Agentの仕組み、実際にできること、本当の価格、そして導入する価値があるタイミング。

Riellvriany IndriawanRiellvriany IndriawanJun 12, 2026
ShopifyストアフロントのGorgiasライブチャットウィジェットのイラスト
Guides

Gorgiasライブチャット:仕組み、実際の料金、2026年に価値があるか

2026年のGorgiasライブチャットを実践的に見る:ウィジェットとAI AgentがShopifyでどう動くのか、解決1件あたりの本当のコスト、いつ価値があるのか。

Alicia Kirana UtomoAlicia Kirana UtomoJun 12, 2026
GorgiasとShopifyのロゴを含むGorgias Shopify自動化ワークフロー図
Guides

GorgiasのShopify自動化の設定方法(2026年完全ガイド)

GorgiasはShopifyストア向けに4つの異なる自動化レイヤーを提供しています。それぞれの仕組み、最初に設定すべきもの、そして限界について解説します。

Stevia PutriStevia PutriJun 2, 2026
コーナーにGorgiasのチャットバブルウィジェットが表示されたShopifyストアフロントのイラスト
Guides

GorgiasのShopifyチャットバブル:完全なセットアップとカスタマイズガイド(2026年)

GorgiasのチャットバブルについてShopifyマーチャントが知っておくべきすべてのこと — 正しいインストール方法、カスタマイズ、不具合が起きたときの修正方法、そしてAIをより実用的にする方法。

Stevia PutriStevia PutriJun 2, 2026
2026年版Gorgiasレビュー:本当に収益向上に貢献するのか?のバナー画像
Guides

2026年版Gorgiasレビュー:本当に収益向上に貢献するのか?

GorgiasのAIエージェントを徹底検証。このECネイティブなヘルプデスクが、2026年のストアのCXと売上にとって最適な選択肢なのかを解き明かします。

Kurnia Kharisma Agung SamiadjieKurnia Kharisma Agung SamiadjieMay 1, 2026
Zendeskのセキュリティとコンプライアンスのバナー画像:2026年完全ガイド
Guides

Zendeskのセキュリティとコンプライアンス:2026年完全ガイド

ITおよびセキュリティチーム向けのZendeskのエンタープライズセキュリティ機能、コンプライアンス認証、およびデータ保護制御に関する包括的なガイド。

Stevia PutriStevia PutriMar 3, 2026

AIチームメイトを採用する準備はできましたか?

数分でセットアップ。クレジットカード不要。

無料で始める