> ## Documentation Index
> Fetch the complete documentation index at: https://docs.replit.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Replitの責任共有モデル

> Replitでアプリを構築、出荷、実行する際に、セキュリティ、コンプライアンス、運用上の責任がReplitとユーザーの間でどのように分担されるかを説明します。

安全な方法でアプリを構築・発行することは共同の責任です。Replitは、顧客のワークロードが実行されるReplit Agent、プラットフォーム、およびインフラストラクチャのセキュリティに責任を負います。Replitは合理的なコントロールと安全なデフォルトでこれらを運用し、アプリケーションとデータを保護するために使用できるツールを提供しています。ユーザーはアプリケーションのコンテンツと、Replitが提供するツールの使用・設定に責任を負います。

これは意図的なバランスです。Replitはユーザーが夢見るものを何でも構築できることを望んでいます。その自由は、特定の決定をユーザーの手に委ねることを意味します。以下の表は、確立されたクラウドおよびAI責任共有パターン（[Microsoft AI SRM](https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility-ai)、[CSA AICM](https://cloudsecurityalliance.org/research/artifacts/ai-controls-matrix/)）に沿って、[ISO/IEC 42001](https://www.iso.org/standard/42001)と[NIST AI RMF](https://www.nist.gov/itl/ai-risk-management-framework)に基づいたReplitの責任共有モデルを示しています：

## 責任マトリックス

### 一般

| エリア                 | 説明                                                                                                                          | 責任                                                                                |
| ------------------- | --------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------- |
| 利用規約                | Replitの利用規約への準拠。                                                                                                            | ユーザー                                                                              |
| インシデント対応と違反通知       | Replitはインシデント対応ポリシーおよび契約に従ってプラットフォームインシデントに対応し、影響を受ける顧客に通知します。ユーザーはプロジェクト、アプリケーションコード、データ、またはエンドユーザーアカウントに起因するインシデントに対応します。 | Replit（プラットフォーム）<br />ユーザー（アプリ）                                                   |
| Replitへの脆弱性報告       | [責任ある開示](https://en.wikipedia.org/wiki/Coordinated_vulnerability_disclosure)モデルに従って、プラットフォームで発見された問題をReplitに通知すること。         | Replit（トリアージと修正）<br />ユーザー（[security@replit.com](mailto:security@replit.com)への報告） |
| プラットフォームのコンプライアンス認証 | 認証（例：SOC 2 Type II）の維持と顧客へのエビデンス提供。                                                                                         | Replit                                                                            |
| サブプロセッサ             | Replitはプラットフォーム上で顧客データを処理するサブプロセッサを審査・開示します。ユーザーはアプリで使用するサブプロセッサを審査・開示します。                                                  | Replit（プラットフォーム）<br />ユーザー（アプリ）                                                   |

### Replit Agent

| エリア                    | 説明                                                                                                            | 責任                                                                                       |
| ---------------------- | ------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------- |
| コード生成                  | Replit Agentによるアプリケーションコードの生成。                                                                                | Replit                                                                                   |
| コードレビュー                | Agentの出力の正確性、セキュリティ、ライセンスの確認（Agentが導入するサードパーティの依存関係を含む）。                                                      | ユーザー                                                                                     |
| Agentハーネス              | Replit Agentが使用するエージェントフレームワーク、メモリ管理、コアツールなど。                                                                 | Replit                                                                                   |
| ヒューマン・イン・ザ・ループ         | Agentが提案する機密アクション（デプロイ、シークレット変更、アウトバウンドコール）の承認。                                                               | ユーザー                                                                                     |
| プロンプティング               | Replit Agentに与えるプロンプトと指示。                                                                                     | ユーザー                                                                                     |
| プロンプトインジェクションと信頼できない入力 | Replitはハーネスを堅牢化し、悪意のあるプロンプトに対する緩和策を追加します（防止を保証するものではありません）。ユーザーはサニタイズせずに信頼できない外部コンテンツをAgentに渡すことを避け、出力を検証します。 | Replit（ガードレール）<br />ユーザー（入力の衛生管理）                                                        |
| プロンプトの処理とモデルのインタラクション  | プロンプトと生成されたコードのログ記録、保持、およびトレーニングへの使用有無。                                                                       | Replit（[利用規約](https://replit.com/terms-of-service)と[データ処理契約](https://replit.com/dpa)に準拠） |
| Skills / MCP           | Replitが審査したSkillsとMCPツールはReplitが管理します。ユーザーがインストールしたSkillsとMCPツールは、ユーザーが審査、設定、取り消しを行う責任があります。                  | Replit（ファーストパーティ）<br />ユーザー（サードパーティ）                                                     |

### 開発環境

| エリア                                   | 説明                                                                                                                                  | 責任                                            |
| ------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------- |
| ワークスペースのID・アクセス管理（アカウント、MFA、SSO、SCIM） | ReplitのOrganizationとWorkspaceへのアクセスのセキュリティ確保。                                                                                       | Replit（コントロール）<br />ユーザー（設定）                  |
| ワークスペース監査ログ                           | Replit Workspaceで誰が何をしたかのログ記録。                                                                                                      | Replit（提供）<br />ユーザー（レビュー）                    |
| シークレット管理                              | シークレットを適切に保存するために、ConnectorsとSecretsフィーチャーを常に使用してください。                                                                              | ユーザー                                          |
| シークレットの保管                             | Replitはシークレットをプレーンテキストで保存またはログに記録しません。                                                                                              | Replit                                        |
| 共有とコラボレーション                           | Replitはアクセスコントロールを強制するためのツールを提供します。各アプリを閲覧、編集、またはリミックスできるユーザー、Agentと対話できるユーザー、Connectorsを設定できるユーザー、シークレットを閲覧できるユーザーなどの選択はユーザーの責任です。 | Replit（ロールベースのアクセスコントロール）<br />ユーザー（設定）       |
| データレジデンシー                             | アプリケーション開発データが保存・処理される場所。                                                                                                           | Replit（機能）<br />ユーザー（選択）                      |
| データの保持、削除、エクスポート                      | データの保持期間とその削除またはエクスポート方法。                                                                                                           | Replit（メカニズム）<br />ユーザー（設定）                   |
| アプリケーションの機能と正確性                       | アプリケーションの完成度と機能性。Replitはリグレッションテストを提供する責任があります。ユーザーは望ましいビジネスロジックを記述する責任があります。                                                       | Replit（コードの作成とテストインフラ）<br />ユーザー（ビジネスロジックの決定） |
| Connectors                            | Replitは他のサービスに接続するための安全なメカニズムを提供します。ユーザーはサードパーティサービスの認証情報の認可、ローテーション、取り消しを行います。                                                     | Replit（メカニズム）<br />ユーザー（サードパーティの認証情報とアクセス）    |
| 開発ランタイム                               | オペレーティングシステムとランタイム。                                                                                                                 | Replit                                        |
| ネットワークセキュリティ                          | 開発インスタンス間の分離。                                                                                                                       | Replit                                        |
| プラットフォーム監視                            | Replitインフラストラクチャフリートの監視。                                                                                                            | Replit                                        |

### 発行済みアプリ

| エリア                 | 説明                                                                                           | 責任                              |
| ------------------- | -------------------------------------------------------------------------------------------- | ------------------------------- |
| ユーザー管理              | 発行済みアプリへのユーザーのログイン方法を制御します。                                                                  | ユーザー                            |
| 利用ポリシー / アクセスコントロール | 認可に基づいて、どのユーザーがアプリのどのリソースや部分にアクセスできるかを制御します。                                                 | ユーザー                            |
| IP / 著作権            | Agentの出力とアプリケーションが知的財産権と著作権を尊重していることを確認する責任があります。                                            | ユーザー                            |
| 情報 / データ            | アプリケーションによって消費、作成、または表示されるデータ。                                                               | ユーザー                            |
| プライバシー通知とエンドユーザーの同意 | エンドユーザーに表示されるプライバシーの開示、Cookieバナー、同意。                                                         | ユーザー                            |
| アプリケーションの規制コンプライアンス | アプリに適用される法律と規制の遵守（例：GDPR、CCPA、PHI、PCI DSS、HIPAA、SOC 2）。                                      | ユーザー                            |
| アプリのペネトレーションテスト     | 構築したアプリケーションのセキュリティテスト。                                                                      | ユーザー                            |
| アプリの脆弱性開示           | アプリについての研究者からのセキュリティレポートの受付とトリアージ。                                                           | ユーザー                            |
| エッジ保護（DDoS対策とWAF）   | プラットフォームエッジでの大量トラフィックとアプリケーション層の攻撃緩和。                                                        | Replit                          |
| 発行済みアプリのインフラストラクチャ  | 発行済みアプリの実行場所、インフラストラクチャのメンテナンス、プラットフォームの脆弱性パッチ適用など。                                          | Replit                          |
| 転送中および保管中の暗号化       | トラフィックのTLS、プラットフォーム保管データの暗号化。                                                                | Replit                          |
| アプリケーション層の暗号化       | アプリレベルまたはフィールドレベルの暗号化ニーズと、接続する外部データストア。                                                      | ユーザー                            |
| 発行ライフサイクル           | Replitは発行済みアプリの可視性（非公開、パスワード保護、公開）を選択するためのツールを提供します。正しい可視性の選択はユーザーの責任です。                     | Replit（メカニズム）<br />ユーザー（設定）     |
| 脆弱性管理               | Replitは発行済みアプリの依存関係の脆弱性を検出してアラートを発します。ユーザーはそれらを緩和・修正します。                                     | Replit（検出）<br />ユーザー（修正）        |
| ログと監視               | Replitはプラットフォームの可用性と不正使用シグナルを監視します。ユーザーはアプリケーションレベルのログと監視（エラー、ビジネスイベント、ユーザーアクティビティ）に責任があります。 | Replit（プラットフォーム）<br />ユーザー（アプリ） |
| バックアップとリカバリ         | 発行済みアプリのコードとReplitが管理するデータベースの内容のバックアップ。                                                     | Replit                          |

## 責任の分担方法

表のほとんどの行は3つのパターンのいずれかに従っています：

* **メカニズム対設定。** Replitはコントロールを提供します：RBAC、可視性設定、MFA、SSO、データレジデンシー、保持期間。ユーザーはどれを有効にするか、どのように設定するかを決定します。
* **検出対修正。** Replitはプラットフォームを監視し、見えるものを表示します：脆弱な依存関係、不正使用シグナル、プラットフォームの異常。ユーザーはアプリケーション内のものを監視・修正します。なぜなら「修正済み」がアプリのコンテキストで何を意味するかを知っているのはユーザーだけだからです。
* **ファーストパーティ対サードパーティ。** ReplitがレビューしたSkills、MCPツール、ConnectorsはReplitによってレビューされます。ユーザーが接続、インストール、または配線したものは、ユーザーが審査、設定、ローテーション、取り消しを行う責任があります。

一部の行はユーザーだけの責任です：利用ポリシー、アクセスコントロール、IP審査、エンドユーザーのプライバシー通知、アプリケーションレベルのペネトレーションテスト。これらはユーザーだけが持つコンテキストに依存しています。他の行はReplitが担当します：アプリが構築・実行されるプラットフォームです。

これらのパターンは意図的に繰り返されています。自由に何でも構築できることが目的であるプラットフォームで責任を分担する唯一の誠実な方法です。

## Replit Agentとの協力

ユーザーはAgentが生成したコードを所有し、それに責任を負います。実際には、いくつかの習慣を身につけることを意味します：

1. **出荷前にレビューする。** Agentは動作するコードを生成しますが、「動作する」と「正確」は異なります。特に認証、データ処理、信頼の境界を越えるものについて、書かれたコードを読んでください。Agentにテストを書かせて推論を説明させることは、反復時のリグレッションを発見する良い方法です。
2. **シークレットをプロンプトから除外する。** SecretsフィーチャーとConnectorsを使用してください。APIキー、トークン、認証情報をチャットに貼り付けないでください。Agentはプレーンテキストで受け取らなくてもそれらを使用でき、貼り付けると管理されたシークレットが管理されていないものになります。
3. **ビジネスロジックとアクセスコントロールモデルを説明する。** Replit Agentに、アプリのどの機能に誰がアクセスできるかを伝えてください。アプリが世界中の全員に閲覧されることを意図していない場合は、ReplitのPrivateまたはPassword-protectedの発行オプションの1つを選択してください。
4. **機密アクションを意識的に承認する。** Agentがアプリの発行、シークレット変更、アウトバウンドコールを提案した場合、ヒューマン・イン・ザ・ループのステップはユーザーのものです。クリックスルーではなく、実際のレビューとして扱ってください。

## コンプライアンスとインシデント対応

ユーザーは[Replitの利用規約](https://replit.com/terms-of-service)を遵守する責任があります。また、自身のコンプライアンスと法的要件を理解する責任もあります。コンプライアンスの観点からReplitが何を提供するまたは提供しないか（SOC 2 Type II、サブプロセッサ、認証など）については、[replit.com/security](https://replit.com/security)をご覧ください。

Replitプラットフォームで脆弱性を見つけた場合は、Replitの[責任ある開示](https://en.wikipedia.org/wiki/Coordinated_vulnerability_disclosure)プロセスに従って[security@replit.com](mailto:security@replit.com)に報告してください。構築したアプリで見つけた場合は、ユーザー自身がトリアージを行います。プラットフォームのインシデントはReplitのインシデント対応ポリシーに従って処理されます。アプリケーション、データ、またはエンドユーザーのアカウントに起因するインシデントはユーザーが主導します。
