セキュリティポリシー

エディフォース株式会社（以下「当社」）は、お客様の情報資産を保護するため、以下の方針に基づき情報セキュリティの確保と継続的改善に取り組みます。

1. 基本方針

当社は、お客様から預託された個人情報・業務データ・要配慮個人情報（顔認証データ等）を保護することを経営上の重要課題と位置づけ、以下の措置を講じます。

• 個人情報保護法、改正個人情報保護法、古物営業法、その他関連法令を遵守します。
• Pマーク（プライバシーマーク）の認証取得を視野に入れた準拠運用を 2026年4月から開始しています。
• 委託先と DPA（Data Processing Addendum）等を締結し、安全管理を求めています。

2. 通信の保護

• すべての公開サービスに HTTPS（TLS 1.2 以上） を適用し、通信を暗号化しています。
• 機密データの送受信は、認証されたセッションのみで行います。
• 内部通信は、Tailscale 等のプライベートネットワークで保護しています。

3. データ保存の保護

• データベースは、サーバーサイド暗号化（クラウド管理暗号化）を有効化しています。
• 顔認証データ・身分証画像は、Google Cloud Storage（東京リージョン）に暗号化保存しています。
• 個人情報の列レベル暗号化を、リスク評価に基づき段階的に拡張中です。

4. アクセス制御

• すべてのシステムは、認証（ID + パスワード、bcrypt によるハッシュ化）を経たユーザーのみがアクセスできます。
• パスワードは平文では一切保存しません。
• アクセス権限は 最小権限の原則 に従い、業務上必要な範囲に制限します。
• 管理者操作は、すべて監査ログに記録します。

5. 監査ログ

• 重要な操作（個人情報の閲覧・編集、削除、設定変更等）は AuditLog テーブル に記録します。
• ログは原則として 5 年間保管します。
• 不正アクセス・不審な操作の検知時は、速やかに調査を開始します。

6. 委託先管理

• 委託先は、適切な個人情報保護体制を有する事業者を選定しています。
• 委託先一覧は こちら で公表しています。
• 委託先との間で DPA 等を締結し、安全管理を求めています。
• 委託先の取扱状況は、定期的に確認しています。

7. インシデント対応

• インシデント発生時の対応フローを インシデント対応マニュアル として整備しています。
• 個人情報の漏えい等が発生した場合、72時間以内 に影響を受けるお客様への通知、および個人情報保護委員会への速報を行います。
• 詳細な原因分析・再発防止策は、確報期限内（要配慮個人情報の場合は60日以内）に公表します。

8. バックアップと事業継続

• 主要データのバックアップを定期的に取得しています。
• 災害・大規模障害時の事業継続体制について、強化を進めています（2026年Q3〜）。

9. 物理的安全管理

• データセンターは、業界標準の物理セキュリティ（SOC 2 / ISO 27001 相当）が確保された Google Cloud / Render 等を利用しています。
• 業務端末（PC等）は、画面ロック・暗号化・最新セキュリティパッチの適用を徹底しています。

10. 人的安全管理

• すべての関係者に、個人情報保護およびセキュリティに関する教育・訓練を実施しています。
• 委託先従業員には、DPA 等で守秘義務を課しています。

11. 脆弱性対応

• 利用ライブラリ・フレームワークは定期的にアップデートし、セキュリティ脆弱性に対応します。
• 重大な脆弱性発覚時は、優先的にパッチを適用します。
• ソースコードは Prisma 等の安全なデータアクセス層を経由し、SQL インジェクション・XSS 等の主要脆弱性に対する対策を講じています。

12. お客様にお願いする事項

セキュリティを実効的に確保するため、お客様にも以下のご協力をお願いします。

• パスワードを他人に知られないよう管理してください
• 不正アクセスや異常を発見した場合は、速やかにご連絡ください
• 業務端末のセキュリティ対策（OS・アプリ更新、ウイルス対策等）を実施してください

13. 改訂について

本セキュリティポリシーの内容は、技術の進展、運用体制の変化、関連法令の改正に伴い、必要に応じて改訂します。重要な変更がある場合は、Webサイトにて告知します。

14. お問い合わせ

セキュリティに関するご質問、ご懸念は、以下までご連絡ください。

事業者名

エディフォース株式会社

メールアドレス

contact@ediforce.co.jp

受付時間

平日 10:00 - 18:00（土日祝・年末年始を除く）