セキュリティポリシー

第1条　基本方針

当社は、当社が運営するすべてのサービスおよび社内業務において、情報資産の機密性・完全性・可用性を確保するための対策を継続的に実施します。すべての従業員（業務委託契約を含む）は本ポリシーを遵守する義務を負います。

第2条　管理体制

• 情報セキュリティの最終責任は代表者（佐藤 駿介）が負います
• 規模に応じた合理的な体制で運用し、必要に応じて外部専門家の助言を受けます
• 本ポリシーは年に1回以上見直し、必要に応じて改定します

第3条　情報資産の分類と取扱い

• 情報資産は機密性に応じて「公開」「社内限定」「機密」「極秘」の4段階に分類し、それぞれ適切な取扱いルールを設けます
• 顧客から提供されたデータ・OAuth トークン・認証情報は「極秘」扱いとし、業務上必要最小限の者のみがアクセスできる環境で管理します
• 不要となった情報資産は速やかに削除します

第4条　技術的セキュリティ対策

• すべての通信は TLS 1.2 以上の暗号化プロトコルで保護します
• パスワードは bcrypt による一方向ハッシュ化で保管します
• OAuth refresh token 等の認証情報は AES-256 で暗号化して保管します
• サーバーへのアクセスは公開鍵認証に限定し、パスワード認証は無効化します
• ファイアウォールで不要なポートを閉鎖し、最小限の通信のみ許可します
• OS およびミドルウェアのセキュリティパッチは速やかに適用します
• 不正アクセス検知のためのアクセスログを取得し、定期的にレビューします

第5条　物理的・環境的セキュリティ

• 本番環境のサーバーは、国内のデータセンター事業者（さくらインターネット株式会社）の管理する施設に設置します
• 業務に使用する端末はディスク暗号化（FileVault / BitLocker 等）を有効化します
• 業務端末の紛失・盗難時は速やかにリモートワイプを実施できる体制を整えます

第6条　バックアップ

本番環境のデータは定期的にバックアップを取得し、復旧手順を文書化しています。バックアップデータも本番データと同等の暗号化基準で保管します。

第7条　委託先管理

当社が業務を委託する第三者（クラウドサービス事業者、決済代行事業者、AI API 提供事業者等）は、業界標準のセキュリティ基準を満たしている事業者に限定します。主要な委託先と取扱データの範囲は プライバシーポリシー第6条 に記載しています。

第8条　インシデント対応

• セキュリティインシデント（情報漏洩、不正アクセス、データ毀損等）が発生した場合、速やかに事実関係を調査し、影響範囲を特定します
• 影響を受けるお客様・取引先に対しては、判明し次第、速やかに通知します
• 個人情報の漏洩に該当する場合は、個人情報保護法および関連法令に従い、所管当局への報告を行います
• インシデント発生後は再発防止策を策定し、本ポリシーおよび運用ルールに反映します

第9条　従業員教育

従業員（業務委託契約を含む）に対し、入社時および定期的に情報セキュリティに関する教育を実施します。フィッシング・ソーシャルエンジニアリング等の脅威についての注意喚起も継続的に行います。

第10条　継続的改善

当社は本ポリシーおよびセキュリティ対策を継続的に見直し、技術環境や脅威の変化に応じて改善します。

第11条　お問い合わせ窓口

本ポリシーに関するお問い合わせ、セキュリティに関する報告は以下までご連絡ください。