- 情報セキュリティ基本方針
- 個人情報の取り扱いについて
- 組織的な安全管理措置について
- 従業員教育について
- 物理的安全管理措置について
- 技術的安全管理措置について
- 国内外の基準への準拠について
- 個人情報の国際転送にあたってPairsが実装する安全策
情報セキュリティ基本方針
株式会社エウレカ(〒108-0073 東京都港区三田1-4-1)(代表取締役社長 山本 竜馬)(以下、弊社或いは当社と称する)は、お客様のデータのセキュリティ確保を最優先に考えています。
当社は企業理念の実現のために、お客様に安心で快適なサービスを提供すること責務と考え、お客様からお預かりした情報資産をはじめ、会社の情報資産をあらゆる脅威からの保護するため、十分な情報セキュリティ対策を確保することが当社の重要な経営課題と認識し、以下方針を定め、これを推進します。
-
情報セキュリティ体制の構築
経営陣を中心とした管理体制のもと情報セキュリティマネジメントシステムを構築し、情報セキュリティの維持、向上に取り組みます。
-
情報資産の適切な管理
保有する情報資産について重要性を認識するとともにリスク評価を行い、適切に管理します。
-
情報セキュリティ確保のための規程等の策定
情報セキュリティ確保のための規程等を定め、関係者全員にこれを徹底します。
-
情報セキュリティ対策の実施
リスクアセスメントの結果、必要となる情報セキュリティ対策を明確にし、対策活動を誠実に実施します。
-
法令・規範の遵守
情報セキュリティに関する法令その他の規範を遵守します。
-
情報セキュリティ向上のための教育の実施
定期的に、かつ必要に応じて教育を実施し、情報セキュリティにおける基本方針および目的を満たすことの重要性、並びに、法の下での責任について、全ての従業員が認識を持ち続けることができるプログラムを実行します。
-
継続的な改善
定期的に監査を実施し、継続的に情報セキュリティマネジメントシステムの改善を行います。
個人情報の取り扱いについて
当社は、個人情報の漏えい・滅失・き損防止、その他個人情報保護のため、リスクに応じた組織的、人的、物理的および技術的なセキュリティ対策を講じています。
安全管理に関する取扱規程・社内安全体制の整備、万全なセキュリティ管理等、継続的に内外の環境の変化に対応し、万が一、問題等が発生した場合でも速やかに適切な対応をし、更なる改善を図ります。
また、データアクセス時のアカウントの多要素認証設定を社内で徹底しています。
お客様のデータは当社プライバシー基準に則り、データ破棄ポリシーに従い破棄しています。
お客様の個人情報の取り扱いについては、当社プライバシーポリシーをご確認ください。
組織的な安全管理措置について
当社はシステムの安全な設計と技術原則を保証するために、当社のアプリケーションとシステムは、新機能、コード、構成の変更を含めて、社内チームによるセキュリティ設計レビューと評価を経ています。
また、当社のアプリケーションやシステムは、信頼できる第三者のセキュリティ専門家による独立した厳格なペンテストを定期的に受けています。
従業員教育について
当社の全従業員は入社時および毎年セキュリティトレーニングを受講します。
また、お客様の情報を保護するために、物理的、運用的、技術的な対策ガイドラインと実施手順を定め、これを導入、実施しています。
定期的に自社システムおよび第三者ベンダーに対して広範なセキュリティリスク評価を実施し、安全な態勢を確保しています。
物理的安全管理措置について
当社の物理的な資産、およびシステムインフラストラクチャへのアクセスは、継続的に記録、監視されています。
また、これらを情報セキュリティを専門とするチームが定常的に監視、調査、脅威の発見、是正を行い、継続的な改善を図っています。
技術的安全管理措置について
当社はセキュリティ専任のチームを設置すると共に、セキュリティコントロールフレームワークに則った定期的なリスクアセスメントと対策を実施しています。
また、必要となる情報セキュリティ対策を明確にし、対策活動を継続的に実施しています。
脆弱性の報告
当社アプリケーションおよびユーザーデータのセキュリティを向上するため、当社では外部の方からの情報提供を歓迎いたします。
万が一、当社アプリケーションおよびユーザーデータのセキュリティにまつわる脆弱性を発見された方は、当社セキュリティチーム宛にご連絡いただけますと幸いです。
また、ご報告いただいた脆弱性への対処には調査の上、迅速にご連絡いたします。
当社にまつわる脆弱性についてのいかなる情報は、お客様の安全を確保するため、適切に軽減されたことを確認できるまでは、当社以外への公表や共有はお控えいただきますようお願いいたします。
当社はHacker Oneの報奨金プログラムに参加しています。
参加者は現在招待制としておりますので、報奨金プログラムにまつわるリクエストは、下記にご連絡をお願いいたします。
問い合わせ先 株式会社エウレカ セキュリティチーム 報奨金プログラム |
最後に、当社のアプリケーションまたはインフラストラクチャーに対するDoS攻撃のテスト、または自動スキャンツールの使用を明示的に禁止いたします。
国内外の基準への準拠について
当社はサービスの運営や改善のため、第三者を利用しています。
これらの第三者は、データのホスティングやメンテナンス、分析、カスタマーサポート、マーケティング、広告、支払処理、セキュリティオペレーションなど、様々な業務で当社を支援しています。
当社はサービスプロバイダーの起用やパートナーとの提携にあたり、必ず事前に厳格な審査を実施します。
当社のサービスプロバイダーおよびパートナー企業はすべて、厳格な守秘義務に同意する必要があります。
また当社は、お客様の個人情報を、お客様がお住まいの国と同等の個人情報保護法制でない国に移転する可能性があります。
このようなグローバルな個人情報の移転に際し、当社は当該移転先国・地域の個人情報保護に関する制度を把握するとともに、日本の法律を含む適用法令の要求するところに従い、お客様の個人情報が充分に保護されることを確実にするための適切な保護策を講じます。
個人情報の国際転送にあたってPairsが実装する安全策
日本国内外に所在するサービスプロバイダーの採用やパートナー企業との提携にあたってPairsは事前に厳格な審査プロセスを実施します。
当社のサービスプロバイダーおよびパートナー企業は、厳格な守秘義務に同意し適切な個人情報保護策を実装する必要があります。
実装される安全策についての詳細は以下のとおりです。
日本国外のサービスプロバイダーまたはパートナー企業 |
サービスプロバイダーまたはパートナー企業が所在する国名 |
実装される安全策 |
安全策の概要 |
サービスプロバイダーまたはパートナー企業の安全策のPairsによるチェック方法 |
サービスプロバイダーまたはパートナー企業の安全策の実施に影響を与える国の法体系 |
サービスプロバイダーまたはパートナー企業の安全策の実施における障害 |
障害に対応するために必要または適切な補足的手段 |
クラウドデータストレージサービスプロバイダー |
米国 |
審査プロセスの完了後、サービスプロバイダーまたはパートナー企業とデータ処理契約を締結する。 |
当社はそのデータ処理契約によりサービスプロバイダーまたはパートナー企業に、APPIが求めるものと全体的に同程度の安全策を課す。 |
サービスプロバイダーやパートナー企業の採用にあたっては、Pairsは事前に厳格な審査プロセスを実施する。データ処理契約では、Pairsがサービスプロバイダーまたはパートナー企業に年1回の監査を行うことが認められている。 |
タイ:企業に政府の情報収集活動への協力義務を課す体系 |
サービスプロバイダーやパートナー企業の採用にあたっては、Pairsは事前に厳格な審査プロセスを実施する。審査プロセスに合格しないサービスプロバイダーまたはパートナー企業とはPairsは契約を行わない。 |
サービスプロバイダーまたはパートナー企業がデータ処理契約への義務違反を是正できない場合は、Pairsはサービスプロバイダーまたはパートナー企業との契約を解除する。 |
支払サービスプロバイダー |
|||||||
アナリティクスサービスプロバイダー |
|||||||
セキュリティ安全サービスプロバイダー |
|||||||
調査サービスプロバイダー |
欧州経済地域、英国、米国 |
||||||
技術サービスプロバイダー |
米国、欧州経済地域 |
||||||
マーケティングサービスプロバイダー | 米国、欧州経済地域 |