> about > 利用規約 > セキュリティ対策とデータ保護

セキュリティ対策とデータ保護

セキュリティ対策とデータ保護
PDF(英語)

ProcessMind セキュリティ強化対策概要

発効日: 2025年12月12日

序文

ProcessMind セキュリティ対策概要へようこそ。当社はデータ保護の最高基準を掲げ、情報の保護において透明性と丁寧さを確保します。この文書は、無断アクセス、データ漏洩、その他の脅威を防ぐために設計された当社の統合セキュリティ対策を説明します。当社のセキュリティフレームワークは、洗練された技術戦略と包括的な業務慣行を組み合わせ、データの安全性を最大限に高めます。データ保護の取組みに関する詳細は、データ処理補足 とプライバシーポリシー をご覧ください。

ProcessMind では、データのセキュリティが最優先事項です。データの価値を理解し、第三者に販売されることはないと保証します。高度な技術的・業務的対策を組み込んだセキュリティインフラは、常にデータを保護するよう慎重に設計されています。

技術的な安全管理措置

認証: 業界標準のセキュアなアクセス管理手法を採用しています。これには二要素認証(2FA)の導入や最小権限の原則の徹底が含まれます。Microsoft Entra IDやGoogle OAuth/OIDCによるシングルサインオン(SSO)に対応しており、パスワードをシステム内に保持することなく、スムーズかつ安全なユーザー認証を実現しています。

監査ログ: すべてのシステムアクティビティは一元化されたロギングシステムに記録され、リアルタイムの監視と異常への迅速な対応を可能にしています。これは、セキュリティの維持および規制基準への準拠において不可欠なプロセスです。

災害復旧計画: 当社のディザスタリカバリ(DR)戦略には、継続的なデータバックアップ、マルチリージョンでのデータベース複製、および定期的な復旧訓練が含まれており、いかなる状況下でもビジネスの継続性を確保します。

継続的なセキュリティ監視: 自動化ツールを用いてインフラの包括的なセキュリティスキャンを実施しています。AWSのセキュリティ推奨事項、HIPAA、NIST 800-53 rev 5、PCI DSS 3.2.1、OWASP Top 10などのベストプラクティスやCompliance基準に準拠しています。

定期的なソフトウェア更新: 脆弱性を最小限に抑えるため、ソフトウェアパッケージを積極的に更新し、既知のセキュリティ脅威からシステムを保護しています。

データの暗号化: 送信中および保管中のデータの双方に強力な暗号化を施すことで、不正アクセスを防止し、情報の機密性を担保しています。

安全なデータ取り扱い: すべてのサービスにおいてセキュアなデータアップロード機能とHTTPS通信を使用し、転送時におけるデータの完全性と機密性を維持しています。

データの隔離: お客様のデータは専用のデータベースに保存され、セキュリティとプライバシーを確保しています。これにより、マルチテナント環境に伴うリスクを最小限に抑えています。共有リソースについては、保護されたマルチテナントサーバー上で安全に管理されます。

サーバーレスアーキテクチャ: サーバーレスアーキテクチャ(AWS Lambda)を採用することで、サーバーの設定ミスによるリスクを大幅に軽減し、一般的な脆弱性に対するシステムの安全性を高めています。

EU内でのデータ保存とCompliance: お客様のデータは、厳格なEUデータ保護法に従い、EU域内(ドイツ・フランクフルト)で安全に保管されます。有料プランの場合、購読期間終了から90日後にデータは自動削除されます。トライアルアカウントの場合は、アカウント作成から13ヶ月後に自動削除されます。また、お客様はアプリケーション内での操作、またはProcessMindへの連絡により、いつでも自らデータを削除できます。なお、自動バックアップに含まれるデータは、バックアップの有効期限が切れるまで(最大90日間)保持されます。

アカウントの分離: 日常的な業務操作用のアカウントと、本番環境へのアクセス用のアカウントを厳格に分離しています。この手法により、顧客データへの不慮のアクセスや侵害リスクを最小限に抑え、安全なデータ管理とアクセス制御を実現しています。また、本番環境とテスト環境は完全に分離されており、データの混在を防止しています。

継続的な機能検証: すべてのアップデートにおいて、当社の信頼モデルの整合性が損なわれないよう、継続的な機能検証を行っています。この厳格なテストプロセスは、最高水準の信頼性とセキュリティを維持するために不可欠です。

組織的対策

ISO27001 認証: ISO27001 認証の取得により、国際的なセキュリティ基準へのコミットメントを示し、お客様のニーズに応じてさらなる認証を継続的に追求しています。

アクセス管理: Active Directory を通じて、SSOによる従業員向けの安全なアプリケーションアクセスを確保し、MFA を強制することでセキュリティを強化しています。

役割ベースのアクセス制御: 厳格な役割ベースのアクセス制御 (RBAC) プロトコルを従業員に適用し、業界のデータセキュリティとプライバシーに関するベストプラクティスに基づき、顧客データへのアクセスを知る必要がある者に厳密に限定しています。

セキュリティ意識: チームは開発プロセス全般にわたってセキュリティに専念しています。定期的にセキュリティ対策を強化するための議論を行い、改善を継続的に特定・実施する環境を整えています。

変更管理プロトコル: 包括的な変更管理プロトコルはセキュリティ考慮を含み、各変更が徹底的なセキュリティ影響評価を受けることを保証します。このプロセスは、システムの整合性とセキュリティを維持し、変更によるセキュリティへの悪影響を防ぐことを目的としています。

フィードバックとエンゲージメント: セキュリティ実践に関する顧客からのフィードバックは非常に重要であり、データ保護を強化するための継続的な改善努力において重要な役割を果たしています。

ProcessMind では、データ保護へのコミットメントは揺るぎません。高度な技術的保護と厳格な業務統制を組み合わせて、安全で信頼性の高いサービスを提供します。データ保護とプライバシーを最高基準で維持することが、信頼を築き維持するための誓約です。