タグ: 『データ保護』

グローバル企業における日本の情報セキュリティ要件への対応 海外本社に「なぜ日本のセキュリティコンプライアンスはこんなに複雑なのか」を説明するのは困難です。PIPA（個人情報保護法）、マイナンバー法、J-SOX要件など、日本特有の規制をグローバル基準に翻訳し、本社の理解を得るためのパートナーとして、イソリアはグローバル企業の日本法人をサポートします。 海外本社への説明ポイント 日本の規制フレームワークの特殊性： PIPA vs. GDPR: 個人の権利重視のGDPRに対し、組織責任・プロセス文書化重視のPIPA マイナンバー制度: 海外に類例のない個人番号制度に対する特別な技術的保護措置 J-SOX要件: 米国SOXとは異なる日本版IT統制要件 文化的期待値: 情報処理、インシデント対応、プライバシーに対する日本特有の期待 グローバルセキュリティポリシーとの整合 本社報告における課題説明： 二重コンプライアンス: グローバル企業ポリシーと日本規制要件の同時遵守 ベンダー選定: 国際ベンダー vs. 日本規制専門ベンダーの最適な組み合わせ コスト正当化: 日本特有の規制対応コストをグローバル予算で説明 監査調整: 海外監査法人と日本規制当局の要求の両立 グローバル本社との調整支援 国際セキュリティ基準との統合： ポリシー統合: グローバルセキュリティポリシーを日本規制に適合 監査対応: ISO 27001等の国際基準と日本規制の監査を統合的に実施 インシデント報告: 日本の法的要件とグローバル報告要件を同時満足 リスク評価: 日本特有のセキュリティリスクをグローバルリスク管理に統合 規制当局・監査法人との関係構築 日本のセキュリティ環境での効果的な対応： 規制解釈: PIPA、マイナンバー法の実装における適切な解釈と適用 当局対応: 個人情報保護委員会等の規制当局との適切なコミュニケーション 監査準備: 日本の監査法人による監査への準備と対応 業界連携: 業界団体やセキュリティコミュニティとの情報共有 イソリアのバイリンガル・セキュリティマネジメント 日本と海外をつなぐセキュリティサービス： 規制翻訳: 複雑な日本規制を、海外スタッフが理解できる国際基準で説明 二重監査: 日本規制監査とグローバル監査を効率的に統合実施 ポリシー統合: 日本法遵守とグローバルポリシー遵守を同時実現 継続管理: 規制変更の監視から、グローバル報告まで一元管理 ISO 27001フレームワークアプローチ イソリアのセキュリティコンサルティングは、ISO 27001フレームワークに従い、機密性の高い企業情報を管理するための体系的なアプローチを提供します。人、プロセス、ITシステムを含むリスク管理プロセスを通じて、情報の安全性を確保します。 対応するISO 27001の中核領域 ISO 27001の14の管理策領域すべての実装と管理を支援します： 組織的管理策 A.5 情報セキュリティ方針 - ビジネス目標に合わせたセキュリティポリシーの開発と維持 A.6 情報セキュリティ組織 - 役割、責任、ガバナンス構造の定義 A.7 人的資源セキュリティ - 従業員のライフサイクル全体でのセキュリティ考慮事項 A.8 資産管理 - 情報資産の識別、分類、保護 技術的管理策 A.9 アクセス制御 - ビジネス要件に基づく情報とシステムへのアクセス制限 A.10 暗号 - 情報の機密性と完全性を保護するための暗号化の適切な使用 A.12 運用セキュリティ - 情報処理設備の安全な運用 A.13 通信セキュリティ - ネットワークおよび支援システムでの情報保護 プロセス管理策 A.11 物理的および環境的セキュリティ - 施設と設備への不正アクセス防止 A.14 システム取得、開発、保守 - 開発およびサポートプロセスにおけるセキュリティ A.15 供給者関係 - 供給者がアクセス可能な資産の保護 A.16 情報セキュリティインシデント管理 - 一貫した効果的なインシデント対応 コンプライアンスと継続性 A.17 事業継続管理 - 不利な状況における情報セキュリティの継続性 A.18 コンプライアンス - 法的、規制的、契約上の義務違反の回避 リスクベースのセキュリティ管理 当社のアプローチは、包括的なセキュリティリスクの特定、評価、管理を確実にする体系的な6段階プロセスを通じたリスク評価と対処を中心としています： {{ comp.icon({ name: "list", size: 5, color: "white", nomargin: true }) }} 1. 資産特定 すべての情報資産とその価値のカタログ化 {{ comp.icon({ name: "warning", size: 5, color: "white", nomargin: true }) }} 2. 脅威分析 各資産に対する潜在的な脅威の特定 {{ comp.icon({ name: "shield-slash", size: 5, color: "white", nomargin: true }) }} 3. 脆弱性評価 脅威が悪用できる弱点の発見 {{ comp.icon({ name: "chart-bar", size: 5, color: "white", nomargin: true }) }} 4. リスク評価 可能性と影響に基づくリスクレベルの計算 {{ comp.icon({ name: "shield-check", size: 5, color: "white", nomargin: true }) }} 5. リスク対応 リスクを軽減、移転、または受容するための適切な管理策の選択 {{ comp.icon({ name: "arrows-clockwise", size: 5, color: "white", nomargin: true }) }} 6. 監視・レビュー リスク環境の継続的な評価 リスク評価プロセス セキュリティ実装サービス ギャップ分析と計画 ISO 27001要件に対する現状評価 成熟度レベルの評価 コンプライアンスのためのロードマップ開発 予算とリソースの計画 ポリシーと手順の開発 情報セキュリティポリシーフレームワーク 標準運用手順 インシデント対応プレイブック 事業継続計画 セキュリティ意識向上資料 技術的実装 セキュリティアーキテクチャ設計 セキュリティ管理策の展開 脆弱性管理プログラム セキュリティ監視ソリューション データ損失防止戦略 コンプライアンスと監査支援 内部監査プログラム 外部監査準備 規制コンプライアンス（GDPR、J-SOXなど） サードパーティリスク評価 継続的なコンプライアンス監視 セキュリティ運用支援 実装を超えて、継続的なセキュリティ運用支援を提供します： セキュリティ監視 - セキュリティイベントとアラートの継続的な監視 インシデント対応 - 定義されたエスカレーション手順によるセキュリティインシデントへの迅速な対応 脆弱性管理 - 定期的な評価と修正追跡 セキュリティメトリクスとレポーティング - KPIダッシュボードと経営層向けレポート セキュリティ意識向上トレーニング - 全スタッフレベル向けの定期的なトレーニングプログラム ISO 27001アプローチの利点 構造化されたフレームワーク - セキュリティ管理への体系的なアプローチ リスク削減 - セキュリティリスクの積極的な特定と軽減 コンプライアンスの確信 - 規制および契約要件の充足 顧客の信頼 - 情報セキュリティへのコミットメントの実証 競争優位性 - ビジネス差別化要因としてのISO 27001認証 継続的改善 - 継続的な強化のための組み込みプロセス 日本特有の考慮事項 日本での事業運営には、現地要件の理解が必要です： 個人情報保護法（PIPA）コンプライアンス マイナンバー法個人番号取り扱い要件 J-SOX上場企業向けIT統制 日本のセキュリティベンダー（SECOM、ALSOK）との統合 バイリンガル文書とトレーニング資料 日本の規制当局との調整 はじめに セキュリティの旅を始めたばかりでも、既存のプログラムを強化したい場合でも、イソリアは情報セキュリティ目標を達成するための専門知識を提供します。当社のコンサルタントは関連資格を保有し、継続的な専門能力開発を通じて専門知識を拡大し続けています。 ISO 27001に準拠した実践を通じて、情報セキュリティ態勢を強化する方法について、今すぐお問い合わせください。

更新日: 2025年11月1日 イソリアはサイバーセキュリティを重要視しています。このセキュリティポリシーは、包括的なセキュリティ対策と責任ある開示慣行を通じて、システム、データ、ユーザーを保護する当社の取り組みを概説しています。 脆弱性開示 セキュリティ問題の報告 当社のシステムやウェブサイトでセキュリティ脆弱性を発見された場合、責任ある開示をお願いいたします： 連絡先: お問い合わせフォームより件名に「セキュリティ脆弱性」と記載してご報告ください 応答時間: セキュリティ報告には24時間以内の確認応答を目指しています 調査: すべての報告は当社セキュリティチームが徹底的に調査いたします 更新: 報告された問題の状況について定期的な更新をお送りいたします 報告内容 セキュリティ脆弱性を報告される際は、以下をご記載ください： 脆弱性の詳細な説明 問題を再現する手順 潜在的な影響評価 概念実証コードやスクリーンショット（あれば） フォローアップのための連絡先情報 当社の約束 善意で脆弱性を報告する研究者に対し法的措置は取りません 問題を理解し迅速に解決するためにお客様と協力いたします セキュリティ問題が解決された際は（許可を得て）研究者をクレジットいたします 適切な場合はセキュリティ改善について透明性を保ちます セキュリティ対策 ウェブサイトセキュリティ 当ウェブサイトは多層のセキュリティを実装しています： 完全HTTPS: TLS 1.3によるすべてのトラフィック暗号化 コンテンツセキュリティポリシー: XSS攻撃を防ぐ厳格なCSPヘッダー セキュリティヘッダー: セキュリティヘッダー（HSTS、X-Frame-Optionsなど）の実装 入力検証: すべてのユーザー入力の包括的な検証 定期更新: 依存関係の継続的な監視と更新 インフラストラクチャセキュリティ セキュアホスティング: エンタープライズグレードセキュリティを持つNetlifyでホスティング DNSセキュリティ: DNS over HTTPS（DoH）とDNSSECの実装 アクセス制御: すべてのシステムアクセスに最小権限の原則を適用 監視: 24時間365日のセキュリティ監視とアラート バックアップセキュリティ: セキュアなキー管理による暗号化バックアップ 開発セキュリティ セキュアコーディング: OWASPセキュリティガイドラインに従った開発 コードレビュー: すべてのコード変更のセキュリティレビュー 依存関係スキャン: 依存関係の自動脆弱性スキャン 静的解析: セキュリティに焦点を当てた静的コード解析 CI/CDセキュリティ: セキュアなビルドとデプロイメントパイプライン データ保護 情報の取り扱い データ最小化: 必要な情報のみを収集 暗号化: すべての機密データを保存時・転送時に暗号化 アクセス制御: すべてのデータシステムへの厳格なアクセス制御 保持ポリシー: 明確なデータ保持・削除ポリシー（プライバシーポリシーをご覧ください） プライバシーバイデザイン: すべてのシステムにプライバシー考慮を統合 ユーザープライバシー 透明な慣行: データ使用を概説する明確なプライバシーポリシー ユーザー権利: ユーザーのプライバシー権利と設定の尊重（プライバシーポリシーに詳細） 同意管理: データ収集の適切な同意メカニズム データポータビリティ: 要求時のデータエクスポートサポート 削除権: 完全なデータ削除のプロセス インシデント対応 対応プロセス セキュリティインシデント発生時： 検出: 即座の識別と評価 封じ込め: 更なる被害を防ぐための迅速な封じ込め 調査: 影響を理解するための徹底的な調査 コミュニケーション: 影響を受ける関係者との透明なコミュニケーション 回復: 完全なシステム回復とセキュリティ復旧 レビュー: インシデント後のレビューとプロセス改善 コミュニケーション ユーザー通知: データが影響を受けた場合のユーザーへの迅速な通知 透明性: 重大なセキュリティインシデントの公開開示 規制遵守: 適用される全ての侵害通知法の遵守 継続的更新: インシデント解決中の定期的な更新 コンプライアンスと基準 規制遵守 関連するセキュリティとプライバシー規制への遵守を維持： GDPR: 欧州一般データ保護規則（データ保護ページをご覧ください） 日本のプライバシー法: 日本のデータ保護法への遵守 業界基準: 関連する業界セキュリティ基準への準拠 定期監査: 定期的なセキュリティ監査と評価 セキュリティフレームワーク 当社のセキュリティ慣行は確立されたフレームワークに準拠： OWASP: Open Web Application Security Projectガイドライン NIST: 米国国立標準技術研究所フレームワーク ISO 27001: 情報セキュリティ管理原則 CISコントロール: Center for Internet Securityコントロール セキュリティリソース ユーザー向け セキュリティヒント: 当サービスとの安全な相互作用のベストプラクティス アカウントセキュリティ: セキュアなアカウント維持のガイダンス フィッシング認識: セキュリティ脅威の識別に関する情報 連絡先情報: セキュリティ関連質問の明確なチャネル 研究者向け 範囲: セキュリティ研究の範囲内システムの明確な定義 ガイドライン: 責任ある開示ガイドラインと期待 認識: セキュリティ研究者認識プログラム リソース: セキュリティ研究者向け技術文書 継続的改善 定期レビュー ポリシー更新: セキュリティポリシーの定期レビューと更新 脅威評価: 継続的な脅威ランドスケープ評価 技術更新: セキュリティ技術の継続的改善 トレーニング: 全チームメンバーの定期的なセキュリティトレーニング 業界参加 セキュリティコミュニティ: セキュリティコミュニティへの積極的参加 脅威インテリジェンス: 新興セキュリティ脅威の監視 ベストプラクティス: 業界ベストプラクティスの実装 知識共有: セキュリティ知識ベースへの貢献 連絡先情報 セキュリティ関連事項について： 一般的なセキュリティ質問: お問い合わせフォームより件名に「セキュリティ」と記載 脆弱性報告: お問い合わせフォームより件名に「セキュリティ脆弱性」と記載 Security.txt: 機械可読セキュリティ情報は/.well-known/security.txt このセキュリティポリシーの変更 このセキュリティポリシーはいつでも更新する権利を保持しています。変更は当ウェブサイトのトップページの「更新」セクションでお知らせし、最新の更新日はこのページの上部に表示されます。 このセキュリティポリシーや当社のセキュリティ慣行についてご質問がございましたら、公式チャネルを通じてお問い合わせください。

更新日: 1 November 2025 株式会社イソリア（以下「当社」）は、お客様の個人データの保護と適切な取り扱いに全力で取り組んでいます。 データ保護原則 当社は以下の基本原則に従ってデータを処理します： 適法性、公正性、透明性 個人データは、データ主体に対して適法、公正かつ透明な方法で処理されます データ処理の法的根拠を常に明確にします データ処理活動について明確で理解しやすい情報を提供します 目的の限定 個人データは、明確で正当かつ特定された目的のためにのみ収集されます それらの目的と両立しない方法での後続の処理は行いません データの最小化 個人データは、処理目的に関して適切、関連性があり、必要な範囲に限定されます 必要以上のデータは収集しません 正確性 個人データは正確であり、必要に応じて最新の状態に保たれます 不正確な個人データは遅滞なく消去または修正されます 保存期間の制限 個人データは、処理目的に必要な期間を超えて保持されません 明確な保持ポリシーを維持し、定期的に見直します 完全性と機密性 適切な技術的および組織的措置を用いて個人データの安全を確保します 不正な処理、偶発的な紛失、破壊、損傷から保護します データ主体の権利 適用される法律の下で、お客様は以下の権利を有する場合があります： アクセス権 当社がお客様について保有する個人データの詳細を知る権利 処理の目的、データのカテゴリ、受領者に関する情報 データの保存期間または削除基準に関する情報 訂正権 不正確または不完全な個人データの修正を求める権利 補完情報の提供を求める権利 削除権（忘れられる権利） 特定の状況下で個人データの削除を求める権利 法的義務がある場合を除き、データの削除 処理の制限を求める権利 特定の状況下で個人データの処理を制限する権利 データの正確性に異議がある場合の処理停止 データポータビリティの権利 構造化された一般的に使用される機械読み取り可能な形式での個人データの受領 そのデータを別の管理者に送信する権利 異議申立権 正当な利益に基づく処理に対する異議申立 ダイレクトマーケティング目的の処理に対する異議申立 同意の撤回 同意に基づく処理について、いつでも同意を撤回する権利 撤回前の処理の適法性には影響しません 国際データ転送 当社は、適切な保護措置を講じた上で、お客様の個人データを以下の国に転送する場合があります： 日本（本社所在地） アメリカ合衆国（クラウドサービス） 欧州連合（バックアップサービス） 十分性決定が存在しない国への転送については、以下の保護措置を使用します： 標準契約条項（SCC） 認定されたコードオブコンダクト 承認された認証メカニズム データ保護責任者 当社は、データ保護に関するお問い合わせやご懸念について対応いたします。データ保護に関するご質問は、本ページの問い合わせフォームを通じてご連絡ください。 データ侵害通知 個人データの侵害が発生した場合： 適用法に従い、関連する監督機関に通知します 高いリスクをもたらす可能性がある場合は、影響を受けるデータ主体に通知します 侵害の詳細、考えられる影響、講じた措置について情報を提供します 子どもの個人データ 当社は、16歳未満の子どもの個人データを意図的に収集することはありません。子どもの個人データを収集したことが判明した場合は、速やかに削除いたします。 苦情申立て データ保護に関する苦情をお持ちの場合： 日本では個人情報保護委員会に苦情を申し立てる権利があります EUでは各国のデータ保護機関にお問い合わせください ポリシーの変更 当社は、このデータ保護ポリシーをいつでも更新する権利を有します。変更は当ウェブサイトトップページの「最新情報」セクションで告知し、当ページ上部の日付で最終更新日をご確認いただけます。 関連情報 プライバシーポリシー - 当社の完全なプライバシーポリシー 法的情報 - すべての法的文書の概要 PROdbセキュリティ・プライバシー - サービス固有のデータ保護 セキュリティポリシー - 当社の技術的セキュリティ対策

更新日: 2025年10月29日 お客様のデータのプライバシーは非常に重要です。本文書ではお客様のデータがどこでどのように、そしてそれが安全に保管されているかということを説明します。 「PROdb」とは、イソリアが「dbFLEX」と言うPaaSで開発及びホスティングするアプリのブランド名です。「dbFLEX」は ForeSoft社が運用・運営しているサービスです。この文書で「PROdb」を使う時、PaaSを指してます。 セキュリティ インフラストラクチャー 顧客データは、顧客データへのアクセスが適切に行われることを確保するため、制定された物理的、技術的、および経営上の管理のもと、これらのデータセンターで保管され処理されています。 データセンター 米国イリノイ州シカゴにあるSteadfast Networks データセンタ 生体認証ロック、24時間365日監視システム 緊急時用ディーゼル発電機の二重バックアップ 高度な消火システムを完備 セキュリティ認証詳細 データ暗号化 通信の暗号化 256-ビット (SHA2) TLSサーティフィケイト使用 TLS1.0、1.1および1.2に対応 全てのデータ通信をSSLで保護 ストレージの暗号化 データベースはAES256にて暗号化 添付ファイルもAES256で暗号化 バックアップデータも暗号化状態で保存 データのバックアップと災害時のデータ復旧 バックアップシステム 1時間おきの自動データバックアップ 暗号化されたバックアップファイル 安全な災害時復旧施設への複製 6か月間の保管後、永久削除 持ち出し可能なメディアは一切不使用 復旧体制 災害時の迅速なデータ復旧 セキュアサーバーでのバックアップ保管 自然災害や重大セキュリティ違反時の特別復旧手順 人事アクセス制御 管理アクセス 運用管理担当の少人数チームのみアクセス権保有 トラブルシューティング時の読み取り専用アクセス お客様からの招待・承認なしでは顧客データベースアクセス不可 セキュリティ対策 全従業員の機密保持契約署名義務 セキュリティ教育とベストプラクティス研修 VPN経由の限定的リモートアクセス 全アクセスのIPアドレスログ記録 事故対応 インシデント対応プロセス データ漏洩の疑いまたは確認時、72時間以内に全影響顧客へメール通知 迅速な調査と対応措置の実施 透明性の高い報告と改善策の提供 プライバシー 個人識別可能情報（PII） 収集する情報 フルネーム - より良いユーザー体験のため メールアドレス - 固有ユーザー特定と連絡用 パスワード - アカウントセキュリティ 所在地とタイムゾーン - 適正なフォーマット表示 データの取り扱い データインテグリティ上、ユーザーアカウント自体の削除は不可 ご要望に応じて個人識別可能情報の削除対応 安全な暗号化による情報保護 個人識別可能情報の共有 第三者への開示 お客様の個人情報を第三者へ開示することは一切ありません お客様の同意なしにマーケティング目的でユーザー名を使用しません 内部システムでの利用 顧客情報システム、サポートシステム、課金システムへの安全な複写保存 イソリアのセキュリティおよびプライバシーポリシーに準拠 クッキーの使用 利用目的 ユーザー認証 ユーザー設定の保存 閲覧履歴の追跡 セキュリティ 個人識別可能な個人情報は含まれません セキュアな実装とアクセス制御 法執行機関への対応 基本方針 裁判所の法的命令がない限り、お客様のデータを法執行機関へ開示しません 法令なしの地方および国の法執行機関からのデータ開示要求は拒否 開示要求があった場合、法的拘束がない限り必ずお客様に通知 データの保持と削除 お客様の責任 データ管理 データ保持および削除要件の理解と実行はお客様の責任 いつでもご自身のデータを削除可能 制作システムからの即座削除 バックアップからの完全削除 PROdbバックアップから完全消滅まで最長6か月 セキュリティと復旧のためのバックアップ保管期間 削除プロセス 削除された記録 データベースの「ごみ箱」に30日間保管 30日経過後に自動消滅 管理者による手動削除も可能 期限切れデータベース トライアル期間終了またはキャンセル時に「期限切れ」 アクセスはPROdbによってブロック 有料データベース: 削除されるまでロック状態で保管 トライアルデータベース: 期限切れ後90日以内に自動削除 削除されたデータベース ユーザー利用範囲から即座に消滅 30日以内にグローバルデータベースから物理的抹消 システムバックアップには6か月間保存 その他の重要事項 事業継続性 安定した運営 dbFLEXを運営するForeSoft社は財務的に安定 融資に頼らない完全無借金経営 運用停止の予定なし お客様への継続的なサービス提供をコミット データエクスポート 大切なデータをローカルに保存できるエクスポートツール提供 お客様のデータポータビリティを保証 知的財産権 お客様の権利 データベース構造およびワークフロー構成はお客様の知的財産 PROdbはお客様の知的財産を保護 他のお客様との共有は一切行いません 本文書の変更 当社は、本文書を随時変更する権利を留保しています。当社は、本ウェブサイトのニュースの項目で変更を発表します。 イソリアへのお問い合わせ 以下のお問い合わせ先をご覧ください。 関連情報 PROdb クラウド データベース PROdb サポート PROdb 利用規約 特定商取引法に基づく表記