2022年11月29日制定・施行
■データ保管場所
お客様からお預かりしたデータは、AWS の東京リージョンに保管されます。
■お客様の情報セキュリティの役割
アカウント登録・変更・削除等は、提供する機能を用いてお客さまに実施していただきます。
■契約解除によるデータの削除
ご契約解除後、解除日の翌月末までに削除いたします。
ストレスチェックのデータに関してはストレスチェック実施者サービスの契約に則り別途削除致します。ログに関して削除は行われません。
■ラベル付の支援
ユーザーごとにアクセスできる範囲を、お客様にて権限付与を行うことにより決定可能です。
(操作手順はマニュアル本文に記載)
■利用者登録及び登録削除
(マニュアル本文に記載)
■利用者アクセスの提供
(マニュアル本文に記載)
■高権限アカウント
一般利用者よりも強度がある認証を採用しております。厳重な情報管理をお願いいたします。
■利用者との責任分界点
<株式会社ドクタートラストの責任>
株式会社ドクタートラストは、以下のセキュリティ対策を実施します。
・ Ailes+アプリケーションのセキュリティ対策
・ Ailes+アプリケーションに保管されたお客様データの保護
・ Ailes+アプリケーションの提供に利用するミドルウェア、OS、その他インフラのセキュリティ対策
<お客様の責任>
お客様は以下のデータ管理を行う必要があります。
・Ailes⁺とSCサービスでは社員番号でデータを紐付けているため、登録される社員番号はAiles⁺とSCサービスで同一になるようにしてください。社員番号はお客様の責任で管理をしてください。
・健康診断データの取り込みについて、統一基準にて判定が可能になるように、取り込みデータの準備・加工をしてください。
・従業員を除く権限(産業医・衛生管理者・SC実施者/実施事務従事者・人事管理者)に対して、IPフィルタリングの設定が可能な機能を提供しています。この機能は特定のIP以外で操作を行うことによる情報漏洩を目的としています。この機能を利用しないことに起因する漏洩や、利用したことによるトラブルについてはお客様側の責任となります。
■利用者の秘密認証情報の管理
(マニュアル本文に記載)
■ストレスチェックサービスとの連携について
Ailes⁺は株式会社ドクタートラストが提供するストレスチェックサービス(以下、SCサービス)とデータ連携を行います。
SCサービスをご契約されているお客様の場合、会社ごとに振られているユニークなIDと社員番号でSCサービスからストレスチェックに関するデータを取得し、Ailes⁺上でデータの表示を行います。なお、Ailes⁺ではSCサービスのデータの保管は致しません。
■サービスの変更について
当社は、サービスの変更に際し、当社規定に基づき、お客様に重大な影響を及ぼす可能性がある場合においては、お客さま管理者への電子メールもしくは当社ホームページなど適切な方法により速やかに通知いたします。
■実務管理者の運用セキュリティ
(マニュアル本文に記載)
■情報のバックアップ
データベースに保管される、お客様の各種情報は、日次でバックアップを取得しています。
バックアップは、9 世代分のスナップショットが AWS 上に保管されます。
バックアップは作業開始から1時間程度で復元を目指します。
但し、お客様からのバックアップデータの復元等に関する要望は、承っておりません。
■個人情報データのサーバー分離について
データの漏洩やハッキング等の対策の一環として、Ailes+に取り込まれたお客様のデータのうち、氏名は別のサーバーにて暗号化を行った上で保管を行います。
■ログの取得
システムを通じた DB とのやりとりや画面のアプリケーションログ、およびアクセスログを 12 か月間記録しております。お客様からの要望により、提示致します。ただし、人事担当者など法人からの要請に限ります。
■クロック
記録される時刻は、すべて日本時間(JST)に基づいて記録します。
各サーバは AWS が提供する NTP サーバーを参照して同期しています。
■脆弱性について
当社は、定期的に提供するクラウドサービスについて、脆弱性を発見した場合は、お客さま管理者への電子メールもしくは当社ホームページなど適切な方法により速やかに通知いたします。
■セキュリティについて
Ailes+システムの開発には、主に Ruby On Rails が用いられています。
開発は Rails セキュリティガイドおよび、社内で定められたコーディング規約に従って実施されます。
(Rails セキュリティガイド:https://railsguides.jp/security.html)
■装置のセキュリティを保った処分又は再利用
AWSにて利用している下記を削除致します。
・9世代前までのスナップショット
・RDSの該当インスタンス
■暗号化の状況
データベースは Amazon KMS にて暗号化され、適切なアクセス権のもとで AWS のストレージに保管されます。
お客様の個人名と、健康情報や属性情報等は別のデータベースに保存されます。
お客様の個人名は AES_256 形式で暗号化され、適切なアクセス権のもとでデータベースに保管されます。
お客様の端末と、システムとの間のインターネット通信は、SSL/TLS 通信によって暗号化されます。
■開発の方針
Ailes+ システムの開発には、主に Ruby On Rails が用いられています。
開発は Rails セキュリティガイドおよび、社内で定められたコーディング規約に従って実施されます。
(Rails セキュリティガイド:https://railsguides.jp/security.html)
■ICT サプライチェーン
「Ailes+」では、次に示す機能を運用するために、外部のクラウドサービスを利用しています。
■インシデント
・お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止等)が発生した場合は、インシデントが発生してから72時間以内を目標に、当社ホームページなど適切な方法により速やかに通知いたします。
・ご連絡の対象はインシデント事象が発生している企業全てに通知致します。
・通知内容は事象をお伝えします。また、判明していれば原因および応急対応についてもお伝えいたします。
・上記連絡の後、応急対応が24時間以内に完了しない可能性がある場合は、対応の進捗状況を当社ホームページなど適切な方法により速やかに通知いたします。
・情報セキュリティインシデントに関する問合せは、本サービス仕様書記載の「お客さまサポート窓口」にて受け付けています。
■証拠の開示
当社は、裁判所からの開示請求など、法律に基づいた正当な開示請求が行われた場合、お客さまの同意なく、利用者のデータを第三者に開示することがあります。
■適合法令
適用される準拠法は日本法です。
■知的財産の保護
-(前述)
■記録の保護
クラウドサービスカスタマの契約情報の保護や廃棄については、重要な記録の区分をするとともに、管理基準を定め、適切に管理しております。
■独立した監査
定期的な内部監査、経営者による審査、リスク評価を実施しております。
また、次の認証の取組みを行い、外部機関による監査を受けるなど、安全なセキュリティを維持しております。
・ISO/IEC 27001 ISMS 認証(2022 年 5月現在:予定)
・ISO/IEC27017 ISMS クラウドセキュリティ認証(2022 年 5 月現在:予定)
・プライバシーマークの認証
お客さまサポート窓口
当システムに関するお問合せ窓口は次のとおりです。
・ 電子メール system@doctor-trust.co.jp
・ 電話 03-3464-4000(土日祝祭日除き 9:30~17:00)
附則
2022年11月29日 制定・施行