当社は、お客様・利用者・取引先・当社従業員等に関する情報資産を保護し、事業継続性と信頼性を確保します。本方針は、当社が管理・運用する全ての情報資産（クラウド環境、端末、ネットワーク、アプリケーション、ログ、バックアップ）および業務委託先（サブプロセッサーを含む）に適用します。

• 情報セキュリティ責任者（CISO相当）：体制整備、リスク評価、教育、監査、インシデント統括
• 管理者：アクセス権限、構成/資産管理、監査ログ、バックアップ、脆弱性対応
• 従業者：方針・手順の遵守、機密保持、兆候の速やかな報告

• データ分類（公開／内部／機微）と取扱い手順の定義
• 収集最小化、目的限定、保存期間の管理
• 退会/契約終了時は原則30日以内に削除、バックアップは最長90日で消去
• 個人データは プライバシーポリシー に従い適切に処理

• 定期バックアップ（目安：1日1回）と計画的な復元テスト
• RTO/RPOの目標設定、単一障害点の排除
• 計画停止は原則 0:00–3:00（JST）で年4回目安。可能なら14日前告知

運用ログ・監査ログは収集範囲・保持期間・閲覧権限を定義し、定期的に見直します。重大イベントは検知・通知ルールを設定し、エビデンスとして保全します。

• NDA、DPA、SCC 等の適切な契約とセキュリティ水準の確認
• 所在・役割・処理範囲の明確化と定期見直し
• 現行の一覧は サブプロセッサー一覧 を参照

脆弱性情報はトリアージ基準に従って優先度を付与し、是正期限を設定します。重大度に応じて回避策の展開、影響範囲の通知、恒久対策の実装を行います。

• 受付窓口：社内既定の連絡経路。お客様は /contact/ から連絡
• 初動目標：重大度に応じ 24時間以内に一次対応・封じ込め開始
• 報告目標：関係各所へ 72時間以内を目安に暫定報告。以降、原因分析・再発防止策を提示
• 個人データ漏えい等は法令・指針に従い適切に通知

• 個人情報保護法（APPI）、GDPR/UK GDPR、CCPA/CPRA 等の適用法令
• OWASP ガイドライン、経産省AIガイドラインの趣旨に整合
• Google ビジネス プロフィールの投稿・レビューガイドライン準拠（レビューゲーティング禁止の運用）

• 例外：やむを得ない例外はリスク評価と代替措置を記録し、情報セキュリティ責任者の承認を要します。
• 継続的改善：監査・レビュー・インシデントの教訓を踏まえ改善（少なくとも年1回の見直し）。
• 所管：情報セキュリティ責任者（CISO相当）。最新の本ページが常に有効です。

関連：プライバシーポリシー ／ サブプロセッサー一覧