セキュリティポリシー
本文書では、株式会社コパイロツトおよびユニバ株式会社(以下、両者を合わせて「当社」と呼ぶ)による、SuperGoodMeetingsの運営に関わる情報セキュリティ上の取り組みを記述する。
基本方針
- 当社は、組織的かつ継続的な情報セキュリティの改善・向上に努める
- 当社のメンバー、とりわけSuperGoodMeetingsの開発・運営関係者は、継続的な情報セキュリティの改善・向上のために必要な知識と技術を絶えず学習する
- 当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、ユーザの期待に応える
- 当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努める
- 当社は、本文書策定後も、継続的に、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措の拡充に努める
組織体制
- 情報セキュリティ責任者の任命
- 情報セキュリティ責任者としてユニバ株式会社の村山遼を任命する
- 情報セキュリティ責任者は、本文書の内容および本文書に基づく具体的な情報セキュリティ対策の実施に関わる権限と責任を有する
- 適用範囲
- 本文書の適用者は、経営陣、従業員を含めた、当社の情報資産を利用するすべての者である。
- 外部委託
- 本文書の適用範囲内で行う業務を外部の第三者に委託する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時 の責任に関しても明確にしなければならない。
- 秘密保持契約の締結
- 当社では、従業員及び外部委託先との間で秘密保持契約の締結を行い、組織的に情報セキュリティに対する体制を整えている。なお、株式会社コパイロツトとユニバ株式会社間でも秘密保持契約を締結している。
当社が扱う情報資産の範囲と管理方法
SuperGoodMeetingsにおいて、特に情報資産は下記の3つに大別される。
- ユーザー情報
- ユーザーの氏名やメールアドレスといった個人情報、決済システム連携用の識別子など、特定の個人に紐付く情報をユーザー情報と呼ぶ。ユーザー情報については、当社の定める利用規約及びプライバシーポリシーの定めに基づき、サービスの安定した運営や継続的な品質向上のために必要な限りにおいてアクセスする可能性がある。
- プロジェクト情報
- SuperGoodMeetingの主要機能であるプロジェクトやミーティングの入力機能を通して、ユーザの利益に関わる情報が格納される可能性がある。これらをプロジェクト情報と呼ぶ。プロジェクト情報は、当社の定める利用規約及びプライバシーポリシーに定める場合を除いて、当社は閲覧又は利用しない。また閲覧権限を付与する担当者の範囲も最小化する。
- システム情報
- 決済サービス連携用のアクセスキーや、AWS のアクセスキー、データベースの接続情報等をシステム情報と呼ぶ。システム情報はアプリケーションのソースコードから分離してHerokuの環境設定上に格納し、必要最小限の開発メンバーのみに閲覧・変更権限を限定する。
- 当社が保存しない情報
- 以下の情報は当社が管理するサーバには保存しない。
- クレジットカード番号
- 有料プランの契約時にhttps://sgms.app上から入力するクレジットカード番号は、当社が管理するサーバを経由せず直接決済サービスに送信される。クレジットカード番号は決済サービスの管理画面にログインすることで確認可能だが、下四桁を除いてマスクされているため、当社がクレジットカード番号を完全な形で知ることは不可能である。
- 平文のユーザパスワード
- メールアドレスによるユーザー登録時に入力したユーザーパスワードは必ずハッシュ化してデータベースに保存する。
- 平文のプロジェクトパスワード
- プロジェクト情報を外部公開する際に設定可能なパスワードは必ずハッシュ化してデータベースに保存する。
違反時の対応
- 本文書違反又は当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかかつ適切に対応しなければならない。
- 当社は、本文書の違反者に対し、適切かつ厳格な措置をとることとする。
2023年10月25日 制定
