はじめに
ここに述べる技術的及び組織的措置は、Zensai のデータ処理に関する付則の「技術的及び組織的措置 III(データの安全性を確保するための措置を含む)」を補足するものです。
これらは、ZensaiのLearn365、Perform365、Engage365、Integrate365、Flow365 環境(総称して「サービス」)に適用され、GDPR 第 32条の要件だけでなく、ネットワーク及び情報 システムの保護に関する高度なセキュリティ基準を満たすよう設計されています。
具体的には、Zensai のプログラムは次の要件に対処しています。
- 処理システムおよびサービスの可用性、完全性、機密性、回復力の確保。
- リスク評価、インシデントの検出と管理、事業の継続性、危機対応のための対策の実施。
- 重要なシステムまたはサービスに影響を与える重大なインシデントが発生した場合の、お客様へのタイムリーかつ正確な通知の提供。
Zensai は、ISO/IEC 27001、ISO/IEC 27701、Microsoft 365 アプリ認証を含む主要な国際基準に基づき外部監査を受けた堅牢なセキュリティおよびデータ保護プログラムを維持しています。ドキュメント、レポート、および追加の保証資料は、セキュリティセンターを通じてお客様のご要望に応じてご利用いただけます。
Zensai のセキュリティ、プライバシー、およびコンプライアンスプログラムの詳細については、以下をご参照ください。
Zensai プライバシーポリシーは、Zensai Webサイトでご覧いただけます。
個人情報の匿名化・暗号化
Zensai は、データの転送、伝送、通信、および保存中に個人データを保護するため、以下の措置を実施しています。
- 転送中および保存中の暗号化:すべての通信は TLS 1.2 以上で暗号化され、すべての顧客データベースおよびストレージシステムには AES-256 暗号化が適用されます。
-
暗号化キーの管理: 暗号化キーは、Azure Key Vault を通して管理され、
- ホストオペレーティングシステムとは独立したアクセス制御によって保護されています。
- Azure のセキュリティ基準に従ってローテーション、保管、破棄されます。
- 侵害された場合は置き換えまたは廃棄されます。
- 分離と匿名化:お客様には専用のデータベースと論理的に分離されたストレージ環境が割り当てられ、不正なアクセスがあった場合の再識別リスクを低減します。
詳細については、以下をご参照ください。
システムの継続的な機密性、完全性、可用性、回復力を確保するための対策
Zensai は、ISO/IEC 27001 および ISO/IEC 27701 に準拠した包括的な情報セキュリティとプライバシー管理システムを維持しています。プログラムには以下が含まれます。
- 目的:個人データの機密性、完全性、可用性、および回復力を確保し、不正アクセス、開示、破壊、または紛失から保護するための保護措置。
- ガバナンス:セキュリティとプライバシーの監視は、専用のコンプライアンス機能を通じて Zensai 全体に組み込まれています。
- 監視:Microsoft Sentinel SIEM、異常検知、およびDefender for SQLを使用した 365日 24時間体制の継続的な監視。
- 運用の回復性:サービスは Microsoft Azure 基盤でホストされ、ペアリージョンの配備により高い可用性と災害復旧能力を確保しています。
- レビュー:セキュリティ対策とリスク評価は、少なくとも年に一度、またはサービスに重要な変更があった場合に見直されます。
詳細については、Help Center の「アプリケーションと運用のセキュリティ」セクションをご参照ください。
インシデント発生時の可用性とアクセスを回復するための対策
Zensai は、処理の継続性を確保するために、以下の措置を講じています。
- バックアップ:お客様のデータベースを暗号化して自動バックアップし、最大 35日間保存します。
- レプリケーション:バックアップは、大規模災害・障害が発生した場合にシステムの可用性を担保するため、地理的に分散された Azure のペア リージョン間で複製されます。
- 事業の継続性と災害復旧:Azureのペアリージョンの設計により、地理的な分離と冗長性が担保されます。
- 復元テスト:バックアップおよびフェイルオーバー システムが意図したとおりに復元されていることを検証するための処置を実施しています。
詳細については、以下をご参照ください。
セキュリティのテスト、評価、判定のプロセス
Zensai は、以下を含む安全な開発ライフサイクル プログラムを運用しています。
- セキュア コーディング基準:すべてのエンジニアは、毎年 OWASP トップ 10 トレーニングを受けています。
- 脆弱性管理:自動化ツールを活用した静的(SAST)および動的(DAST)アプリケーションテストの実施。
- 第三者機関によるペネトレーションテスト:少なくとも年1回、外部専門家によるペネトレーションテストの実施。
- 検証:Zensai アプリケーションは、Veracode 認証を通じて検証されます。
- 監査および認証:ISO/IEC 27001、ISO/IEC 27701、SOC 2、および CSA STAR Level 1 によって 第三者機関による保証を提供します。
ユーザーの識別と認証のための措置
Zensai は、安全な認証と承認のための技術的および組織的な制御を実装しています。
- ID 管理:認証は Microsoft Entra ID(Azure Active Directory)を介して処理されます。
- 多要素認証:権限のあるアクセスに対して多要素認証(MFA)が全面的にサポートされ、強制適用されます。
- ロールベースのアクセス制御:最小権限の原則に基づき、権限の付与されたロールがプロビジョニングされます。
- 同意管理:管理者は、委任されたアクセス許可に対してテナント全体の同意を付与できます。
詳細については、Help Center の「アクセス許可と認証」セクションをご参照ください。
送信中のデータの保護のための措置
Zensai は、移動中のデータの暗号化を強制します。
- TLS 1.2 以降がすべての通信に適用されます。
- セッション Cookie には HttpOnly と Secure のフラグが付けられます。
- ドメインは、暗号化された接続を強制するために、グローバル HSTS プリロード リストに含まれます。
詳細については、「データ セキュリティと暗号化」をご参照ください。
保存中のデータの保護のための措置
Zensai は以下のことを保証します。
- 各顧客には専用の Azure SQL データベースがあります。
- ファイルとメタデータの保存には AES-256 暗号化が使用されます。
- 論理的な分離により、個人データの厳密な分離が保証されます。
詳細については、「個人データとデータの保存」をご参照ください。
処理場所の物理的なセキュリティを確保するための措置
Zensai は以下のことを保証します。
- ホスティングインフラストラクチャ:Zensai は物理的なデータセンターを運営していません。すべてのホスティングは Microsoft Azure 上にあり、物理的および環境的制御は Microsoft によって管理されます。
- Azure の物理的セキュリティ:バッジによるアクセス制御、CCTV監視、警備員の配置、およびメディアの安全な破棄が含まれています。
- コーポレート オフィス:Zensai の施設は、バッジによるアクセス管理と来訪者の登録により厳重に保護されています。
詳細については、「データセンターの場所と物理的セキュリティ」をご参照ください。
イベントログの確保、構成の監視、変更管理のための措置
Zensai は以下のことを保証します。
- 一元化されたログ記録:認証、インフラストラクチャ、およびアプリケーションイベントが記録されます。
- SIEM 監視:ログは Azure Sentinel SIEM にフィードされ、異常が検知されるとアラートが発生します。
- 改ざん防止:ログは安全に保持され、不正な改変から保護されます。
- 変更の管理:展開前に正式な変更管理手順に従います。
- 職務の分離:不正や誤りのリスクを低減するため、役割を分離しています。
- 環境の分離:本番環境と非本番環境は厳密に隔離され、テスト環境では個人データを使用しません。
詳細については、以下をご参照ください。
社内の IT ガバナンスとインシデント対応のための措置
Zensai は以下のことをお約束します。
- インシデント対応ポリシー:Zensai は、ドキュメント化されたインシデント対応ワークフローを保持しており、役割やエスカレーションの基準を明確に定めています。
- セキュリティ インシデント対応チーム:専任スタッフがインシデントに対応し、復旧にあたります。
- 違反や侵害の通知:DPA 付則 III に準拠して、お客様には遅滞なく、かつ検知後 48時間以内に通知いたします。
詳細については、「データ侵害の検知と通知」をご参照ください。
認証・保証の措置
Zensai は、第三者機関の認証プログラムを保持しそれを公表しています。
- ISO/IEC 27001(ISMS)
- ISO/IEC 27701(PIMS)
- Microsoft 365 アプリ 認定
- CSA STAR レベル 1
- Veracode Verified 印章
- Tx Ramp 認証
詳細については、Help Center の「アプリケーションと運用のセキュリティ」セクションをご参照ください。
データの最小化、品質の確保、保存期間の制限に関する措置
Zensai は、処理される個人データの量を最小限に抑え、データの品質を確保し、不要になったデータを安全に削除するために、以下の措置を講じています。
-
データの最小化:
- お客様には専用の Azure SQL データベースが割り当てられ、データは厳密に分離されています。
- Learn365、Perform365、Engage365 の生成 AI 機能は、個人データがモデルの学習に利用されないよう設計されており、利用目的が明確に限定されています。
- Microsoft 365 および Azure のデータ損失防止コントロール(DLP)は、データの不正な転送や偶発的な漏洩を防ぎます。
-
データ品質:
- Zensai は、セキュア 開発ライフサイクル(SDLC)の一環として、セキュアコーディング基準と品質保証プラクティスを徹底しています。
- コードは、ピアレビュー、静的および動的テスト、および定期的な脆弱性スキャンの対象となります。
- 定期的な更新サイクルやホットフィックスにより、新たに発見された問題に対処し、データ処理の完全性と正確性を維持します。
-
データの保持と消去:
- 個人データはサブスクリプション期間中のみ保持され、ご契約終了後 90 日間で削除されます。
- 暗号化されたバックアップは、法的/規制上のコンプライアンス要件を満たすために必要な場合に限り保持されます。
- メディアの消去は、Azure が認定した破壊手順により行われます。これは、NIST 800-88 規格に準拠しています。
- ご要望に応じて、削除確認書を発行いたします。
詳細については、以下をご参照ください。
説明責任の確保に向けた措置
Zensai は、中核となるデータガバナンスの枠組みと定期的な独立監査を通じて説明責任を果たしてまいります。
- 監査:年に一度の第三者機関による監査( ISO、Microsoft 365 アプリ認証)。
- 教育研修:当社従業員には、毎年、プライバシーとセキュリティに関する研修の受講を義務付けています。
- 透明性:Zensai Trust Center の公開リソースを通じて確保されており、ポリシー、管理体制、認証に関する最新情報をお客様に提供しています。
データポータビリティと消去のための措置
Zensai は、データをエクスポートするため、以下のツールをご用意しています。
- データ エクスポート:お客様は、Learn365 OData API を介してデータをエクスポートできます。
- 消去:ご契約終了時には、個人データは安全に削除され、ご要望に応じて証明書を発行いたします。
- 法的根拠:GDPR 第17条、および DPA 付則 III.4 に準拠した手続き。
詳細については、「データの消去とメディアサニタイジング」をご参照ください。