メインコンテンツへスキップ
SmoothQ

情報セキュリティ方針

最終更新日: 2026年4月1日

第1条(情報セキュリティガバナンス)

JPSM Group(以下「当社」といいます。)は、SmoothQ(以下「本サービス」といいます。)の運営において、情報セキュリティを経営上の最重要課題として位置づけ、組織全体で情報資産の保護に取り組んでおります。当社は、情報セキュリティに関する責任者を設置し、本方針に基づくセキュリティ管理体制を構築・維持・改善しております。

第2条(適用範囲)

本方針は、本サービスの運営に関連する一切の情報資産(ハードウェア、ソフトウェア、ネットワーク、データ、文書等)およびこれらに関与するすべての役員、従業員、業務委託先に適用されます。

第3条(法令等の遵守)

当社は、情報セキュリティに関連する法令、規制、契約上の義務を遵守いたします。具体的には、個人情報保護法、不正アクセス行為の禁止等に関する法律、電気通信事業法、内閣サイバーセキュリティセンター(NISC)の定めるガイドライン、独立行政法人情報処理推進機構(IPA)のセキュリティガイドラインを参照し、適切なセキュリティ対策を実施しております。

第4条(通信の暗号化)

本サービスにおけるすべてのHTTP通信は、TLS 1.3を標準とし、互換性が必要な場合にはTLS 1.2を最低基準として暗号化保護しております。HSTS(HTTP Strict Transport Security)ヘッダーを設定し、すべてのアクセスをHTTPSに強制しております。証明書の有効期限および鍵長は定期的に検証しております。

第5条(保存データの暗号化)

利用者の個人情報、認証情報その他の機密性の高いデータは、AES-256等の業界標準の暗号化アルゴリズムを用いて保存時にも暗号化保護しております。暗号化鍵は、データとは分離して管理し、定期的なローテーションを実施しております。

第6条(認証・アクセス制御)

本サービスの管理機能へのアクセスには、JWT(JSON Web Token)ベースの認証を採用し、最小権限の原則に基づくアクセス制御を実施しております。管理者アカウントについては、強力なパスワードポリシーの適用、セッションの有効期限設定、不審なアクセスの自動検知を行っております。

第7条(ネットワーク防御)

本サービスのネットワークインフラストラクチャは、以下の多層防御策を講じております。 (1)ファイアウォールによる不正アクセスの遮断 (2)レート制限による分散型サービス拒否(DDoS)攻撃の緩和 (3)IPアドレスベースのアクセス制御リスト(ACL) (4)侵入検知システム(IDS)による異常通信の検出 (5)WAF(Web Application Firewall)によるアプリケーション層の保護

第8条(セキュア開発)

本サービスの開発においては、セキュリティ・バイ・デザインの原則を採用し、設計段階からセキュリティを考慮した開発を行っております。入力値の検証・サニタイゼーション、CSRF対策、SQL/NoSQLインジェクション対策、XSS(クロスサイトスクリプティング)対策、Content Security Policyの設定等、OWASP Top 10に掲げられる脆弱性への対策を実装しております。

第9条(脆弱性管理)

当社は、本サービスで使用するソフトウェア、ライブラリ、フレームワークの脆弱性情報を継続的に監視し、重大な脆弱性が発見された場合には速やかにパッチの適用またはバージョンアップを実施いたします。定期的な脆弱性診断およびセキュリティ評価を実施し、新たなリスクの早期発見に努めております。

第10条(ログ記録・監視)

本サービスでは、セキュリティインシデントの検知、原因究明および影響範囲の特定のため、以下のログを記録・保存しております。 (1)アクセスログ(IPアドレス、アクセス日時、リクエスト内容) (2)認証ログ(ログイン試行、認証成功・失敗) (3)管理操作ログ([Audit]プレフィックスによるセキュリティイベント記録) (4)エラーログ(システムエラー、アプリケーションエラー) ログは構造化された形式で記録し、不正な改ざんを防止する措置を講じております。

第11条(バックアップ・復旧)

当社は、本サービスのデータおよびシステム構成について定期的なバックアップを実施しております。バックアップデータは暗号化のうえ、本番環境とは物理的に分離された場所に保存しております。災害その他の緊急事態に備え、事業継続計画(BCP)を策定し、復旧手順の定期的な検証を行っております。

第12条(委託先管理)

本サービスの運営に関する業務を外部事業者に委託する場合、委託先のセキュリティ管理体制を評価し、当社と同等以上のセキュリティ水準を確保させるとともに、秘密保持契約の締結、定期的な監査の実施等、適切な監督を行っております。

第13条(インシデント対応)

セキュリティインシデントが発生した場合またはその疑いがある場合には、あらかじめ策定したインシデント対応手順に従い、速やかに以下の対応を行います。 (1)インシデントの検知・初動対応(被害の拡大防止) (2)影響範囲の特定および原因の調査 (3)関係機関(個人情報保護委員会、警察等)への報告 (4)該当する利用者への通知 (5)再発防止策の策定および実施

第14条(脆弱性の報告)

本サービスにセキュリティ上の脆弱性を発見された場合は、下記の連絡先までご報告ください。当社は、報告された脆弱性について速やかに調査・対応を行い、報告者に対して対応状況をフィードバックいたします。脆弱性情報の公開については、修正が完了するまで非公開とすることにご協力をお願いいたします。

第15条(継続的改善)

当社は、情報セキュリティに関する脅威動向、技術の進歩、法令の改正等を踏まえ、本方針および関連する管理策を定期的に見直し、継続的な改善を図ってまいります。

第16条(お問い合わせ窓口)

情報セキュリティに関するお問い合わせ、脆弱性の報告は、下記の窓口までご連絡ください。

運営事業者

JPSM Group ???????: ??? ?? ???: ??? / ??? / ??? ??????: contact@smoothq.jp

SmoothQ: https://smoothq.jp/

ホーム