FAQ
検索 K

テーマ切替

情報セキュリティ基本方針

TEKKAN(以下「運営者」と言います)では、部活動やサークル活動を支援することができるツールの提供を通じて、かけがえのない思い出となる皆様の部活動やサークル活動を支援しております。様々な過程において、皆様から情報をお預かりすることとなり、これらの情報資産の重要性や価値について、運営者も認識しております。

皆様に、便利で安心いただけるサービスを提供するためには、運営者として情報資産の適切な取扱や保全に取り組むことが重要な責務の一つであると考えており、この取り組みを確実なものとするために「情報セキュリティ基本方針」を策定し、推進して参ります。

運営者は、情報セキュリティ基本方針(以下「本指針」といいます。)を決して形骸化させることがないように務め、皆様の期待を裏切ることがないよう精進して参ります。

適用範囲

本指針は、運営者が提供するTEKKANブランドの全てのサービス(モバイルアプリケーション、Webアプリケーション、その他関連サービスを含みます)に適用されます。

運営体制

TEKKANは個人により運営されております。運営者は情報セキュリティの確保に最大限努めますが、個人運営という性質上、24時間365日の即時対応が困難な場合があることをご理解ください。

情報セキュリティについて

本指針における「情報セキュリティ」とは、完全性や可用性・機密性を確保し維持することをいいます。

情報資産の保護と目標

保有する情報資産について、適切な保護対策を講じることは運営者の使命であります。

具体的には、以下の目標を定め、情報資産の保護に努めます。

  • 情報資産の機密性を担保し、許可された者だけが情報にアクセスできるようにする。
  • 情報資産の完全性を担保し、情報が不正に改ざんされないよう保護する。
  • 情報資産の可用性を担保し、必要なときに必要な情報が適切に利用できるようにする。
  • 情報資産の真正性を確保し、情報の出所やその正確性が保証されるようにする。
  • 情報資産の信頼性を維持し、情報が一貫性を持ち、依存できるものであることを保証する。
  • 情報資産の責任追跡性を担保し、誰がどのように情報にアクセスし、処理を行ったかを追跡できるようにする。
  • 情報資産の否認防止を確保し、情報の送信者や受信者がその行為を後から否認できないようにする。

また、情報セキュリティを損なう事件や事故が発生した際には、迅速かつ適切に対応し、被害の拡大防止に努めるとともに、再発防止策を講じます。
さらに、関係各所への適切な報告を迅速に実施します。

技術的対策

運営者は、情報資産の保護のために以下の技術的対策を実施します。

データの暗号化

通信時の暗号化(TLS/SSL)を実施し、保管時には認証情報等の機密性の高い情報について適切な暗号化またはハッシュ化を行います。

バックアップ

定期的なデータバックアップを実施し、複数の保管場所にて管理します。具体的な頻度や保管場所等の詳細は、セキュリティ上の理由により非公開とします。

脆弱性管理

使用しているライブラリやフレームワークの脆弱性情報を継続的に収集し、必要に応じて速やかに対応します。

アクセス制御

サーバーやデータベースへのアクセスを適切に管理し、管理者アカウントのパスワード管理を徹底します。

監視体制

システムの異常検知やログ監視を実施します。ただし、個人運営という性質上、監視は24時間365日行いますが、対応については運営者の稼働時間内でのベストエフォートとなります。

インフラストラクチャの管理

運営者は、ファシリティについて、十分に対策が取られているクラウドサービスプロバイダーを選定し、その基盤上にサービスを提供しております。
実際に施工されている物理的なセキュリティ対策(防火・防災、停電対策、耐震設備等)については、利用するクラウドサービスプロバイダーが実施する対策に依存します。

また、データセンターの所在地は日本国内とし、データ主権の観点から適切な管理を行います。

運営者の情報セキュリティへの理解

運営者は、情報セキュリティへの理解に務め情報資産の保護をより強固なものにするべく、情報処理安全確保支援士試験に取り組み、試験に合格しております。(情報処理安全確保支援士としての登録は実施しておりません)

情報資産を取り扱うパートナーの教育

情報資産を本サービスを運営するためパートナーが取り扱う際は、以下の事項の教育や指導を実施します。

  • 情報セキュリティについての教育を実施します。
  • 本指針の意義や内容、ならびに「TEKKANプライバシーポリシー」についての教育を実施します。
  • ITリテラシー向上のための教育を実施します。

法令および契約の遵守

運営者は、日本国にて定められている法令や規制を遵守いたします。

また、契約を交わす際は日本国の法令や規制に則った上で、その内容を遵守いたします。

環境変化に伴う対応

運営者は、社会情勢やサービス領域などの変化に伴う環境変化が生じた場合には、その変化に柔軟に対応し、情報セキュリティ管理のルールや仕組みを見直します。また、継続的な改善に努めます。

本指針およびセキュリティ対策の見直しは、法令の改正、業務領域の変更、重大なセキュリティインシデントの発生等を契機として実施します。

事件・事故発生時の対応

運営者は、情報セキュリティを損なう事件や事故(法令違反や契約違反を含みます)が発生した際には、迅速かつ適切に対応いたします。具体的には、以下の方針を遵守します。

  • 情報資産の保護を最優先とし、被害の拡大を防ぐために即座に対応策を講じます。
  • 事件や事故の原因を迅速に特定し、再発防止策を策定・実施します。
  • お客様やお取引先などの関係各所へ、迅速かつ適切な報告を行い、透明性を確保します。ユーザーへの通知は、主にプッシュ通知またはホームページを通じて実施します。
  • ランサムウェア攻撃や不正アクセスなどによる不当な要求や過大な要求に対しては、法令に基づき断固とした姿勢で臨み、金銭的な要求には一切応じません。
  • 必要に応じて、専門機関や法執行機関・個人情報保護委員会への報告や連携を行い、問題解決に努めます。

なお、個人運営という性質上、インシデント対応は運営者のベストエフォートでの対応となります。重大なインシデントについては、外部の専門家や関係機関と連携し、適切な対処を行います。

災害・障害時の事業継続

運営者は、サーバー障害やデータセンター障害等が発生した場合に備え、定期的なバックアップの取得と複数箇所での保管を実施しています。

ただし、個人運営という性質上、サービスの復旧目標時間(RTO)は定めておらず、障害発生時の復旧対応はベストエフォートでの対応となります。運営者は可能な限り速やかな復旧に努めますが、即時の対応や復旧を保証するものではありません。

改訂履歴

日付内容
2024年8月12日制定・発行
2026年1月31日定期見直しの実施(適用範囲、運営体制、技術的対策、インフラ管理、定期見直し方針、災害対応等を追記)

最終更新:

Released under the MIT License.

Copyright © 2019-present Evan You