セキュリティ

当社が業務委託契約・SaaS 運用で取得・取扱う顧客データおよび個人情報は、原則として 日本国内のデータセンターに保管します。本サイトおよび AI 秘書システムのホスティングは Tencent Cloud International の東京リージョンを利用しており、越境移転は行いません。

顧客固有のシステム開発時には、原則として顧客指定のクラウド (AWS / GCP / Azure / オンプレ等) にデプロイし、データの所在地・暗号化方式・バックアップ方針を契約時に合意のうえで運用します。

• 個人情報の保護に関する法律 (個情法) およびガイドライン
• 医療系案件: 医療情報システムの安全管理に関するガイドライン (3省2ガイドライン)を踏まえた設計・運用 (該当案件のみ)
• 金融系案件: FISC 安全対策基準 / 金融分野ガイドラインを踏まえた設計 (該当案件のみ)
• EU 居住者データ取扱時: GDPR 要件 (DPA・SCC・サブプロセッサ管理) への対応準備
• 適格請求書発行事業者 (T0100030449670) として電子帳簿保存法を遵守

現時点で第三者認証 (Pマーク / ISMS / SOC 2 等) は未取得です。エンタープライズ・公共調達ニーズの拡大に合わせて、以下のロードマップを準備中です。

• プライバシーマーク (Pマーク): 内部体制整備・個人情報保護管理者の選任・規程類整備のうえ、申請を検討中
• ISMS (ISO/IEC 27001): Pマーク取得後の次段階として検討
• ガバメントクラウド対応: 公共案件受注時は Tencent Cloud から AWS / Azure / GCP / さくら / Oracle のいずれか (ガバメントクラウド認定環境) への移行を選択肢として提示

※ 認証取得時期は案件需要・取得コストとのバランスで判断します。具体的な要件・期日がある場合は契約時にご相談ください。

• すべての通信経路を HTTPS / TLS 1.2 以上 で暗号化
• 本番環境への接続は SSH 鍵認証・固定 IP 経由に制限
• API キー・パスワード等の機微情報は環境変数管理。git リポジトリへの誤登録防止のため .gitignore 徹底 + 定期的な gitleaks スキャン
• サーバー側のアクセスログを定期確認、不審なアクセスは即時遮断
• OS / ライブラリの脆弱性 (CVE) は定期確認・適用
• 最小権限原則: アクセス権は職務遂行に必要な範囲に限定

セキュリティインシデント (情報漏えい・不正アクセス・サービス停止 等) を検知した場合の対応フロー:

1. 検知 (T+0): ログ監視・Discord 通知・利用者報告等から検知
2. 一次対応 (T+1h 以内): 影響範囲の特定・拡大防止 (アクセス遮断・キー失効等)
3. 通報 (T+24h 以内): 該当顧客・関係当局 (個情法に基づく報告対象の場合) への通報
4. 復旧 (個別判断): 根本原因の特定・恒久対策の実装・サービス再開
5. 事後報告 (T+7d 以内): 顧客向けインシデントレポート提出・再発防止策の文書化

※ SLA は契約ごとに個別に定めます。上記は当社内部標準の目安です。

当社サイト・サービスに脆弱性を発見された場合は、責任ある開示 (Responsible Disclosure) にご協力ください。報告窓口は以下です。

• 連絡先メール: security@sterriar.com
• security.txt (RFC 9116 形式) に最新の連絡先・ポリシーを掲載

報告内容は当社内部で適切に対処し、報告者の同意なしに公表することはありません。Bug Bounty は現時点では実施していませんが、報告者には謝意をお伝えします。