目次
第 1 章.本サービスについて
1-1.本サービスの特徴
1-2.サービスの管理
1-2-1.サービスの運用
1-2-2.サービスの運用状況報告
1-3.サービスの可用性
1-3-1.サービスレベル項目
1-3-2.サービスの稼働率
1-4.サービスの信頼性
1-4-1.サービスレベル項目
1-5.サービスの拡張性
1-5-1.サービスレベル項目
第 2 章.セキュリティ対策
2-1.組織図
2-1-1.運用管理組織体制
2-2.セキュリティに対する取り組み
2-2-1.特権アカウントの管理
2-2-2.データセンター利用の管理
2-2-3.開発環境の管理
2-2-4.インシデント管理
2-2-5.内部監査
第 3 章.データの管理
3-1.個人情報・特定個人情報のお取り扱いについて
3-2.お客様データの保管
3-2-1.個人番号関連データの保管に関して
3-2-2.個人番号関連データの保管に関する責任範囲
3-3.お客様データのバックアップ
3-3-1.お客様データのバックアップの仕様に関して
3-4.お客様データのリカバリ
3-5.お客様データの破棄
第 4 章.お客様動作環境
第 5 章.データセンター設備
第 6 章.サポート体制
第 7 章.適用法令
第 1 章.本サービスについて
本サービスは、弊社がお客様の取り扱うスタッフエクスプレス、ガードエクスプレス(以下、「エクスプレスシリーズ」という)で利用するシステムデータの保管をクラウドサービスとして提供するものです。
ユーザーのクラウドサービス選定および利用時のセキュリティ対策実装のための補助的な情報として実施されているセキュリティ対策について紹介します。
なお、変更内容については、変更履歴に記載しています。
用語説明
用語 | 説明 |
VPN | Virtual Private Network 仮想的な組織ネットワーク |
IPS | Intrusion Prevention System 侵入防止システム |
WAF | Web Application Firewall Web アプリケーションファイアウォール 外部からの攻撃・侵入を検知・防止するシステム |
1-1.本サービスの特徴
以下のような特徴があります。
-ネットワークを経由したアクセス
-マルチテナントでの情報の共有
1-2.サービスの管理
1-2-1.サービスの運用
本サービスを運用するにあたり、以下の取組をおこなっています。
・情報保管サーバ群への定期的な保守メンテナンス(システムアップデート、運用状況報告の内容)
・弊社契約データセンター事業者との定期的なミーティング
1-2-2.サービスの運用状況報告
エクスプレスシリーズを通じて、サービス利用ユーザー様へ運用状況報告を運用レポートにて定期的に発信します。
運用レポート
報告内容については、定期的な見直しを行っております。
カテゴリ | 報告内容 | 報告頻度 | 報告組織 | 報告方法 |
環境保守 | ・バックアップ ・死活監視 ・ハードウェアの健全性 ・ウイルス監視 ・不正アクセス監視 ・負荷分散の監視 - パフォーマンス低下 - ネットワーク帯域 |
1回/週 | 環境保守チーム | 運用レポート |
内部監査 | ・監査者による環境保守チーム、運用保守チームへの内部監査 | 1回/日 | 監査者 | 運用レポート |
障害対応訓練 | ・障害が発生したことを想定したシミュレーション | 1回/年 | 障害対応チーム | 運用レポート |
コミュニケーシ ョン |
・データセンターとの定期的なコミュニケーション ・交換機器の確認 |
2回/年 |
運用管理組織 |
運用レポート |
メンテナンス情報 | ・管理サーバ全体のメンテナンス予定日、停止時間 ・クロック同期(1回/週、日本標準時との確認を実施) ・セキュリティ更新プログラムの適用 |
1回/月 | 運用責任者 | 最新のご案内 |
・ユーザー様個別のメンテナンス予定日、停止時間 | 実施2週間前 (緊急を除く) |
|||
障害状況 | ・データセンターへの接続障害情報 ・障害復旧情報 |
障害発生から5分 | 障害対応チーム | 当社ウェブページ |
セキュリティホワイトペーパー | ・変更内容 ・障害復旧情報 |
6回/年 | 運用責任者 | 当社ウェブページ |
サポート終了 | 旧バージョンのサポートが終了となる場合は、バージョンアップのご案内を行っております。 | 12カ月以上前 | 運用管理組織 | 最新のご案内 |
1-3.サービスの可用性
1-3-1.サービスレベル項目
本サービスは、可用性を担保するために、経済産業省が提示している、下記のガイドラインのサービスレベル項目を満たしております。
SaaS 向け SLA におけるサービスレベル項目のモデルケース
(https://www.meti.go.jp/policy/netsecurity/secdoc/contents/downloadfils/080121saasgl.pdf)
サービスレベル項目 | 規定内容 | 本サービス |
サービス時間 | サービスを提供する時間帯 (設備やネットワーク等の点検/保守のため の計画停止時間の記述を含む) |
24時間365日 (計画停止/定期保守を除く) |
計画停止予定通知 | 定期的な保守停止に関する事前連絡確認 (事前通知のタイミング/方法の記述を含む) |
2週間前にメール/本サービスにて通知 (緊急の場合は除く) |
サービス稼働率 | サービスを利用できる確率 (計画サービス時間-停止時間)÷計画サービス時間 |
過去のサービス稼働率については、 1-3-2を参照 (計画サービス時間に計画停止/定期保 守時間は含めない) |
ディザスタリカバリ | 災害発生時のシステム復旧/サポート体制 | データセンターで保管している日次バックアップデータにて復元 (バックアップデータの詳細は3-3を参照) |
重大障害の代替手段 | 早期復旧が不可能な場合の代替措置 | 保持している代替用サーバへ入れ替え を実施 |
代替措置で提供するデータ形式 | 代替措置で提供されるデータ形式の定義を記述 | 代替用サーバへ入れ替えを実施して も、アクセス方法が変わらないように対応 |
アップグレード方針 | バージョンアップ/変更管理/バッチ管理の 方針 |
月に1度、セキュリティ更新プログラムの適用を実施しております。 |
1-3-2.サービスの稼働率
稼働率の SLO(サービス目標)は 99.9%です。
過去の稼働率については、下記の通りです。
月毎の稼働率(2024年)
月 | 稼働率 | 計画サービス時間(分) | 完全停止時間(分) | 部分停止時間(分) |
1月 | 100.0000% | 801,360 | 0 | 0 |
2月 | 100.0000% | 749,520 | 0 | 0 |
3月 | 100.0000% | 801,360 | 0 | 0 |
4月 | 100.0000% | 775,440 | 0 | 0 |
5月 | 100.0000% | 801,360 | 0 | 0 |
6月 | 100.0000% | 775,440 | 0 | 0 |
7月 | 100.0000% | 801,360 | 0 | 0 |
8月 | 100.0000% | 801,360 | 0 | 0 |
9月 | 100.0000% | 775,440 | 0 | 0 |
10月 | 100.0000% | 801,360 | 0 | 0 |
11月 | 100.0000% | 775,440 | 0 | 0 |
年毎の稼働率
年 | 稼働率 | 計画サービス時間(分) | 完全停止時間(分) | 部分停止時間(分) |
2023年 | 99.9975% | 9,434,880 | 0 | 240 |
2022年 | 99.9944% | 9,170,520 | 0 | 513 |
2021年 | 99.9940% | 8,935,200 | 0 | 529 |
2020年 | 100.0000% | 6,307,200 | 0 | 0 |
2019年 | 99.9985% | 5,781,600 | 0 | 86 |
2018年 | 100.0000% | 5,781,600 | 0 | 0 |
※完全停止時間:本サービス全体が使用できなくなっている時間です。
※部分停止時間:本サービスの一部機能が使用できなくなっている時間です。
稼働率算出時の停止時間については、完全停止時間と部分停止時間を合算した停止時間です。
平均稼働率 | 計画サービス時間(分) | 完全停止時間(分) | 部分停止時間(分) |
99.9975% | 54,070,440 | 0 | 1,368 |
停止の詳細
発生日時 | 2023年10月27日 深夜 |
停止理由 | メンテナンス時にアクセスしづらい状況となっていた |
対応 | ・サーバの再起動 |
予防 | ・監視体制の強化 |
発生日時 | 2022年12月16日 深夜 |
停止理由 | アクセス数増加に伴う、サーバへの負荷が高まったことによりNEOに繋がりづらい状況となっていた。 |
対応 | ・サーバの再起動 |
予防 | ・監視体制の強化及び、サーバの負荷軽減・増強 |
発生日時 | 2021年11月29日 13:00 |
停止理由 | NEO新サービス導入による、サーバのキャパシティーオーバーにより NEOに繋がりづらい状況となっていた。 |
対応 | ・サーバの増強 ・サーバの負荷分散 |
予防 | ・サーバの負荷状況の監視 ・負荷のかかるプログラムの見直し |
発生日時 | 2021年11月1日 10:00 |
停止理由 | マイナンバーサーバの設定ミスにより、マイナンバーの機能が使用できなかった。 |
対応 | 設定修正 |
予防 | サーバの増強 |
発生日時 | 2019年2月6日 17:19 |
停止理由 | サーバ設定ミスにより、NEOの一部機能が使用できなかった。 |
対応 | 設定修正 |
予防 | 設定手順書を修正し、作業者に対する教育を実施 |
1-4.サービスの信頼性
1-4-1.サービスレベル項目
本サービスは、信頼性を担保するために、経済産業省が提示している、下記のガイドラインのサービスレベル項目を満たしております。
SaaS 向け SLA におけるサービスレベル項目のモデルケース
(https://www.meti.go.jp/policy/netsecurity/secdoc/contents/downloadfils/080121saasgl.pdf)
サービスレベル項目 | 規定内容 | 本サービス |
システム監視基準 | システム監視基準(監視内容/監視・通知基準)の設定に基づく監視 | 死活監視:30秒に1度監視 パフォーマンス監視:週に1度監視 |
障害通知プロセス | 障害発生時の連絡プロセス(通知先/方法/経路) | 障害発生時に、障害報告ページに自動的に遷移する |
障害通知時間 | 異常検出後に指定された連絡先に通知するまでの時間 | 5分以内 |
障害監視間隔 | 障害インシデントを収集/集計する時間間隔 | 30秒に一度監視 |
サービス提供状況の報告方法/間隔 | サービス提供状況を報告する方法/時間間隔 | 週に1度、運用レポートにて報告 |
ログの取得 | 利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等) | エクスプレスシリーズの機能より取得可能 |
1-5.サービスの拡張性
1-5-1.サービスレベル項目
本サービスは、拡張性を担保するために、経済産業省が提示している、下記のガイドラインのサービスレベル項目を満たしております。
SaaS 向け SLA におけるサービスレベル項目のモデルケース
(https://www.meti.go.jp/policy/netsecurity/secdoc/contents/downloadfils/080121saasgl.pdf)
サービスレベル項目 | 規定内容 | 本サービス |
カスタマイズ性 | カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報 | お客様のご要望にお応えしたカスタマイズ(有償)が可能です。 |
外部接続性 | 既存システムや他のSaaS等の外部のシステムとの接続仕様(API、開発言語等) | 一部の機能をAPIとして公開しております。 |
同時接続利用者数 | オンラインの利用者が同時に接続してサービスを利用可能なユーザー数 | ベストエフォート 負荷分散の監視をしております。 |
第 2 章.セキュリティ対策
本サービスの提供にあたり、セキュリティ対策に関する弊社のサポート内容について記載します。
管理措置 | 管理内容 | 具体的な対応 |
組織 | 総括責任者 | ・本サービスの運用責任者を任命します。また、運用責任者からの報告を定期的に受けて運用管理を行います。 |
運用責任者 | ・本サービスの専用の運用管理組織の監査者、運用チームの担当を任命します。 | |
専用の運用管理組織 | ・本サービスの運用管理を実施する専門部門に1名以上の運用責任者を配置し、運用保守と環境保守を実施するチームを組織しております。 | |
運用管理規程の整備 | ・運用管理規程を作成し、運用責任者、運用担当者は本規程に則って本サービスを運営します。 ・運用管理規程は定期的にその有効性を評価し、必要に応じて見直し、改善を実施します。 |
|
人 | 情報取扱者の制限 | ・本サービスの情報取扱者は、統括責任者から承認を得た運用責任者および運用担当者のみに制限しています。 |
お客様データへのアクセスの制限 | ・運用管理規程により、本サービスの情報取扱者は、お客様が収集した情報へのアクセスは禁止されます。 | |
情報取扱環境 | ・本サービスの運用管理に必要な特権 ID やパスワードは、暗号化した電子ファイルで管理し、さらに運用責任者・運用担当者以外は該当電子ファイルにアクセスできないよう管理します。 | |
情報取扱者への教育 | ・情報取扱者には、定期的に本サービスの運用管理に必要な弊社所定の教育を実施します。 | |
物理 | 運用時の措置と制限 | ・管理区域内に常設された専用端末のみを利用します。 ・弊社内からのアクセスについては、VPN 接続にて実施し、操作ログを記録しているオペレーションサーバでのみ作業可能に制限します。 |
経年劣化対策 | ・5 年周期で、サーバ機器の入れ替えを実施します。 | |
技術 | ウイルス対策 | ・サーバ全台にウイルス対策ソフトにて対応しております。 |
接続情報 | ・ユーザーごとのシリアル番号(16桁)に対応し暗号化パスワードによって保護されます。 | |
SSL 暗号化通信 | ・お客様環境から本サービスへの通信、およびデータセンター内の通信はすべてSSLで保護されます。 | |
ファイアウォールの設置 | ・お客様環境から本サービスへの通信経路上にはファイアウォールを設置しています。 また、WEB アプリケーション固有のリスク(SQL インジェクション、クロスサイトスクリプティング(XSS)、セッションスプーフィング、XML ベース攻撃、ブルートフォース攻撃、マルウェアアップロード、セッション改ざんなど)への対策としてWAF(Web Application Firewall)を設置します。 |
|
IPS(Intrusion Prevention System)の設置 | ・お客様環境から本サービスへの通信経路上にはIPS(Intrusion Prevention System)を設置しサーバやネットワークの不正侵入を防止します。 ワームやサービス拒否攻撃(DoS)などの不正侵入を検知すると通信の遮断し、管理者への通知とログを取得します。 |
|
不正アクセス対策 | ・接続できるIPを日本に限定し、海外のIPをブロックします。 | |
Web セキュリティ | ・第三者機関によるWeb脆弱性診断を実施しております。 | |
不正ログイン対策 | ・WEB サービスのログインが一定回数(※)連続で失敗した場合、アカウントを一定期間(※)ロックします。 (※は、お客様ごとに設定可能です。) |
|
個人番号の暗号化 | ・お客様が収集・保管した個人番号および本人確認資料は暗号化および分割して保持します。 |
2-1.組織図
本サービスは以下の体制で行っております。
2-1-1.運用管理組織体制
サービス提供に携わる要員に対し、能力と責任に応じた教育を実施しております。
また、サービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。
アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。
運用組織 | 作業内容 |
監査者 | ・詳細は「2-2-5.内部監査」をご確認ください |
障害対応チーム | ・本サービスに関連する障害発生時に緊急対応を実施 |
環境保守チーム | ・本サービスに関連するシステム環境の保守作業を実施 |
運用保守チーム | ・本サービスに関連する、お客様環境の運用をサポート&保守作業を実施(※1) |
※1:お客様環境へのアクセスは全て運用ログ(原則無限)として保持しており、監査者による監査対象となっております。
2-2.セキュリティに対する取り組み
プライバシーマーク認定事業者として、個人情報の適切な保護管理に取り組んでまいります。
また、ISMS(情報セキュリティマネジメントシステム)認証を取得しており、今後ともお客様に信頼して頂けるサービスをご提供できるよう、継続的に努力してまいります。
認証 | 取得日 | 更新日 |
プライバシーマーク |
2016/8/2 | 2018/8/2 2020/8/2 2022/8/2 |
情報セキュリティマネジメントシステム(ISMS)認証(ISO 27001) |
2016/3/30 | 2022/2/24 |
品質マネジメントシステム |
2019/3/20 | 2022/2/24 |
ISMSクラウドセキュリティ認証 (ISO 27017) |
2022/2/24 |
- |
本サービスのセキュリティを確認するために複数の第三者機関による Web 脆弱性診断を実施しております。
診断名 | 最終実施日 |
診断方法 |
Web脆弱性診断 | 2023/8/24 | Webアプリケーションに対する脆弱性検査 |
2-2-1.特権アカウントの管理
以下の方針のもと、2つの取組みを行っています。
①特権アカウントを必要とする作業の削減
管理者権限を有する root、Administrator での作業は、データセンター内でのサーバ立ち上げ時に
限定し一般管理では利用しません。
②root、Administrator の管理
root アカウント(UNIX、Linux 系)については、禁止する制限をすること自体が極めて困難なため、root
利用があった場合、ログなどから利用が適切なものであったかのを管理します。
Administrator アカウント(Windows 系)については、システムデフォルトのユーザー名使用を無効(禁止)とし、運用責任者より貸与されるアカウントの使用のみを許可します。
貸与されるアカウントに管理者権限が含まれるものは、内部監査でログ、接続履歴から適切に利用されたものであったかを管理します。
アカウントについては、定期的に棚卸を実施し、権限の妥当性を確認しています。
※特権アカウントは、運用責任者より、運用保守チームへ付与します。
2-2-2.データセンター 利用の管理
以下の方針のもと、2 つの取組みを行っています。
①一意のアカウント利用の徹底
運用責任者よりデータセンター内で作業に従事するものへは、作業時にのみアカウントとPCを貸与します。
②データセンター作業の監査
全て監査しております。
※詳細につきましては、2-2-5 参照
2-2-3.開発環境の管理
弊社開発へ、サービス利用頂いているお客様環境(本番環境)へアクセス可能端末の貸与は原則禁止しています。
ただし、お客様より調査要求があった場合に限り、一時アカウント(使用期間付(1日未満))の発行を受けて、調査目的とした接続を行います。
※調査以外の接続は行いません。
この作業内容は内部監査により、正当な作業であったかを管理します。
2-2-4.インシデント管理
弊社の情報セキュリティマネジメントは、弊社の情報セキュリティマネジメントシステムポリシー(以下「弊社ISMS ポリシー」に基づき、インシデント管理を実施しております。
インシデントの発生時には、手順に基づき関係者への情報伝達を行い、対処にあたります。
また、本サービスに影響がある可能性があるインシデントの発生時には「1-2-2.サービスの運用状況報告」によりお知らせしております。
インシデントの管理 | |
インシデントの窓口 | サポートセンター |
対応可能時間 | メールは24時間受け付けている。 電話は保守契約を結んでいる場合に公開している。 |
範囲 | 環境保守・障害状況 |
開示レベル | 社内の開示判定により判断する。 |
開示手順 | 運用レポート |
2-2-5.内部監査
内部監査に関する内容について記載します。
内部監査 | |
目的 | 環境保守・運用保守を行う上で、適切なアクセスであることを確認する。 |
監査対象 | 操作ログの監視 |
頻度 | 毎日 |
監査内容 | 操作ログを使用し、下記監査を実施している。 ・外部アクセス(WEBならびにメール)の禁止 ・許可されていない時間帯のアクセス禁止 ・お客様の承諾のないアクセス(閲覧・複製等)の禁止 ・プリントスクリーンによるお客様情報の取得の禁止 ・その他、目的外のアクセスの禁止 |
第 3 章.データの管理
お客様がエクスプレスシリーズを利用したシステムデータの管理方法について記載します。
3-1.個人情報・特定個人情報のお取り扱いについて
サービス利用規約(https://www.si-system.jp/terms/)の第10条(個人情報の保護及び本データの取扱)にて、定めております。
3-2.お客様データの保管
エクスプレスシリーズを利用したシステムデータをクラウド内のデータ領域に保管します。
(以降エクスプレスシリーズデータ領域といいます。)
○マイナンバー対応に伴う弊社データ管理の概要について
お客様がエクスプレスシリーズにより収集・保管した特定個人情報は、エクスプレスシリーズデータ領域とマイナンバー(個人番号)および本人確認資料をそれぞれ異なるデータ領域に分けて管理します。
個人番号および本人確認資料は暗号化および分割して保持することで、万が一、不正なアクセスが
あった場合でも、情報の参照ができないよう管理に努めます。
(分割された断片だけを参照しても、個人番号および本人確認資料は参照できません)
3-2-1.個人番号関連データの保管に関して
エクスプレスシリーズには、お客様の個人番号の収集、保管、および個人番号利用事務・個人番号関係事務をご支援するための機能を有しておりますが、弊社がお客様の取り扱う特定個人情報を収集・保管し、または取り扱うものではありません。
また、弊社がお客様の委託を受けて個人番号関係事務実施者または個人情報取扱事業者として当サービスを提供するものでもありません。
3-2-2.個人番号関連データの保管に関する責任範囲
本サービスを利用してお客様が特定個人情報を収集・保管するにあたっての、お客様と弊社の責任範囲について記載します。責任項目については、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(平成 26 年 12 月 11 日 特定個人情報保護委員会発行)の「第4各論」から引用します。
○前提条件:お客様が収集・保管した個人番号にはお客様環境のエクスプレスシリーズからのみアクセスが可能です。
項版 | タイトル | 責任範囲 | 補足 | |
お客様 | 弊社 | |||
第4-1 特定個人情報の利用制限 特定個人情報の利用制限 | ||||
(1) | 個人番号の利用制限 | ○ | - | 弊社は、前提条件に基づき、お客様が収集・保管した個人番号にはアクセスできないため利用できません。 |
(2) | 特定個人情報ファイルの作成の制限 | ○ | - | 弊社は、前提条件に基づき、お客様が収集・保管した個人番号にはアクセスできないため、お客様が収集した個人番号を含む特定個人情報ファイルは作成できません。 |
第 4-2 特定個人情報の安全管理措置等 | ||||
(1) | 委託の取扱い | - | - | 本サービスは、お客様の個人番号関係 事務を弊社が受託するサービスではありませんので、本項は適用されません。 |
(2) | 安全管理措置 | ○ | △ (※1) |
本サービスにおいて、弊社は個人番号関係事務実施者及び個人番号利用事務実施者に該当しないので本項は適用されません。 しかし、弊社は、お客様が個人番号関係事務実施者として講ずべき特定個人情報の安全管理措置をサポートするために、第2章に定める措置を講じます。 |
第4-3 特定個人情報の提供制限等 特定個人情報の提供制限等 | ||||
(1) | 個人番号の提供の要求 | ○ | - | 本サービスは、お客様の個人番号利用事務、個人番号関係事務を弊社が受託するサービスではありませんので、弊社は、お客様の従業員やスタッフ(以下、スタッフ等)に個人番号の提供を要求しません。 |
(2) | 個人番号の提供の求めの制限、特定個人情報の提供制限 | ○ | - | 本サービスは、お客様の個人番号利用事務、個人番号関係事務を弊社が受託するサービスではありませんので、弊社は、お客様のスタッフ等に個人番号の提供を要求し ませんし、 お客様が収集した個人番号の第三者提供もしません。 |
(3) | 収集・保管制限 | ○ | △ (※2) |
本サービスにおいて、弊社は個人番号関係事務実施者及び個人番号利用事務実施者に該当しないので本項は適用されません。 しかし弊社は、お客様が個人番号関係事務実施者として講ずべき特定個人情報の安全管理措置をサポートするため、第3章に定める方法でデータを管理します。 |
(4) | 本人確認 | ○ | - | 本サービスは、お客様の個人番号利用事務、個人番号関係事務を弊社が受託するサービスではありませんので、弊社はお客様従業員等の本人確認は実施しません。 |
第 4-4 第三者提供の停止に関する取扱い | ○ | - | 本サービスは、お客様の個人番号利用事務、個人番号関係事務を弊社が受託するサービスではなく、弊社がお客様の個人番号利用事務、個人番号関係事務を弊社が受託するサービスではなく、弊社がお客様の収集・保管した個人番号の第三者提供を行うものではありませんので、スタッフ等から特定個人情報の提供の停止の求めがあった場合であっても、弊社が対応に当たるものではありません。 | |
第 4-5 特定個人情報保護評価 | - | - | 弊社は、情報提供ネットワークシステムを使用して情報連携を行う事業者ではないため、本項は適用されません。 | |
第 4-6 個人情報保護法の主な規定 | ○ | - | 本サービスは、お客様の個人番号利用事務、個人番号関係 事務を弊社が受託するサービスではありませんので、弊社が個人情報保護法の個人情報取扱事業者に該当す る場合でも、お客様が収集・保管した個人番号を取扱うものではなく、よって当該個人番号について、弊社が個人情報保護法に基づく義務を負うものではありません。 |
|
第 4-7 個人番号利用事務実施者で ある健康保険組合等における措置等 |
- | - | 弊社は、個人番号利用事務実施者である健康保険組合等ではないため、本項は適用されません。 |
※1:詳細は第 2 章参照
※2:詳細は第 3 章参照
3-3.お客様データのバックアップ
リストアを希望する場合は、弊社サポートセンターまでご連絡ください。
バックアップ項目 | 仕様 | 補足事項 |
エクスプレスシリーズシステムデータ | バックアップ頻度 :日次 管理世代数 :7 世代 保存場所 :同一センター内の別筐体 |
サーバ障害発生に備えた弊社管理 目的でのバックアップです。(※1) |
バックアップ頻度 :バージョンアップ時 管理世代数 :1 世代 保存場所 :同一センター内の別筐体 保持期限 :1 ヶ月 |
バージョンアップ時に自動バックアップされる弊社管理目的でのバックアップです。(※1) | |
バックアップ頻度 :メンテナンス時 管理世代数 :1 世代 保存場所 :同一センター内の別筐体 保持期限 :1 週間 |
メンテナンスで問題発生した場合に備えた弊社管理目的でのバックアップです。(※1) | |
バックアップ頻度 :月次 管理世代数 :3 世代 保存場所 :本サービス環境とは 別の遠隔地 |
大規模災害等に備えた弊社管理目 的でのバックアップです。(※1) |
|
マイナンバー・本人確認資料 | バックアップ頻度 :日次 管理世代数 :7 世代 保存場所 :同一センター内の別筐体 |
大規模災害等に備えた弊社管理目 的でのバックアップです。(※1) |
※1: 個別のご要望に応じてバックアップデータをご提供することはできませんので、予めご了承ください。
3-3-1.お客様データのバックアップの仕様に関して
バックアップの仕様 | |
バックアップの範囲 | 暗号化したフルバックアップ |
スケジュール | 日々深夜に取得 |
リストア手順 | 弊社管理の手順書に沿って対応 |
復旧処理の開始からの所要時間 | 平均30分程度 (ファイルサイズにより変動) |
バックアップ機能の試験手順 | ファイルの有無を確認 |
バックアップ機能の完全性検証 | ランダムでリストアを実施 |
3-4.お客様データのリカバリ
サービスの管理にて行っている運用状況で障害が発生し、サーバの物理的な交換が発生した場合、お客様のバックアップデータからリカバリを実施します。
物理的な交換にて解決しないような重大な障害発生時には、代替用のサーバを保持しており、そのサーバへの入れ替え作業を実施します。
(サーバ入れ替えを実施しても、アクセス方法は変わらないように対応いたします。)
監視システムからの障害通知の報告を受けた運用管理組織が状況を確認し、リカバリの最終判断をくだしたうえで、障害復旧用の手順に基づき対応を行います。
障害復旧については、ベストエフォート対応となります。
(リカバリ時の復旧手順等につきましては、「弊社 ISMS ポリシー」に基づき管理運用し、年に 1 回以上の運用訓練を実施しております。)
障害対応訓練 | 最終実施日 |
実施方法 |
リカバリー復旧テスト | 2023/12/25 | サーバ故障を想定したDBリカバリー手順の確認及びテストの実施 |
3-5.お客様データの破棄
解約時のお客様のデータ(データベース・バックアップを含む全てのデータ)につきましては、弊社にて責任を持って削除します。
ご要望いただければ、データ消去証明書を発行します。
第 4 章.お客様動作環境
本サービスを利用するために必要な、お客様の動作環境について記載します。
エクスプレスシリーズを利用する端末 | |
OS(※1) |
Windows 11 |
CPU/メモリ等(※2) |
CPU:4コア以上 |
対応ブラウザ(※3) | Chrome 推奨 Edge |
Microsoft(※4) | Excel 2016, 2019, 2021 |
インターネット 接続回線(※5) |
光回線を推奨(※6) |
周辺機器等 | 上記OSに対応した、ディスプレイ・マウス・キーボード・日本語変換システム |
解像度 | 1920×1080 以上を推奨 |
その他 | 弊社から提供する電子証明書がインポートされた端末からのみ利用可能 |
※1:
・より安全にご利用いただくため、最新のOSでのご利用をおすすめします。また、こまめにアップデートしていただくことをおすすめします。(マイナンバー機能をご利用いただくには.NET Framework4.8以上が必要です。)
・より安全にご利用いただくため、ウイルス対策ソフトを導入し、定義ファイルを最新に保つことをおすすめします。
※2:
・ 快適にご利用いただくために、より高スペックのプロセッサ、並びにより多くのメモリを搭載したコンピューターの ご利用を推奨します
(ARM系(Snapdragonなど)のCPUを搭載したPCには、対応しておりません。)
※3:
・より安全にご利用いただくため、よりセキュアな最新ブラウザでのご利用をおすすめします。また、こまめにアップデートしていただくことをおすすめします。
・CookieおよびJavaScriptを有効にしておく必要があります。
・ご利用のブラウザによっては、一部、制限事項があります。
※4:データ出力に必要となります。
※5:ファイアウォールが有効な環境では、アウトバウンド(外向け)に対して指定のポートで通信できる必要があります。
※6:十分なパフォーマンスを確保するために、より高速な回線をご用意いただくことを推奨します。
webサービスを使用する端末 | |
OS (※1)(※2) |
Windows: |
Mac: macOS 11.1以降 |
|
iPhone/ iPad:(※3) iOS16以降 |
|
Android: Android 12以降 |
|
対応ブラウザ(※4) | Windows: Chrome推奨 Edge |
MAC: Safari Chrome |
|
iPhone/ iPad: 標準ブラウザ(Safari) Chrome |
|
Android: Chrome |
※1:
・快適にご利用いただくために、より高スペックのプロセッサ、並びにより多くのメモリを搭載したコンピューターでのご利用を推奨します。
・より安全にご利用いただくため、最新のOSでのご利用をおすすめします。また、こまめにアップデートしていただくことをおすすめします。
・より安全にご利用いただくため、ウイルス対策ソフトを導入し、定義ファイルを最新に保つことをお勧めします。
※2:特定のメーカー、機種ごとの動作確認は実施しておりません。
※3:ご利用のOSによっては、一部、制限事項があります。
※4:
・HTM5対応ブラウザにてご利用いただくことを奨励します。
・より安全にご利用いただくため、よりセキュアな最新ブラウザでのご利用をおすすめします。また、こまめにアップデートしていただくことをおすすめします。
・CookieおよびJavaScriptを有効にしておく必要があります。
・ご利用のブラウザによっては、一部、制限事項があります。
<その他の注意事項>
スマートフォンで、ドメイン指定受信や本文にURLがあるメールの受信拒否などの迷惑メール対策をしている方は、本サービスからのメールを受信できません。必ず弊社ドメイン「support@staffexpress.jp」を指定受信設定してください。
※設定方法については、各携帯会社のサイト等でご確認ください。
第 5 章.データセンター設備
本サービスで利用するデータセンター設備について解説します。
基本情報 | 項目 | 説明 |
事業者 | 利用データセンター | 弊社契約データセンター事業者 |
所在地 | 日本 | |
施設建築物 | 建物形態 | データセンター専用建物 |
耐震・免震構造 | 制振装置・免震装置有 震度 7 程度に耐える堅牢設計。 更に建物全体の免震構造で、 サーバの安定稼働に不可欠な要素を完備。 |
|
非常用電源設備 | 無停電電源 | 無停電電源装置(UPS)は N+1 構成 停電時5分間起動し、その後非常用発電機起動 |
給電ルート | 特別高圧2系統受電(本線・予備線方式) | |
非常用電源 | 非常用発電機(48時間無給油運転) | |
消火設備 | サーバールーム内 | 窒素ガス消火設備 |
火災感知・報知システム | 超高感度煙検知機 | |
避雷対策設備 | 直撃雷対策 | 直撃雷対策有 |
誘導雷対策 | 誘導雷対策有 | |
空調設備 | 十分な空調設備 | 壁吹出し、セントラル空調、 フリークーリング、冷水蓄熱タンク有 |
セキュリティ | 入退館管理 | 24 時間 365 日有人による入退室管理 ・入退室記録の保管期間:1 年間 監視カメラ:有 稼働時間は 24 時間 365 日 マシンルーム内で見えない個所のない様に設置 映像保存期間:3 か月 個人認証システム:有 |
機器管理 | 静電気対策有 | |
媒体の保管 | 鍵付き保管庫(室)有り、紙保管用のキヤビネットは なし |
|
その他の対策 | 赤外線センターでの侵入感知 一方の扉しか開かないインターロック式の前室とアンチパスバック方式を採用 破壊対策ドアを採用 |
第 6 章.サポート体制
ご不明点等があれば、弊社サポートセンターで対応いたします。
お問い合せ方法 | 対応時間 |
メールでのお問い合わせ | 弊社営業日の月曜~金曜 9:30~17:30(12:00~13:00)を除く ※土日、祝日、夏季、および年末年始を除きます。 |
第 7 章.適用法令
本サービスの準拠法は日本法とし、日本法に従って解釈されます。
■変更履歴
日付 | バージョン | 前バージョンからの変更 |
2018/05/31 | 1.3 | ・1-2.サービス管理 を追加 ・2-1-1.インシデント管理を追加 ・2-1.組織を追加 |
2018/06/18 | 1.4 | ・3-3.お客様データのリカバリを追加 |
2018/08/06 | 1.5 | ・セキュリティロゴを載せる。 |
2018/10/31 | 1.6 | ・バックアップ管理世代数変更(5→7) 月次以外 |
2019/04/22 | 1.7 | ・運用、運用状況報告の見直し ・QMS の取得について |
2019/06/16 | 1.8 | ・2-2-1.特権アカウントの管理 追加 ・2-2-2.利用者の認証 追加 ・2-2-3.開発環境の管理 追加 |
2020/03/03 | 1.9 | ・メンテナンス計画について事前予告すること ・障害情報の案内方法がウェブページ・メールであること ・「技術」の中に「接続情報」を追加 ・運用ログが原則、無期限であることを追加 |
2020/12/14 | 2.0 | ・1-2-2.サービスの運用状況報告 更新 ・2-1.組織図 更新 ・2-2-4.インシデント管理 更新 ・3-2.お客様データのバックアップ 更新 ・3-2-1.お客様データのバックアップの仕様に関して 追加 ・第 7 章適用法令 追加 |
2021/02/10 | 2.1 | ・サービスの運用状況報告 ・ISO27017 に準ずる運用 ・3-4 お客様データの破棄 |
2021/04/05 | 2.2 | ・表紙に改訂日 ・サービスの運用状況報告 ・内部監査 追加 |
2021/04/27 | 2.3 | ・スタッフエクスプレス・ガードエクスプレスに対応 ・サービスの運用状況報告に報告頻度追加 |
2021/05/11 | 2.4 | ・スタッフエクスプレス・ガードエクスプレス対応の画像対応 ・サービスの運用状況報告に報告タイミングを追加 |
2021/05/31 | 2.5 | ・対象ブラウザより Internet Explorer を除外 |
2021/08/16 | 2.6 | ・内部監査 プリントスクリーンの禁止を追加 |
2021/01/17 | 2.7 | ・ISO の認証マークの変更 ・対応 OS の追加 |
2022/03/01 | 2.8 | ・ISO27017 の認証マーク追加 |
2022/06/03 | 2.9 | ・サービスの可用性を追加 ・重大な障害発生時の対応を追加 ・災害時のバックアップ世代数変更(5→3) |
2022/07/20 | 3.0 | ・サービスの信頼性・拡張性を追加 ・稼働率について更新 ・データセンターアクセス PC の固定化を追加 |
2022/09/22 | 3.1 | ・稼働率の SLO(サービス目標)を追加 |
2022/12/05 | 3.2 | ・2018 年以降の平均稼働率を追加 ・セキュリティ対策(経年劣化対策・IP 制限・アカウントロック)を追加 ・個人情報・特定個人情報の取扱いを追記 |
2023/02/28 | 3.3 | ・個人情報・特定個人情報のお取り扱いを追記 ・2-2-3.開発環境の管理の更新 ・動作環境の更新 |
2023/04/28 | 3.4 | ・稼働率の追加 |
2023/05/08 | 3.5 | ・稼働率の追加 |
2023/06/26 | 3.6 |
・3-1.個人情報・特定個人情報のお取り扱いについての更新 ・稼働率の追加 |
2023/07/04 | 3.7 |
・第4章お客様動作環境のASP利用推奨OSを更新 ・稼働率の追加 |
2023/08/04 | 3.8 |
・稼働率の追加 |
2023/09/04 | 3.9 |
・稼働率の追加 |
2023/10/31 | 4.0 |
・稼働率の追加 |
2023/11/27 | 4.1 |
・4章 解像度・マイナンバー機能の.NET Framworkバージョン |
2024/01/11 | 4.2 |
・稼働率の追加 ・リカバリー復旧テスト実施内容の更新 |
2024/02/19 | 4.3 |
・稼働率の追加 |
2024/03/13 | 4.4 |
・稼働率の追加 |
2024/05/15 | 4.5 |
・稼働率の追加 |
2024/05/20 | 4.6 |
・2-2-4.インシデント管理の対応可能時間を追記 |
2024/07/09 | 4.7 |
・稼働率の追加 ・対象ブラウザの更新 |
2024/09/19 | 4.8 |
・稼働率の追加 ・第4章お客様動作環境を更新 |
2024/11/12 | 4.9 |
・稼働率の追加 |
2025/01/06 |
5.0 |
・稼働率の追加 |