情報セキュリティ基本方針

株式会社AndStore（以下「当社」といいます。）は、お客様および当社が取り扱う情報資産を、漏えい・改ざん・滅失等の脅威から保護することを経営上の重要課題と認識し、以下の情報セキュリティ基本方針を定め、実行・維持・改善します。

1. 目的・適用範囲

本方針は、当社が行う全ての事業、当社が提供する全ての製品及びサービス等、ならびに業務で取り扱う情報資産を対象とします。

2. 経営者の責任と推進体制

当社代表者は、情報セキュリティへの取り組みを主導し、必要な体制・資源を整備します。

3. 法令・規範の遵守

当社は、個人情報保護法その他の関係法令、契約上の義務および社会的規範を遵守します。

4. 技術的安全管理措置

当社は、サービスの設計段階からセキュリティを組み込み（セキュリティ・バイ・デザイン）、以下を標準とします。

• 通信の暗号化：全通信をHTTPS（TLS）で保護します。
• 認証情報の保護：パスワードは復号できない方式（ソルト・ペッパー付きハッシュ）で保管し、平文保存・共有を行いません。
• アクセス制御：役割に応じた最小権限を付与し、セッションはトークンをハッシュ化して管理します。
• テナント分離：顧客（企業）ごとにデータを分離し、他の利用者のデータにアクセスできない設計とします。
• 操作・監査ログ：重要な操作をIPアドレス付きで記録し、追跡可能にします。異常検知時のアラートを整備します。
• 非公開ファイルの保護：権限を確認した利用者のみがアクセスできるよう制御します。
• バックアップ：データを定期的にバックアップし、復旧可能性を確保します。
• 不正アクセス対策：ログインの連続失敗に対するロック等を実施します。

5. 生成AIの利用方針

当社は、入力した情報が生成AIの機械学習・モデルの訓練に利用されない条件で生成AIを利用します。学習に利用される無料の生成AIに業務情報を入力しません。生成AIへ渡す情報は必要最小限とし、出力は人が確認したうえで利用します。

6. データの保管

当社は、信頼できるクラウド事業者を利用し、適切なアクセス制御および暗号化のもとデータを保管します。

7. 組織的・人的・物理的措置

• 情報の取扱いルールを整備し、関係者へ周知します。
• 業務委託先に対して適切な監督を行います。
• 端末および認証情報を適切に管理します。

8. インシデント対応

情報セキュリティ事故（漏えい・不正アクセス等）が発生し、またはそのおそれがある場合、速やかに被害の拡大防止、原因調査、関係者への報告・通知および再発防止を行います。

9. 継続的改善

本方針および対策の有効性を定期的に見直し、技術や脅威の変化に応じて継続的に改善します。

株式会社AndStore　お問い合わせ：info@andstore.jp