個人情報保護、セキュリティ対策について

◆◆◆ RESERVAを安心してご利用いただくための方針と対策 ◆◆◆

 

[社内セキュリティ体制]

●情報セキュリティ教育の実施

RESERVAでは、情報セキュリティ対策、従業員への定期教育を行っています。「教育計画」を作成し、全従業員を対象とし情報セキュリティ教育を実施しセキュリティ意識の向上と、ルールの徹底を図っています。業務上における情報管理に関する注意事項に関しても随時社内で情報共有しトラブルを未然に抑止するための施策を講じています。

●ルールの徹底と堅牢な運用

RESERVAでは、従業員が日常的に情報セキュリティに対しての強い意識を持って業務に従事できるよう、施策やルールを徹底しています。例えばCR-ROM、USBメモリなどの外部メディアの社内持ち込み禁止、USBポートを物理的に塞ぐなど、内部不正対策も行っております。

●開発方針

RESERVA開発チームでは、情報セキュリティに配慮した開発方針に従って開発を実施しています。

 

[データセンター]

●情報管理が徹底した信頼性のあるデータセンター

RESERVAでは、大手企業・官公庁にも採用されている世界的に信頼性の高いデータセンターを利用しています。第三者機関の認定を取得しており、堅牢な設備、高度なセキュリティを有していることから、安心してデータを預けられる環境であると考えています。

●データセンターの詳細

RESERVA上に格納されたお客様の各種データは、AWS東京リージョンに保管されます。

データセンターの各種装置は、AWSの規程に従って管理され、処分、廃棄されます。

 

[データの保護・暗号化の実施]

RESERVA上に格納されたお客様の各種データ(ログデータを含みます)は、不正なアクセスや改ざんを防ぐため、暗号化され、適切なアクセス権のもとで保護・保管されます。また、パスワードは、不可逆暗号化(ハッシュ化)された状態で、RESERVAのサーバーに保管されます。暗号化はISMAPに準拠した方式で実施されます。

お客様の端末と、システムとの間のインターネット通信は、SSL通信によって暗号化されます。

 

[ログのクロック]

RESERVAビジネスサービス上のログは、タイムゾーンJST(UTC+9)で取得されます。

ログの時間は、AWSが提供するNTPサービスと同期しています。

※ログ提供に関しては、有償で対応しております。

 

[不正アクセスへの対策]

●不正なアクセス、攻撃を即時ブロック

RESERVAのサーバーに対するアクセスは、常にハイレベルな監視を行っています。不正と判断されるアクセスは遮断されるように構築されています。不正アクセスを検知次第、接続元のIPブロックなど速やかに対応します。

●脆弱性管理

RESERVA開発チームでは、システムで利用している OS、ミドルウェア等に関する脆弱性情報を定期的に収集しています。

システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適用されます。

●定期的な脆弱性診断

脆弱性診断・検査は、対象となるシステムに存在するセキュリティホール(弱点、脆弱性)を発見・検出することで対策の実施を促すことを狙いとしています。脆弱性診断・検査の結果に基づいてセキュリティホールを塞ぐことにより、侵入、改ざん、情報漏えいなどのインシデントによる被害を未然に防ぐことができます。

RESERVAでは、アプリケーション及びOS・ミドルウェアに対する脆弱性診断を、当社システム監査チーム及び脆弱性診断の専門会社により定期的に実施しています。

 

[バックアップ]

RESERVA上に格納されたお客様の各種データのバックアップについては、障害によりサーバーの情報が消失した場合を想定し、論理的に分離されたサーバーにおいてバックアップを取得し、障害が発生し停止したシステムのデータ復旧を行うための対策をとっています。

バックアップは日次で行われ、8世代分保管されます。

※ただし、個別のアカウント単位、予約単位でデータの復旧を行うサービスではなく、お客様によるバックアップデータの復元等に関する要望は、承っておりません。

 

[退会後のデータ処理]

RESERVA上に格納されたお客様の各種データは、退会直前のサイト名称、RESERVAコードを除き、お客様のRESERVAビジネスサービス退会から1か月以内に、バックアップを含めてシステムによる完全削除が実施されます。

 

[インシデント発生時の対応]

お客様に大きな影響を与える情報セキュリティインシデント(データの消失、長時間のシステム停止等)が発生した場合は、インシデントが判明してから1時間以内を目標に、メンテナンス画面またはRESERVA管理画面のお知らせ画面より、周知を実施いたします。

情報セキュリティインシデントに関する問合せは、当社お問い合わせ窓口より受け付けています。

 

[免責]

RESERVAでは、次に示す機能を運用するために、外部のクラウドサービスを利用しています。本セキュリティページに記載されている内容は、以下で示すクラウドサービスにて管理されている範囲には及ばず、また、その内容の遵守を保証するものではありません。

クラウドサービス 機能 運営会社

AWS

インフラ構築、運用

Amazon Japan合同会社

Zendesk

お問い合わせ管理

Zendesk株式会社

Zoom

Zoom連携

Zoom Video Communications, Inc.

 

 

[個人情報保護の取り組み]

事業活動を通じてお客様から取得する個人情報及び当社従業員の個人情報は、当社にとって重要な情報資産であり、その個人情報を確実に保護することは、当社の重要な社会的責務と認識しております。

また、個人情報保護法、および監督官庁のガイドラインを遵守した個人情報保護対策を行なっています。具体的な例として、以下のような項目があげられます。

・利用目的を偽って個人情報を取得する行為は行なっていません。

・利用目的の範囲を超えて個人情報を利用する行為は行なっていません。

・本人の同意を得ずに、第三者に個人情報を渡しておりません。

・漏洩防止等、個人情報の安全管理のため、組織的・人的・技術的安全管理措置を講じています。

・全ての役職員に対して、教育を含め、適切な監督指導を行なっております。

●プライバシーマークの取得

RESERVAを運営する株式会社コントロールテクノロジーは、「JIS Q 15001個人情報保護マネジメントシステム — 要求事項」に則って、適切に個人情報保護を行っている事業者として、一般財団法人日本情報経済社会推進協会(JIPDEC)より、プライバシーマーク(JIS Q 15001)の認定を受けております。

mceclip1.png

●個人情報の保護

個人情報については、個人情報保護方針に基づき情報セキュリティ対策の推進、全従業員に対する教育を定期的に行なっております。また、安心してRESERVAをご利用頂けるよう個人情報の取扱いについて明らかにし、管理及び定期的な見直しを行うことにより継続的なサービス提供に努めています。

個人情報の管理については、当社のプライバシーポリシーをご覧ください。

 

[レゼペイについて]

●「割賦販売法の一部を改正する法律」への対応

カード決済機能を利用する事業者に求められるセキュリティ対策が「カード情報の漏えい対策」と「不正使用対策」です。RESERVAでは、予約サイトご利用者様がレゼペイを導入された場合でも、「カード情報の非保持化」を図っています。レゼペイ利用者は「割賦販売法の一部を改正する法律」に準拠した環境下で、決済機能をご利用いただけます。

●「カード情報の非通過化」への対応

カード決済機能を利用する事業者は、PAN(Primary account number=一般的に最大16桁のカード番号)、EXP(Expire=カード有効期限)、セキュイリティコードなどのいわゆる「カード情報」は一切参照、保持はいたしません。レゼペイ利用者は「カード情報の非通過化」に対応した環境下で、決済機能をご利用いただけます。