セキュリティポリシー

最終更新日: 2025年1月1日

施行日: 2025年1月1日

株式会社ReFlow(以下「当社」といいます)は、「StayFlow Insight」(以下「本サービス」といいます)において、ユーザーの情報セキュリティを確保するため、以下のポリシーを定めます。

第1条(目的)

本ポリシーは、本サービスにおける情報セキュリティの確保に関する基本方針を定めるものです。

当社は、本ポリシーに基づき、ユーザーの個人情報および本サービスに関する情報資産を、不正アクセス、紛失、破壊、改ざん、漏洩等から保護するため、必要かつ適切な技術的・組織的安全管理措置を講じます。

第2条(基本方針)

当社は、以下の基本方針に基づき、情報セキュリティの確保に努めます。

  1. 法令遵守: 個人情報保護法、不正アクセス禁止法、その他関連法令および規範を遵守します
  2. 継続的改善: 情報セキュリティマネジメントシステムを継続的に改善し、最新の脅威に対応します
  3. 従業員教育: 従業員に対して、情報セキュリティに関する教育・訓練を定期的に実施します
  4. インシデント対応: セキュリティインシデントが発生した場合、迅速かつ適切に対応します

第3条(技術的セキュリティ対策)

当社は、本サービスにおいて、以下の技術的セキュリティ対策を実施しています。

【3.1 通信の暗号化】

すべての通信はSSL/TLS(HTTPS)により暗号化されます。

具体的な対策:

  • 本サービスのすべての通信をHTTPSで暗号化
  • 最新の暗号化プロトコルを使用
  • 信頼性の高い認証局(CA)から発行されたSSL証明書を使用

【3.2 認証システム】

本サービスでは、以下の認証システムを採用しています:

  1. メール認証: 登録時にメール認証を必須とし、正当なメールアドレスの所有者のみがアカウントを作成できます
  2. パスワード認証: ログイン時にパスワード認証を実施
  3. 認証トークンの管理: ログイン状態を安全に管理

【3.3 パスワード管理】

  1. 暗号化保存: ユーザーのパスワードは暗号化して保存しており、平文では保存していません
  2. パスワード強度要件:
    • 最低8文字以上
    • 英字、数字、記号の組み合わせを推奨
  3. パスワードリセット: パスワードを忘れた場合、メール認証によるパスワードリセット機能を提供

【3.4 データベース】

  1. アクセス制限: データベースへのアクセスは、業務上必要な最小限の従業員のみに制限
  2. SQLインジェクション対策: パラメータ化クエリを使用し、SQLインジェクション攻撃を防止
  3. 定期的なバックアップ: データベースを定期的にバックアップし、障害時の復旧に備えています

【3.5 ファイアウォール】

サーバーには、ファイアウォールを設置し、不正なアクセスを遮断しています。

第4条(データ保護)

【4.1 個人情報の保護】

  1. 個人情報(メールアドレス等)は暗号化して保存します
  2. パスワードは暗号化して保存しており、平文では保存していません

【4.2 決済情報の保護】

  1. Stripe社のPCI DSS準拠: 本サービスの決済処理は、Stripe社のシステムで行われています。Stripe社は、PCI DSS(Payment Card Industry Data Security Standard)に準拠しており、クレジットカード情報を安全に管理しています
  2. 当社での保存なし: 当社は、クレジットカード情報(カード番号、有効期限、セキュリティコード)を当社のサーバーには保存していません

【4.3 分析履歴の保護】

  1. ユーザーの分析履歴は、ユーザーごとに分離して保存されており、他のユーザーがアクセスすることはできません
  2. 分析履歴は、ユーザーがアカウントを削除した場合、即時削除されます

第5条(アクセス制御)

【5.1 認証が必要なページへのアクセス制限】

  1. 本サービスの一部機能(マイページ、分析履歴等)は、ログイン認証が必要です
  2. 未認証のユーザーがアクセスした場合、ログインページにリダイレクトされます

【5.2 ログインセッション管理】

  1. ログインセッションを適切に管理します
  2. ユーザーがログアウトした場合、セッションは即時無効化されます
  3. 一定期間アクティビティがない場合、自動的にログアウトされます

【5.3 不正アクセス検知】

  1. 短時間に大量のリクエストを送信する不正アクセスを検知し、一時的にアクセスを制限します
  2. 不正なログイン試行を検知し、アカウントを一時的にロックします

第6条(脆弱性対応)

【6.1 セキュリティアップデート】

  1. 当社は、本サービスで使用しているソフトウェアのセキュリティアップデートを定期的に適用し、既知の脆弱性に対応しています
  2. 重大な脆弱性が発見された場合、緊急でアップデートを適用します

【6.2 脆弱性診断】

当社は、定期的に脆弱性診断を実施し、本サービスのセキュリティレベルを確認しています。

【6.3 脆弱性の報告】

本サービスにセキュリティ上の脆弱性を発見された場合は、以下の連絡先までご報告ください:

メールアドレス: info@stayflow.jp
件名: 「セキュリティ脆弱性の報告」

当社は、報告された脆弱性について、速やかに調査し、必要な対策を講じます。

第7条(インシデント対応)

【7.1 セキュリティインシデントの定義】

本ポリシーにおいて、「セキュリティインシデント」とは、以下のような事象を指します:

  1. 個人情報の漏洩、紛失、破壊、改ざん
  2. 不正アクセス、不正ログイン
  3. サービス停止、サービス妨害攻撃(DDoS攻撃等)
  4. その他、情報セキュリティに関する重大な事象

【7.2 インシデント対応プロセス】

当社は、セキュリティインシデントが発生した場合、以下のプロセスに従って対応します:

  1. 検知・報告: インシデントを検知した場合、直ちに情報セキュリティ責任者に報告
  2. 初動対応: インシデントの拡大を防ぐため、直ちに初動対応を実施
  3. 調査: インシデントの原因、影響範囲を調査
  4. 復旧: システムの復旧、データの復元
  5. ユーザーへの通知: 個人情報の漏洩等、ユーザーに影響がある場合、速やかに通知
  6. 再発防止: インシデントの再発を防ぐため、必要な対策を講じる

【7.3 ユーザーへの通知】

個人情報の漏洩等、ユーザーに影響がある重大なインシデントが発生した場合、当社は以下の方法でユーザーに通知します:

  1. 登録メールアドレス宛に電子メールで通知
  2. 本サービスのウェブサイトにお知らせを掲載

通知内容には、以下の情報を含めます:

  • インシデントの内容
  • 影響を受けるユーザーの範囲
  • 推奨される対応(パスワード変更等)
  • お問い合わせ先

第8条(外部サービス)

本サービスは、以下の外部サービスを使用しています。これらのサービスは、それぞれ独自のセキュリティ基準を満たしています。

【8.1 Stripe(決済処理)】

  • 提供会社: Stripe, Inc.
  • セキュリティ基準: PCI DSS Level 1準拠
  • 用途: クレジットカード決済処理
  • プライバシーポリシー: https://stripe.com/privacy

【8.2 Google Analytics(アクセス解析)】

第9条(ユーザー側のセキュリティ)

ユーザーご自身でも、以下のセキュリティ対策を実施してください。

【9.1 パスワードの管理】

  1. 強力なパスワードを使用: 英字、数字、記号を組み合わせた、推測されにくいパスワードを設定してください
  2. パスワードの使い回しを避ける: 他のサービスと同じパスワードを使用しないでください
  3. 定期的な変更: 定期的にパスワードを変更してください
  4. 第三者への開示禁止: パスワードを第三者に教えないでください

【9.2 メール認証の重要性】

登録メールアドレスは、パスワードリセット等の重要な通知を受け取るために使用されます。メールアドレスのアカウントも適切に管理してください。

【9.3 ログアウトの重要性】

共用のパソコンやスマートフォンで本サービスを利用した場合、必ずログアウトしてください。

【9.4 不審なメールに注意】

当社を装った不審なメール(フィッシングメール)にご注意ください。当社は、メールでパスワードやクレジットカード情報を尋ねることはありません。

第10条(従業員のセキュリティ教育)

当社は、従業員に対して、以下のセキュリティ教育を実施しています:

  1. 入社時研修: 入社時に情報セキュリティに関する研修を実施
  2. 定期研修: 年1回、情報セキュリティに関する定期研修を実施
  3. 最新の脅威に関する情報共有: 最新のサイバー攻撃、フィッシング詐欺等の情報を共有

第11条(お問い合わせ)

セキュリティに関するお問い合わせは、以下の連絡先までお願いいたします。

株式会社ReFlow
情報セキュリティ責任者: 代表取締役 伯耆原 翔
〒150-0001 東京都渋谷区神宮前3-35-13
電話: 03-6824-0828
メール: info@stayflow.jp
営業時間: 平日 11:00 - 19:00

第12条(ポリシーの変更)

  1. 当社は、法令の変更、技術の進歩、脅威の変化等により、本ポリシーを変更することがあります。
  2. 当社は、本ポリシーを変更する場合、変更日の7日前までに本サービス上で告知します。
  3. 変更後に本サービスを利用した場合、変更後のポリシーに同意したものとみなします。

以上