情報セキュリティ基本方針

基本理念

RUOK合同会社（以下「当社」）は、お客様からお預かりする情報資産を適切に保護することが事業活動の基盤であると認識し、 情報セキュリティの確保に全社を挙げて取り組みます。

当社は、情報セキュリティに関するリスクを適切に管理し、お客様および関係者の皆さまからの信頼に応えるため、 以下の方針に基づき情報セキュリティ対策を実施いたします。

対策方針

1. 技術的安全管理措置

• 通信の暗号化: すべての通信はTLS 1.2以上で暗号化されています。ホスティング環境（Vercel）およびデータベース（Supabase）において、HTTPS通信を強制しています。
• 保存データの暗号化: お客様の機密データはAES-256-GCM方式により暗号化して保存しています。暗号化にはIV（初期化ベクトル）と認証タグを使用し、データの機密性と完全性を保証しています。
• アクセス制御: データベースレベルでRow Level Security（RLS）を有効化し、テナント（顧問先事務所）ごとにデータの完全な分離を実現しています。また、ロールベースのアクセス制御（RBAC）により、ユーザーの権限に応じた操作制限を実施しています。
• 監査ログ: システム上の重要な操作はすべて監査ログとして記録し、個人情報は自動的にマスキング（PII除去）した上で保管しています。
• PII保護: 外部サービス連携時には、マイナンバー、電話番号等の個人識別情報を自動検出・マスキングする仕組みを導入しています。
• バックアップ: データベースの自動バックアップおよびPoint-in-Time Recovery（PITR）を運用しており、障害発生時のデータ復旧体制を整備しています。
• 多要素認証: 認証基盤は多要素認証（TOTP/MFA）に対応しており、段階的に導入を拡大していく予定です。

2. 組織的安全管理措置

• 情報セキュリティに関する責任体制を明確にし、代表者を情報セキュリティ管理責任者として定めます。
• 情報セキュリティインシデントが発生した場合の報告・対応手順を整備し、迅速な対応を行います。
• 情報資産の取扱いに関する規程を整備し、従業者に周知徹底します。

3. 人的安全管理措置

• 従業者に対して、情報セキュリティに関する教育・啓発活動を継続的に実施します。
• 従業者との間で秘密保持に関する契約を締結し、情報漏えいの防止に努めます。

4. 物理的安全管理措置

• クラウドベースのサービス提供により、物理的なサーバー管理はクラウドプロバイダー（Vercel、Supabase/AWS）のセキュリティ基準に準拠しています。
• 業務に使用する端末の紛失・盗難対策として、適切なアクセス管理を実施します。

法令遵守

当社は、個人情報の保護に関する法律（個人情報保護法）、不正アクセス禁止法、 その他の情報セキュリティに関連する法令、規範、契約上の義務を遵守します。

継続的改善

当社は、情報セキュリティに関する取り組みを定期的に見直し、 技術の進歩や新たな脅威に対応するため、継続的な改善に努めます。