Compliance

当社は情報セキュリティマネジメントの国際規格であるISO 27001の認証を取得しています。この認証により、以下の点が保証されています。

• お客様のデータを保護するための包括的な情報セキュリティマネジメントシステム (ISMS) を構築していること
• 当社のシステムが定期的に監査・改善され、リスク管理と情報保護を徹底していること

さらに、ISO 27701規格では個人データのプライバシー管理にも重点を置いており、GDPR (一般データ保護規則) 及びCCPA (カリフォルニア州消費者プライバシー法) へのコンプライアンス強化にも取り組んでいます。

当社では、データのセキュリティ、可用性、及び機密性を確保するため、SOC 1、2、及び3のコンプライアンス基準に準拠しています。独立した監査人により、以下の点が確認されています。

• データ保護と正確性確保のため、強固な内部統制とプロセスが整備されていること
• 当社システムがセキュリティ侵害を迅速かつ効果的に検知・対応できる設計となっていること
• 当社のコンプライアンスへの取組の概要については、SOC 3報告書でご覧いただけます。

決済データを取り扱うお客様に対しては、PCI-DSSに準拠したセキュリティ対策を実施しています。具体的には以下の取組を行っています。

• カード保有者情報を保護するための厳格なセキュリティ管理体制の構築
• 暗号化技術の採用、安全な決済処理システムの運用、及びアクセス制御による、決済データへの不正アクセスの防止
• 継続的な監視体制の確立による、潜在的な脅威を迅速に検知・対応できる体制の整備

当社は、一般データ保護規則 (GDPR) の遵守に全面的に取り組んでおり、EU域内の個人に関するすべての個人データについて、GDPRが定める厳格なデータプライバシー及び保護基準に従って収集・処理・保管を行っております。GDPRの要件を遵守することで、当社は個人データ保護へのコミットメントを示し、EUのお客様及びパートナー企業との信頼関係の維持に努めております。

当社は、EU・米国データプライバシーフレームワーク (「DPF」) に完全に準拠しており、欧州連合 (EU) と米国間におけるデータ移転がEU規制で求められる厳格なプライバシー基準を満たすことを保証しています。この準拠により、透明性・説明責任・データ完全性というDPFの原則に基づき、EUから転送される個人データを安全に処理・保護することが可能となります。これらの厳格な基準を遵守することで、EUを起源とするすべての個人データが、EU法で要求されるのと同等の保護レベルとプライバシー尊重をもって管理されることを保証し、国際的なデータセキュリティとプライバシー保護基準への当社のコミットメントを支えています。

さらに、欧州連合 (EU) の厳格なデータ保護要件を満たすため、クラウドサービスプロバイダー向けEUデータ保護行動規範 (EU Cloud CoC) に準拠しています (遵守ID：2024LVL02SCOPE5420。詳細は、EU Cloud CoCの公開登録リストをご参照ください)。
EU Cloud CoCは、クラウドサービスプロバイダーがEU一般データ保護規則 (GDPR) を遵守するためのベストプラクティスを確立する、業界主導の自主的イニシアチブです。

当社はCCPA (カリフォルニア州消費者プライバシー法) にも準拠しており、カリフォルニア州在住のお客様に対してご自身の個人情報に関する完全な管理権を保証しています。当社のCCPA対応施策は以下の通りです。

• 収集する個人データの種類とその使用方法についての明確な開示
• データ削除の要求、収集データの確認、及び個人情報の販売拒否に関する選択肢の提供
• 個人データを保護し、カリフォルニア州のプライバシー関連法令を遵守するための厳格なセキュリティ対策の実施

当社はHIPAAにおける"business associate"として、保護対象保健情報 (PHI) を最高水準の機密性とセキュリティをもって取り扱っています。

• HIPAA規制に準拠した安全な方法でのPHIの処理・保管・送信
• 暗号化技術やアクセス制御を含む厳格な保護措置による、機密性の高い医療データの確実な保護