セキュリティ
ホワイトペーパー

1. proost(プルースト)とは

株式会社ACSiONが提供する、顔写真付本人確認書類の撮影データと本人の写真データを画像処理技術により照合する仕組みを提供するプロダクトのことです。その他取得可能な情報と組み合わせることで厳格な本人確認を実施します。

2. 利用者との責任分界点

株式会社ACSiONの責任

株式会社ACSiONは、以下のセキュリティ対策を実施します。

• proostアプリケーションのセキュリティ対策
• proostアプリケーションに保管されたお客様データの保護
• proostアプリケーションの提供に利用するミドルウェア、OS、その他インフラのセキュリティ対策

お客様の責任

お客様は、以下のセキュリティ対策を実施する必要があります。

• 各利用者に付与されたパスワードの適切な管理
• proostアカウントの適切な管理（登録、削除、組織管理者権限の付与など）

3. データ保管場所

• お客様からお預かりしたデータは、日本国内に保管されます。

4. データの削除

• proost利用に関する契約が終了した場合、契約終了から12ヶ月以内に、お客様からお預かりしたデータは完全に消去されます。

5. ラベル付け機能

全般

• お客様の情報について
  proostは、お預かりした個人情報をご登録いただいたお客様毎にシステム内で適切に分類してお預かりしております。

6. 利用者登録および削除

• proostをご利用の個人のお客様は、ご契約の範囲内においていつでも自由にユーザーの登録・削除を行うことが可能です。

7. パスワードの配布方法

• パスワードについては、ご登録いただいたメールアドレスと携帯電話番号（SMS）に都度ワンタイムパスワードを送付いたします。

8. 暗号化の状況

全般

• データベースに保管される、お客様の各種情報（氏名、メールアドレス、ご登録の企業情報など）は、暗号化された状態でデータベースに保管されます。
• お客様の端末と、システムとの間のインターネット通信は、Transport Layer Securityによって暗号化されます。

9. 変更管理

• サービスのバージョンアップ情報を始めとした、各種の変更に関する情報は、下記のリンク先Webページより閲覧することが可能です。
• 個人のお客様向けには、下記リンク先より閲覧することが可能です。
  https://www.proost.io/

10. 手順書の提供

• 個人のお客様が利用できる手順書は、下記リンク先より閲覧することが可能です。
  https://www.proost.io/

11. バックアップの状況

全般

• データベースに保管される、お客様の各種情報（氏名、メールアドレス、各機能で利用するデータなど）は、日次でバックアップを取得しています。バックアップは、35日間保管されます。
• 但し、お客様によるバックアップデータの復元等に関する要望は、承っておりません。

12. ログのクロックに関する情報

• proostの サービス内で提供されるログは、タイムゾーンJST(UTC+9)で提供されます。
• ログの時間は、Microsoft社が提供するNTPサービスと同期しています。

13. 脆弱性管理に関する情報

• システム開発及びセキュリティ担当者は、システムで利用しているOS、ミドルウェア等に関する脆弱性情報を、定期的に収集しています。
• システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適用されます。

14. 開発におけるセキュリティ情報

• proostシステムの開発には、主にHTML, CSS, JavaScript等が用いられています。開発はFISCセキュリティガイドおよび社内で定められたコーディング規約等に従って実施されます。

15. インシデント発生時の対応

• お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止等）が発生した場合は、インシデントが発生してから72時間以内を目標に、下記リンク先にお知らせを発信いたします。
  https://www.proost.io/
• 情報セキュリティインシデントに関する問合せは、本セキュリティホワイトペーパー末尾の「システムサポート担当」窓口より受け付けています。

16. お客様データの保護及び第三者提供について

• お客様から預かったデータを適切に保護することは、株式会社ACSiONの責任です。ログデータを含むお客様データは、不正なアクセスや改ざんを防ぐため、システム開発管理者及び専用のオペレータ以外はアクセスできない、限られたアクセス権のもとで保管されます。
• 但し、裁判所からの証拠提出命令など、法的に認められた形でお客様のデータの提供を要請された場合、株式会社ACSiONは、お客様の許可なく、必要最小限の範囲で、お客様情報を外部に提供する可能性があります。

17. 適用法令

• お客様と株式会社ACSiONとの間の契約は、日本法に基づいて解釈されるものとします。

18. 認証

• 株式会社ACSiONは、情報マネジメントシステム認定センター(ISMS-AC)が運営する、ISMS適合性評価制度におけるISMS認証¹を取得しています（IS 736851 / ISO27001）。
• 株式会社ACSiONは、情報マネジメントシステム認定センター(ISMS-AC)が運営する、ISMS適合性評価制度におけるISMSクラウドセキュリティ認証²を取得しています（CLOUD 736852 / ISO27017）。

• ¹ https://isms.jp/lst/ind/
• ² https://isms.jp/isms-cls/lst/ind/

【ISMSクラウドセキュリティ認証登録範囲】
proost、Detecker の提供に係るクラウドサービスプロバイダとしてのシステム開発・運用、およびMicrosoft Azureのクラウドサービスカスタマとしての利用に関わるISMSクラウドセキュリティマネジメントシステム

19. 外部クラウドサービスの利用

• 株式会社ACSiONでは、次に示す機能を運用するために、外部のクラウドサービスを利用しています。

改訂履歴

2021年6月9日　1.1版