株式会社コドモン(以下、当社)は、クラウドサービスプロバイダとして、クラウドサービス及び関連サービスの提供に必要な情報セキュリティ水準を維持向上させるため、情報セキュリティ基本方針に加え、以下のクラウドセキュリティ基本方針を定め、お客様に安心、安全、高品質なサービスを提供し、信頼に応えるべく、定めたルールを遵守すると同時に継続的に改善します。
クラウドセキュリティ(ISO/IEC 27017)登録範囲は、以下をご参照ください。
【クラウドサービスプロバイダ】保育・教育施設向け業務支援システム「コドモン」
【対象部署】プロダクト開発部
当社は、クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項を定め、サービス開発・提供を行います。また、お客様からのご要望により、当社がクラウドサービスに適用する情報セキュリティ要求事項を、セキュリティ上影響のない範囲において開示します。
当社は、クラウドサービスに対して定期的にリスクアセスメントを実施します。また、リスクアセスメントで特定されたリスクに対し、適切な管理策を実施します。
当社のクラウドサービスは、クラウドサービスプロバイダにより提供される仮想化された環境などを利用し、お客様毎に論理的に隔離した領域を提供します。
クラウドサービスプロバイダは、情報へのアクセスとセキュリティ保護、マルチテナント環境管理、ユーザの利用環境、特権的アクセス、地理的所在地による制約を考慮し、当社が求めるセキュリティレベルを満たすプロバイダを選定しております。
当社は、クラウドサービス上に保存されるお客様の情報資産を、日本国内において保管し、適切に管理します。
また、利用規約、サービス仕様書等に定める場合、技術的な問題解決やサービス提供において必要とする場合を除き、お客様の情報資産へは許可無くアクセスしません。アクセスを行う場合、必要最低限の人員に制限し作業します。
当社は、クラウドサービスへの認証において、適切な認証方式を提供します。また、お客様のアカウントは、当社が定める利用規約、サービス仕様書等に基づき、お客様の責任により作成・管理いただきます。
当社は、お客様に影響するクラウドサービスの内容変更に関して、サービスサイト上へ掲載します。変更作業等を行う場合は、影響を最低限にするために、影響度の少ない時間の作業を徹底します。
当社は、クラウドサービス上にある情報資産の機密性、完全性、可用性を維持します。
当社は、お客様に影響のあるクラウドサービスに対する不正アクセス、違反、情報漏えい等のインシデント発生時において、お客様に通知し、並びに第三者による調査、フォレンジック結果及び法的資料等を情報共有します。
通知の手段は当社が定める利用規約、サービス仕様書等に基づきます。
当社の内部関係者による不正行為等のリスクに対応するために、適切な教育・訓練を定期的に実施します。必要に応じて、監査やぜい弱性調査等を行い、お客様にご提供しているクラウドサービスの運用・管理に問題ないことを評価します。
当社は、本ポリシーに基づき、情報セキュリティ対策に取り組むことを宣言します。
日付 2023年12月14日
役職 代表取締役
署名 小池 義則