情報セキュリティポリシー
  1. プライバシー

    LegalSifterは、情報の完全性と機密性がお客様のビジネス運営において不可欠であり、またLegalSifterの存在意義でもあると考えています。LegalSifterの情報セキュリティポリシーは、個人情報のみならず、お客様の各種契約、企業機密データ(例えば売上予測データなど)、人事データなど、LegalSifterが処理するすべての機密・運営データ(以下総称して「機密データ」と言います)に適用されます。LegalSifterでは、お客様のデータはすべて秘密情報として取り扱われ、以下に解説する方法により保護されます。
    LegalSifterは複数の戦略を用いてお客様の情報保護に努めており、また日々強まるセキュリティ強化への要請に応えるため、処理方法およびツールの改善を継続的に行っています。LegalSifterではクラウドサービス市場を世界的にけん引する『Amazon Web Services』(以下「AWS」と言います)上に、AWSの完全サポートの枠組みの中で、LegalSifterのテクノロジーを展開しています。
    LegalSifterは常時怠りなく、お客様のデータのプライバシーの保護に全力を尽くします。
  2. データセンターの安全保護

    AWSデータセンターは最新設備を整えており、最も厳重な物理的手順により管理統制されています。これらの設備には以下が含まれます:
    アクセス許可を持つすべてのスタッフは、データセンター階層に立ち入るにあたり、2回以上の2要素認証を受けます。
    すべてのデータセンターは24時間有人警備体制を敷いており、警備カメラによる監視、侵入探知システム、その他の電子的警備設備を整えています。
    外部からの訪問者や業者は、必ず身分証明を提示したうえ、継続的に付添人の監視下に置かれます。
    AWSにおける管理体制についてより詳しくは『AWS データセンター管理体制』をご確認ください。
  3. 電源、環境、火災探知・消火

    十分な予備電力を備え、安定的に保守可能な電源が365日、24時間休むことなく供給されます。
    電力供給に事故があった場合、無停電電源装置(UPS)と予備発電機が作動開始します。
    サーバおよびハードウェアは常時一定の湿度・温度に保たれています。
    すべてのデータセンター環境において、自動火災探知・消火装置を装備しています。
    すべての電子機器、機械設備、生命維持設備につき、予防的な保守活動を実施しています。
  4. データ保存機器の廃棄時措置

    データ保存機器を廃棄する際には、お客様のデータが許可を得ない者の目に触れることがないよう、米国国防総省文書「National Industrial Security Program Operating Manual(国家産業保全プログラム運用マニュアル)」(DoD 5220.22-M)または米国国立標準技術研究所規格である「Guidelines for Media Sanitization(記録媒体消去ガイドライン)」(NIST 800-88)に準拠した技術が用いられます。
    電磁的記録媒体の廃棄に当たっては、消磁措置を施したうえ、物理的に破壊します。
  5. 継続性

    Amazon Incident Management(事故管理)チームが年中無休24時間体制でインシデント(事故)を探知し、被害を抑え解決に向けた管理を行います。
  6. ネットワークセキュリティ

    管理された各インターフェース層においてアクセス管理リストを設置し、トラフィックを管理しています。
    HTTPまたはHTTPSを経由してAWSアクセスポイントに接続する際には、盗聴、改ざん、メッセージ偽造からアクセスを保護するよう設計された暗号プロトコル、Secure Sockets Layer(SSL)が用いられます。
    特異または不正な活動を探知する多種多様な自動監視システムが稼働しています。
    『AWSセキュリティ手順』の全文は、『AWSセキュリティ白書およびコンプライアンス』にてご確認いただけます。
  7. 災害時復旧

    LegalSifterは、お客様のデータへの継続的なアクセス、サービスの提供、また契約上のサービスレベル条件(SLAs)を満たすサービスの提供を確保するため、LegalSifterのシステム上に、代替的/冗長インターネットアクセスなどをはじめとする一定の冗長性を常備しています。
  8. 従業員に関する方針

    データの安全性確保には、チームワークが不可欠です。LegalSifterの従業員は各自、「LegalSifter情報セキュリティポリシー」を遵守するよう義務付けられています。各スタッフは毎年、情報セキュリティ方針について研修を受けたうえ誓約書に署名します。
    「LegalSifter情報セキュリティポリシー」は、全従業員がワークステーションおよびアカウントを利用した実務において遵守すべきルールを定めています。
    LegalSifterで現在働く従業員はすべて、身元調査をクリアしており、また新規の従業員については、身元調査に合格することがLegalSifter入社条件となります。
    LegalSifterでは、すべての従業員に対し、入社後30日以内に『セキュリティに対する心構え』研修を修了することを義務付けています。
    何らかの機密データ(たとえばPIIなど)につき、その機密性、完全性または利用可能性が損なわれるようなセキュリティ上の違反行為が見つかった場合、従業員は即座にISOに報告する義務を負っています。
    退職者および契約が終了した業者は、運営データおよび機密データを含むすべての情報システムへのアクセス権を速やかに撤回され、また保有している機密データがあればそれらをすべて返却するよう義務付けられています。
    従業員、臨時職員、ボランティアやコンサルタント、管理機関職員、またはFDRの新規雇用または新規契約にあたり、LegalSifterは事前に、また採用後毎月『DHHS OIG List of Excluded Individuals and Entities(米国保健社会福祉省監察総監室 除外対象個人・団体リスト:LEIEリスト)』および『GSA Excluded Parties Lists System(米国調達局 除外者リストシステム:EPLS)』との照会を行い、これらの個人または事業体が、アメリカ合衆国が実施する事業への参加資格を排除されていないことを確認しています。
  9. 内部アクセスの提供

    LegalSifterのシステムおよび資産は、許可を受けたユーザー、手順、または機器のみがアクセスすることができます。
    新規従業員は、上司/管理職の承認を得たうえでアクセスが認められ、また必要に応じ、対象となるシステム/アプリケーションの所有者の承認を受けます。ユーザーのアクセス権限は各自の任務に応じ、必要最小限の原則に基づいて許可されます。
    アクセス権限は、文書化されたセキュリティ上の役割に基づき定められ、またその役割は四半期毎に見直されます。
    LegalSifterは、すべてのAWSアカウントおよびコンソールへのログインにつき多要素認証を求めるほか、Google Suiteアカウントには2要素認証を求めています。
  10. パスワードおよび多要素認証

    LegalSifterは、すべての組織およびLegalSifterユーザーによる多要素認証をサポートしています。LegalSifterにおける多要素認証をクリアするには、ユーザーのパスワードを知り、またユーザーの携帯電話を持っていることが必須となります。
    パスワードは15文字以上、複数要素からなる文字列であることが求められ、さらにユーザーは過去のパスワードを再利用できるまでに新たな固有のパスワードを12回設定する必要があります。
    ユーザーは、初回ログイン時、固有のパスワードを事前に設定することが求められます。
    誤入力が5回続くとアカウントがロックされます。
  11. データの暗号化

    LegalSifterは、保存時および転送時のデータを暗号化します。保存時に暗号化されるデータには、データベースのインスタンスに用いられる下層ストレージ、およびその自動バックアップも含まれます。
    リードレプリカやスナップショットなどの保存データ、S3ストレージバケット、アプリケーションサーバ・ストレージはすべて、業界標準のAES-256暗号化アルゴリズムを用いて暗号化され、そのキー(鍵)は『AWS Key Management Service(AWS暗号化キー管理サービス)』により管理されます。
    転送中のデータは、LegalSifterではTLS 1.2を用いて暗号化しています。LegalSifterはQualys SSL Labs社による診断にて、最高位の『グレードA+』評価を受けています。
    バックエンド同士のデータ転送は、必要に応じてホワイトリスト登録された接続ポイントのみを経由したプライベート・ネットワーク上で行われます。
  12. マルチテナント方式

    LegalSifterは、マルチテナント方式のSaaS (software-as-a-service)としてソリューションを展開しています。LegalSifterは、固有のログインキーを用いることにより、各ユーザーが自己のアカウントに属するデータにのみアクセスできるよう構成されています。
  13. リスク管理

    ITセキュリティ上のリスクは、LegalSifterが所有または管理する資産およびITシステムにつき、その特定・評価・査定が行われます。
    LegalSifterのITシステムが晒されるリスクについては、内部・外部的手段を用い、システム全体を対象とした網羅的なリスク査定を毎年実施しています。
  14. プライバシーシールド認定取得

    LegalSifterは、『EU-U.S. Privacy Shield Framework(EU・米国間プライバシーシールド)』および『Swiss-U.S. Privacy Shield Framework(スイス・米国間プライバシーシールド)』の枠組みに積極的に参加し、その認定を受けています。
    『Privacy Shield Framework(プライバシーシールドの枠組み)』は、米国商務省と欧州委員会、および米国商務省とスイス政府との間で独自に取り決められた枠組みであり、大西洋をまたぐ両地域の企業同士が個人データをやり取りする際にデータ保護要件の遵守メカニズムを提供することにより、EU諸国およびスイスと米国間の商取引を支援することを目的としています。
    米国に拠点を置く組織は、米国商務省国際貿易局(ITA)が管理するPrivacy Shield制度に参加することにより、妥当性の判定を得ることができます。米国に拠点を置く組織がいずれかのPrivacy Shield Frameworkに参加するためには、本ウェブサイトを通じて米国商務省に対し自らの証明を行ったうえ、同枠組みの要件を遵守する旨を公に誓約することが求められます。
LegalSifterに関するお申し込み・お問い合わせはコチラから

LegalSifterに関する
お申し込み・お問い合わせ

貴社名
ご担当者名
E-Mail
電話番号
内容
TandemSprint, Inc.
弁護士法人ファースト&タンデムスプリント法律事務所

TOP