セキュリティポリシー — Security

基本方針

当社は、お客様からお預かりする情報資産の機密性（Confidentiality）・完全性（Integrity）・可用性（Availability）を確保するため、組織的・人的・物理的・技術的の4側面から多層的な安全管理措置を講じます。

通信の暗号化

• 本サービスとお客様端末間の通信は TLS 1.2 以上 により暗号化します（HSTS 有効）。
• ブラウザ・APIアクセスはすべて HTTPS のみを許可し、HTTP はリダイレクトにより無効化します。
• 古い暗号スイート（RC4、3DES 等）は無効化済みです。

データの保管と暗号化

• データベース・オブジェクトストレージは AES-256 による保管時暗号化（at-rest encryption） を有効化しています。
• バックアップデータも同等の暗号化を施し、地理的に分離した複数リージョンに保管します。
• 暗号鍵は KMS（鍵管理サービス） により管理し、定期ローテーションを行います。

決済情報の取扱い

本サービスにおけるクレジットカード情報は、PCI DSS 準拠の決済代行（Stripe） のセキュア環境において処理・保管されます。当社サーバには、カード番号・セキュリティコード等のカード情報を一切保存しません。

アクセス制御・認証

• 本番システムへのアクセスは、業務上必要な最小限の従業者に限定し 役割ベースアクセス制御（RBAC） を適用します。
• 本番環境への接続には 多要素認証（MFA） および VPN を必須化しています。
• すべての特権操作は監査ログとして記録し、第三者改ざん防止のうえ一定期間保管します。
• 退職・配置転換時のアクセス権限の取消は速やかに実施します。

脆弱性管理・侵入検知

• 本番環境に対し、脆弱性スキャンを定期自動実行しています。
• OS・ミドルウェア・ライブラリは、CVSS スコアおよび影響度に応じて速やかにパッチを適用します。
• WAF（Web Application Firewall） および侵入検知の仕組みを導入し、24時間モニタリングを行います。
• 外部の専門業者による 第三者ペネトレーションテスト を年1回以上実施します。

インフラ・物理セキュリティ

本サービスは、Amazon Web Services（AWS）および Google Cloud のクラウドインフラ上で稼働しています。これらの基盤データセンタは、ISO/IEC 27001、SOC 1/2、PCI DSS 等の認証を取得しており、入退館管理・監視カメラ・耐震耐火・冗長電源などの物理的安全管理が講じられています。

バックアップと事業継続

• 本番データは 日次フルバックアップ＋継続的増分バックアップ を取得します。
• バックアップデータは、地理的に分離した別リージョンへ複製します。
• 定期的にリストア訓練を実施し、リカバリ手順の有効性を検証します。
• 大規模障害時の RTO 4時間／RPO 1時間 を目標値として運用しています。

外部プラットフォーム連携の安全性

当社は、メルカリ・ヤフオク・Amazon・楽天等の外部プラットフォームと連携する際、OAuth 2.0 などの公式な認証フローを用いるか、公開API・公開情報の範囲内のみで動作します。お客様の外部プラットフォームのIDやパスワードを当社サーバへ保存することは ありません。

従業者の管理・教育

• 全従業者・業務委託先は、入社・契約時に 機密保持契約（NDA） を締結します。
• 年次のセキュリティ教育およびフィッシング訓練を実施します。
• 個人情報・機密情報を取り扱う業務は、責任者の承認を必要とする 職務分離原則 を適用します。

インシデント対応

当社は、情報セキュリティインシデントの発生または兆候を検知した場合、以下の手順により対応します。

1. 被害の最小化（影響範囲の特定、対象システムの隔離）
2. 原因の調査・記録
3. 影響を受けるお客様への 速やかな通知（不必要な遅延なく実施）
4. 個人情報の漏えい等が発生または発生したおそれがある場合、個人情報保護委員会への報告
5. 再発防止策の策定と実施

本ポリシーの改定

当社は、本サービスの運用状況および脅威環境の変化に応じ、本ポリシーを定期的に見直し、改定します。重要な改定がある場合、本サービス上に掲示します。