Page Top

資料請求
お問い合わせ

セキュリティポリシー

security policy

Meta!Live Stock(メタライブストック) > セキュリティポリシー

株式会社ONE LIVE(以下、「当社」といいます。)は、金属リサイクル業に特化したクラウド型販売・在庫管理システム「Meta!Live Stock」(以下、「本サービス」といいます。)を提供するにあたり、お客様からお預かりする情報資産の保護を最重要の経営課題と位置づけています。
本ポリシーは、お客様に安心して本サービスをご利用いただくため、当社が実施するセキュリティに関する取り組みを定めたものです。

1. 基本方針
当社は、お客様の業務データ(在庫情報、取引情報、仕入・売上データ、帳票データ等)を適切に保護するため、組織的・技術的・物理的な安全管理措置を講じ、情報セキュリティの維持・向上に継続的に取り組みます。
2. 対象となる情報資産
本ポリシーが対象とする情報資産は以下の通りです。

1. お客様が本サービスに登録・入力した業務データ(在庫、仕入、売上、加工、出荷等)

1. お客様のアカウント情報(メールアドレス等)

1. 本サービスの利用に伴い発生するログデータ

1. 帳票データ(納品書、請求書等)

1. その他本サービスの運用に関連する一切の情報

3. データの保護

3.1 通信の暗号化
本サービスにおけるお客様とサーバー間の全ての通信は、TLS 1.3により保護されています。第三者による通信内容の傍受・改ざんを防止します。

3.2 保存データの暗号化
お客様の機密データは、データベースのAES暗号化機能を使用し、カラム単位で暗号化して保存されています。これにより、万が一データベースに不正アクセスがあった場合でも、機密情報の解読を防止します。

3.3 データの分離(マルチテナント)
本サービスは、お客様ごとにデータを行レベルで論理的に分離して管理しています。他のお客様のデータにアクセスすることはできない設計となっています。

3.4 データの保管場所
お客様のデータは、日本国内に所在するデータセンターに保管されます。お客様の許可なく国外にデータを移転することはありません。なお、災害対策用のバックアップデータについては、データ保全の目的で海外リージョンにも暗号化して保管しています。

4. アクセス制御

4.1 認証
本サービスへのログインには、メールアドレスに送信される認証コードによるメール認証方式を採用しています。パスワード方式は採用しておらず、パスワードの漏洩・使い回しに起因するリスクを排除しています。認証コードは一定時間で失効し、試行回数にも制限を設けています。

4.2 権限管理
1. お客様側:本サービスの権限設定機能により、ユーザーごとに操作可能な範囲を制限できます。
1. 当社側:お客様のデータへのアクセスは、業務上必要な最小限の担当者に限定し、アクセス権限を厳格に管理しています。

4.3 セッション管理
一定時間操作がない場合、セッションはタイムアウトとなり、再度ログインが必要となります。

4.4 ログ管理
本サービスへのアクセスログ及び操作ログを記録し、不正アクセスの検知、原因調査、及び監査に活用します。操作ログの保管期間は3年間とします。

5. インフラストラクチャの安全性

5.1 クラウド基盤
本サービスは、国際的なセキュリティ認証(ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、SOC 2 Type I)を取得したクラウド基盤上で運用されています。
また、本サービスの開発・運用を委託する事業者は、ISO/IEC 27001(ISMS)を取得しています。

5.2 ネットワークセキュリティ
1. ファイアウォールによる不要な通信の遮断
1. WAF(Webアプリケーションファイアウォール)による攻撃の検知・防御
1. DDoS攻撃に対する防御措置

5.3 システムの冗長性・可用性
1. データベースはマルチマスター冗長構成を採用し、単一障害点を排除しています。
1. 高い可用性を確保しています。(SLA稼働率:99.5%)

5.4 物理的セキュリティ
本サービスのサーバーが設置されているデータセンターでは、以下の物理的セキュリティ措置が講じられています。
1. 入退室管理(生体認証等)
1. 24時間365日の監視体制
1. 災害対策(耐震・防火・無停電電源装置等)

6. データのバックアップと復旧

6.1 定期バックアップ
お客様のデータは、30分ごとに全体バックアップを自動実施し、データの消失リスクに備えています。

6.2 バックアップデータの保管
バックアップデータは国内外の2拠点に保管し、災害時のデータ保全にも対応しています。バックアップデータの保持期間は5日分です。

6.3 復旧目標
障害発生時には、以下の目標に基づき迅速な復旧に努めます。
1. 目標復旧時間(RTO):24時間以内
1. 目標復旧地点(RPO):最大30分以内(30分ごとのバックアップに基づく)

7. 法定記録の保存

7.1 保存対象
本サービスで管理する以下の記録は、関連法令に基づき所定の期間保存します。
1. 本人確認記録:本人特定事項(氏名・住居・生年月日等)、確認方法、確認日時、確認実施者等
1. 取引記録:取引の年月日・時刻、品目・数量・特徴、価額、支払方法等

7.2 保存期間
関連する法令(古物営業法、金属盗対策法、犯罪収益移転防止法等)の中で最も長い保存期間(7年間)を基準として、本人確認記録及び取引記録を保存します。

7.3 保存に関する措置
1. 保存期間内のデータは削除できない設計とします。
1. 記録の改ざんを防止するため、過去データの上書きを禁止し、変更がある場合は付記により対応します。
1. 保存期間経過後のデータの取扱いについては、お客様の判断に基づき対応します。

8. ソフトウェアセキュリティ

8.1 セキュアな開発
本サービスの開発においては、セキュアコーディングの原則に基づき、脆弱性の混入を防止する開発プロセスを採用しています。

8.2 脆弱性管理
1. WAFによる既知の攻撃パターンの防御を実施しています。
1. 本サービスに使用するOS、ミドルウェア、ライブラリについて、セキュリティパッチを適時適用しています。
1. 既知の脆弱性情報を収集し、影響の有無を評価します。

8.3 脆弱性診断
外部機関によるセキュリティ診断(脆弱性スキャン・ペネトレーションテスト等)の導入を検討しており、セキュリティ水準の更なる向上に努めてまいります。

9. 障害対応・セキュリティインシデントへの対応

9.1 障害対応体制
1. 障害対応時間:検知から48時間以内に対応開始
1. 対応可能時間帯:平日 9:00〜18:00
1. 休日・深夜の障害:翌営業日から対応

9.2 インシデント対応体制
情報セキュリティに関する事故(不正アクセス、データ漏洩、サービス障害等)の発生に備え、インシデント対応体制を整備しています。

9.3 対応プロセス
インシデント発生時には、以下のプロセスに従い対応します。
1. 検知・初動対応 — 異常の検知、被害拡大の防止
1. 影響範囲の特定 — 影響を受けるデータ・お客様の調査
1. 原因の究明 — 根本原因の分析
1. お客様への通知 — 影響を受けるお客様へ速やかに報告
1. 復旧 — サービスの正常化
1. 再発防止 — 対策の策定と実施

9.4 通知
お客様のデータに影響を及ぼすインシデントが発生した場合、判明後48時間以内にお客様に通知いたします。

10. 委託先の管理
本サービスの開発・運用にあたり、業務の一部を外部事業者に委託しています。委託先に対しては以下の管理を実施しています。

1. 委託先の選定時におけるセキュリティ水準の評価(ISO/IEC 27001取得を確認済み)

1. 当社と同等のセキュリティ基準の遵守を求める措置

11. 従業員の管理

11.1 秘密保持義務
当社の従業員は、お客様の情報に関する秘密保持義務を負っています。

11.2 セキュリティ教育
従業員に対して、情報セキュリティに関する教育・啓発を定期的に実施し、セキュリティ意識の向上に努めます。

11.3 退職時の措置
従業員の退職時には、アクセス権限の速やかな削除、及び秘密保持義務の継続を確認します。

12. 事業継続計画(BCP)
当社は、データベースの冗長化、定期的な自動バックアップ、遠隔地へのバックアップ保管など、実質的な事業継続対策を講じております。今後、正式なBCP文書の策定にも取り組んでまいります。
13. お客様側のセキュリティ対策のお願い
本サービスを安全にご利用いただくため、お客様におかれましても以下の対策を推奨いたします。

1. ご登録メールアドレスの適切な管理(第三者と共有しないこと)

1. ご利用端末のOS・ブラウザを最新の状態に保つこと

1. 不審なメールやリンクへの注意

1. 退職者のアカウントの速やかな無効化

1. 認証コードを第三者に教えないこと

14. 法令の遵守
当社は、以下の法令及びガイドラインを遵守し、情報資産の適切な管理に努めます。

1. 個人情報の保護に関する法律(個人情報保護法)

1. 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)

1. 古物営業法

1. 盗難特定金属製物品の処分の防止等に関する法律(金属盗対策法)

1. 犯罪による収益の移転防止に関する法律(犯罪収益移転防止法)

1. その他関連法令及びガイドライン

15. データの第三者提供の制限
当社は、以下の場合を除き、お客様の業務データを第三者に提供することはありません。

1. お客様の同意がある場合

1. 法令に基づく場合

1. 人の生命、身体又は財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき

なお、個人情報の取扱いについては、当社「個人情報保護方針(プライバシーポリシー)」をご参照ください。

16. サービス解約時のデータの取扱い
お客様がサービスを解約された場合、法令に基づく保存義務のあるデータを除き、当社所定の期間経過後に速やかにデータを削除いたします。データ削除に関する詳細は、サービス利用規約に定めるものとします。
17. ポリシーの見直し
当社は、本ポリシーの内容を定期的(年1回以上)に見直し、社会情勢・技術動向の変化に応じて改定します。改定した場合は、当社ウェブサイトにて公表します。