セキュリティの取り組み
当社では、お客さまの大切な情報を守るために、さまざまなセキュリティ対策を行っています。このページでは、その取り組みを分かりやすくご紹介します。
1. 何を守っているのか
当社のサービス(Smile9・GaruBase)では、次のような情報をお預かりしています。
- お客さまの会社名、担当者名、メールアドレス、電話番号
- サービスのご利用状況(予約内容、利用履歴など)
- お問い合わせやサポートでお伝えいただいた内容
これらの情報を、不正アクセス(※1)や情報漏洩(※2)から守るために、組織全体で対策を行っています。
2. どんな脅威から守っているのか
インターネット上では、次のような脅威があります。
- 不正アクセス:許可されていない人がシステムに侵入しようとすること
- 情報漏洩:お客さまの情報が外部に流出してしまうこと
- データの改ざん:保存されている情報を勝手に書き換えられること
- マルウェア(※3):ウイルスなどの悪意あるプログラムによる攻撃
当社では、これらの脅威を防ぐために、複数の対策を組み合わせています。
3. 具体的にどう守っているのか
データの暗号化(※4)
お客さまの情報は、第三者が読み取れないように暗号化しています。
- Smile9・GaruBase:通信時と保存時の両方で暗号化
- お問い合わせ・サポート記録:Notion、HubSpotで管理し、これらのサービスでも暗号化されています
本人確認の強化
正しい利用者だけがアクセスできるよう、本人確認を行っています。
- GaruBase:多要素認証(※5)に対応(ID・パスワードに加え、追加の確認で本人であることを確かめます)
- Smile9:現在は多要素認証に対応していませんが、ID・パスワードによる認証とアクセス制御(※6)で保護しています
従業員への教育と管理
- 入社時と定期的に、情報セキュリティの研修を実施
- 全従業員と機密保持契約(※7)を締結
- 必要な人だけが必要な情報にアクセスできるよう、権限を管理(最小権限の原則(※8))
オフィスの出入り管理
- オフィスへの入退室を管理し、許可された人のみが立ち入れるようにしています
- サーバー(※9)は、IaaS(※10)やSaaS(※11)を利用しており、サーバー室の物理的な管理は各委託先企業が行っています
記録と監視
- システムの操作ログ(※12)を記録し、異常な動きがないか監視
- 定期的にログを確認し、不審な活動があれば速やかに対処
脆弱性(※13)への対応
- システムの弱点が見つかった場合、優先度を付けて速やかに修正
- 定期的にセキュリティ診断を実施
4. 安全性の証明
ISMS(※14)認証
当社は、情報セキュリティマネジメントシステム(ISMS)の国際規格ISO/IEC 27001に基づいて、情報を管理しています
- 責任者を置き、役割を明確化
- ルールと手順を文書化し、全員が守れる仕組みを整備
- 定期的に内部監査を実施し、改善を継続
セキュリティ診断と監査
当社は、以下の頻度でセキュリティの点検を行っています:
- 脆弱性診断:年1回、社内で脆弱性診断を実施
- 内部監査:年1回、ISMS認証に基づく内部監査を実施
- 日常的な監視:24時間365日、システムのログを監視し、異常を検知
インシデント対応
万一、セキュリティインシデント(情報漏洩など)が発生した場合:
- 速やかな検知と対応:システム監視により異常を即座に検知し、対応チームが調査を開始します
- 影響範囲の特定:どの情報が影響を受けたか、速やかに調査します
- お客さまへの通知:重大なインシデントの場合は、個人情報保護法に基づき、速やかにお客さまに通知します
- 再発防止:原因を分析し、再発防止策を実施します
お客さまへの通知が必要な場合は、法令に従い適切な手段で速やかに行います。
5. 委託先の管理
当社は、サービス提供のために複数のクラウドサービス(委託先(※15))を利用しています。
- 委託先の認証状況や公開情報を確認し、安全水準を満たすことを確認
- 定期的に設定の確認や見直しを実施
- リスクに応じて対策を更新
委託先や国外でのデータ取り扱いについて、詳しくは次のページをご覧ください。
委託先と国外での取扱いについて
6. お問い合わせ
セキュリティに関するご質問やご不明な点がございましたら、プライバシーポリシーのお問い合わせ先をご覧ください。
プライバシーポリシー(2026年7月1日改定)
脚注
※1 不正アクセス:許可されていない人がシステムやデータに侵入しようとすること。
※2 情報漏洩:お客さまの情報が外部に流出してしまうこと。
※3 マルウェア:コンピューターウイルスなど、悪意を持って作られたプログラムの総称。
※4 暗号化:データを第三者が読めない形に変換すること。通信中や保存中のデータを保護します。
※5 多要素認証:ID・パスワードに加えて、スマートフォンのアプリやSMSなど、複数の方法で本人確認を行う仕組み。
※6 アクセス制御:利用できる人や、その人ができる操作範囲を制限する仕組み。
※7 機密保持契約:秘密情報を外部に漏らさないことを約束する契約。
※8 最小権限の原則:業務に必要な範囲だけの権限を与え、不要な情報へのアクセスを制限すること。
※9 サーバー:データを保存したり、サービスを動かすためのコンピューター。
※10 IaaS(Infrastructure as a Service):インターネット経由でサーバーやストレージなどの基盤を利用するサービス。
※11 SaaS(Software as a Service):インターネット経由でソフトウェアを利用するサービス(例:Notion、HubSpot)。
※12 ログ:だれが・いつ・何をしたかを記録したもの。異常を検知するために使います。
※13 脆弱性:システムやソフトウェアの弱点。攻撃に悪用される前に修正する必要があります。
※14 ISMS(Information Security Management System):情報を安全に扱うための国際的な仕組み。ISO/IEC 27001という規格に基づきます。
※15 委託先:業務を外部の事業者に任せること。当社の指示と管理のもとで、必要な範囲のデータを扱ってもらいます。
最終更新日:2026年7月1日

