委託元から預かったデータの管理に関する公開規定（個人情報を含むデータの格納場所・バックアップ・サービス終了時の廃棄 等）

用語の説明（初出時のみ）

暗号化

第三者が読めない形に変えること（例：AES方式）。以後「暗号化」と表記します。

多要素認証（MFA）

パスワードに加え別の確認手段（例：ワンタイムコード）で認証する仕組み。以後「多要素認証」と表記します。

ログ

誰が・いつ・どのデータに触れたかの記録（アクセス履歴）。以後「ログ」と表記します。

基本方針

当社は次の方針に従って取り扱います。まず「目的外利用をしない」こと、そして「必要最小限の権限で運用する」ことを第一にします。加えて、受領から廃棄までの各段階でリスクを把握し、法令および契約上の義務を遵守します。個別契約が本規定と異なる場合は、当該契約を優先します。

役割と責任

当社の情報管理体制は次の通りです。管理責任者が全体を統括し、案件ごとに実務窓口を定めて受領・保管・返却・廃棄を管理します。再委託（外部委託）する場合は、機密保持や削除義務などを契約で定めます。

• 管理責任者：代表取締役 / 情報管理責任者 中山陽平
• 実務責任者：案件ごとに選定

受領と分類

受領時にデータの種類と「機微性（注意が特に必要か）」を評価し、管理区分を付与します。機微性が高いデータにはより厳しい制約を適用します。

格納場所（保管先）

当社の主な保管先は Google Workspace（Google Drive 等） です。クラウドサービスの性質上、データが冗長化のため複数リージョンに複製される場合がある点は予めご了承ください。

端末での保管は社用端末に限定し、ローカル保存が必要な場合は端末全体の暗号化と画面ロック、最新のセキュリティ適用を義務付けます。私用端末への保存は禁止します。

アクセス管理

アカウントは個人単位で付与し、共有を禁止します。多要素認証を必須とし、業務に必要な最小限の権限で運用します。退職や契約終了、長期間の未使用時は速やかにアカウントを無効化します。重要操作はログに記録し、定期的に点検します。

暗号化と通信

保管時はクラウド側の暗号化（サーバ側暗号化等）を有効にし、通信は TLS 1.2 以上で行います。共有リンクを発行する際は有効期限、閲覧権限、ダウンロード制御を行い、必要に応じてパスワードやワンタイムリンクを併用します。

再委託（サブプロセッサ）の取扱い

業務上必要な範囲で再委託先を利用します。再委託先とは機密保持、目的外利用の禁止、漏えい時の通知、データ削除義務などを契約で明確にします。主要な再委託先の区分は付録に記載します。

ログと監査

記録対象はアクセス、権限変更、共有設定変更、ダウンロードなどの重要操作です。標準の保存期間は 12か月 とし、月次でダイジェスト確認を実施、異常があれば原因を調査して是正します。

バックアップ

誤消去や障害に備え、Google Workspace のバージョン管理や自動バックアップ機能を用いて原則毎日バックアップを取得します。バックアップの保持は通常 30〜90 日の範囲で運用し、案件ごとの合意がある場合はそちらを優先します。復元手順のテストは年2回を目安に実施します。

利用・持ち出し・印刷

目的外利用は禁じます。オフラインでの持ち出しは最小限に限定し、ファイルは暗号化して扱います。印刷は必要最小限にとどめ、紙媒体の保管・廃棄を厳格に管理します。

保存期間と削除

法令や契約で保存義務がある場合はそちらに従います。その他の委託データは、目的達成または案件完了後に標準で 90 日以内に削除します（委託元の指示がある場合は指示に従います）。

インシデント（事故）対応

不正アクセス、紛失、誤送信、誤共有、マルウェア等を想定した手順を定めています。発見後は速やかに事実把握と影響範囲の特定を行い、漏えいの可能性がある場合は委託元へ連絡し、必要な報告や本人通知の要否を協議のうえ対応します。再発防止策を実施します。

サービス終了時の返却・廃棄

返却は委託元の指示に従い、指定の形式（例：暗号化ZIP＋別送のパスワード、SFTP、セキュア共有等）で行います。返却・検収後、当社保管分は標準で 60 日以内に完全削除します。クラウドのごみ箱・バージョン履歴・バックアップも保持期間に合わせて消去します。削除や媒体廃棄の証跡は保存し、要請があれば提示します。

本人からの請求・問い合わせ

当社は委託処理者として業務を行います。個人情報の開示・訂正・削除等の請求は原則として委託元の窓口にご連絡ください。当社に直接ご連絡いただいた場合は、委託元に取り次ぎます。

教育と見直し

担当者への定期的な教育を行い、技術・法令・業務の変化に応じて本規定を見直します。重要な変更は本ページで告知します。