人事CREW

Security & Compliance

IT・法務部門が、すぐに承認できる仕組み。

人事データを扱うシステムに求められる、すべての要件を満たしています。ISO/IEC 27001 認証取得、個人情報保護法準拠、国内データセンター、労働関連法令対応。

  • ISO/IEC 27001:2022
  • 個人情報保護法準拠
  • 国内データセンター
  • 労働関連法令対応

Certifications & frameworks

認証と準拠フレームワーク。

第三者監査・公的フレームワーク・国内法令の遵守状況を、すべて明示します。

  • Certification

    ISO/IEC 27001:2022

    認証範囲
    人事CREW サービスの開発・運用・カスタマーサポート業務
    認証取得日
    [YYYY 年 MM 月]
    認証機関
    [認証機関名]
    認証登録番号
    [番号]
    認証書を確認する(PDF)
  • Compliance

    個人情報保護法準拠

    準拠フレームワーク
    個人情報の保護に関する法律(個人情報保護法)
    適用範囲
    人事CREW を通じて取り扱う個人情報の全範囲
    対応ドキュメント
    個人情報取扱規程、安全管理措置一覧、委託先管理方針
    個人情報保護方針を確認する
  • Data residency

    国内データセンター

    データ保管場所
    日本国内のデータセンターでのみ保管
    クラウド基盤
    [AWS 東京リージョン / GCP 東京リージョン]
    データ転送ポリシー
    顧客データは日本国外に転送されません
    バックアップ所在地
    日本国内の別リージョン(大阪リージョン等)
    データレジデンシーポリシーを確認する
  • Labor compliance

    労働関連法令対応

    対応法令
    労働基準法、労働契約法、電子帳簿保存法、電子署名法
    対応範囲
    雇用契約の電子化、労働条件通知書、入退社書類、勤怠記録
    労働関連法令対応一覧を確認する

※ Pマーク(プライバシーマーク)取得の有無は、ローンチ時に確定。取得していれば 5 つ目のバッジとして追加。

Data residency & sovereignty

データは日本に。アクセスも日本に。

人事データは、日本国内のデータセンターで保管され、日本国内のスタッフがアクセス管理を行います。海外法域からの開示要求や強制アクセスのリスクを、構造的に排除しています。

  • 事実 01

    物理的所在

    顧客データのすべては、日本国内のデータセンター([プロバイダ名]・[リージョン名])で保管されます。バックアップも日本国内の別リージョン([リージョン名])で保管され、日本国外に複製されることはありません。

  • 事実 02

    アクセス権限を持つ人員

    顧客データへのアクセス権限を持つのは、日本国内に居住し、人事CREW と直接雇用契約を結ぶ正社員のみです。海外拠点・海外居住の従業員、業務委託先従業員は、顧客データへのアクセス権を持ちません。

  • 事実 03

    委託先と再委託

    クラウドインフラ提供者([プロバイダ名])を除き、顧客データの取扱を第三者に委託していません。データ処理に関するすべての業務は人事CREW 自社で実行します。

  • 事実 04

    法域と紛争解決

    人事CREW の運営主体は日本法人([社名])であり、データ取扱に関する準拠法は日本法、紛争解決は東京地方裁判所を専属管轄とします。海外の法執行機関からの直接的なデータ開示要求の対象とはなりません。

Encryption & data protection

暗号化は、業界標準を上回るレベルで。

保存時・通信時のすべてのデータを、現時点で公開されている最強レベルの方式で暗号化します。鍵管理は専用のキーマネジメントサービスで分離管理しています。

At rest

保存時暗号化

方式
AES-256-GCM
対象
データベース、ファイルストレージ、バックアップ、ログ — 全て
鍵管理
[AWS KMS / Google Cloud KMS]、HSM バックエンド
鍵ローテーション
[365 日ごとの自動ローテーション]

In transit

通信時暗号化

方式
TLS 1.3(TLS 1.2 以下からの接続は受け付けない)
証明書
[認証局名]発行、[X] ビット RSA / ECDSA
Perfect Forward Secrecy
対応(ECDHE 鍵交換)
HSTS
max-age=63072000(2 年)、includeSubDomains、preload

Field-level

データベース内のフィールドレベル暗号化

対象フィールド
マイナンバー、銀行口座情報、扶養家族情報など、特に機微度の高いフィールド
方式
AES-256、アプリケーション層で暗号化(データベース管理者も復号できない)

Backup

バックアップ暗号化

方式
AES-256(保存時暗号化と同方式)
保管場所
日本国内別リージョン、論理的分離
保管期間
[X] 日
リストアテスト
[四半期に 1 回]

Access control & authentication

アクセスは、必要最小限の権限で。

ロールベースのアクセス制御、多要素認証、シングルサインオン、完全な監査ログ — エンタープライズで求められるアクセス管理を標準提供します。

  1. 機能 01

    ロールベースアクセス制御(RBAC)

    業務役割に応じた権限セットを提供。標準ロール(管理者・人事担当者・現場マネージャー・閲覧専用など)に加え、組織固有のカスタムロール定義も可能です。最小権限の原則に基づき、デフォルトでは最小限の権限のみが付与されます。

  2. 機能 02

    多要素認証(MFA)

    管理者アカウントには MFA を必須として強制。一般ユーザーには MFA を推奨設定とし、組織ポリシーで強制可能。対応方式: TOTP(Google Authenticator 等)、WebAuthn(物理セキュリティキー)。SMS による MFA は推奨しません(SIM スワッピング脆弱性のため)。

  3. 機能 03

    シングルサインオン(SSO)

    SAML 2.0 / OpenID Connect に対応。主要な IdP(Microsoft Entra ID / Google Workspace / Okta / OneLogin)との連携実績があります。SCIM 2.0 によるユーザー・グループの自動プロビジョニングにも対応。

  4. 機能 04

    IP アドレス制限

    組織単位で、許可された IP アドレス範囲からのみアクセスを許可する設定が可能。本社・特定の店舗・特定の地域からのみアクセスを限定できます。

  5. 機能 05

    監査ログ

    すべてのユーザー操作(ログイン、データ参照、データ変更、設定変更)を、改竄不可能な形式で記録。ログには操作者、操作内容、操作対象、タイムスタンプ、IP アドレス、デバイス情報を含みます。ログ保管期間 [X] 年(法令上の要件 [X] 年を上回る期間)、CSV/API による SIEM 連携、ハッシュチェーンによる改竄検知。

Operational security

事故が起きないように。起きても、被害を最小化できるように。

脆弱性管理、インシデント対応、事業継続 — 24 時間 365 日の運用体制で、エンタープライズの可用性とセキュリティ要件に応えます。

Vulnerability management

脆弱性管理

第三者ペネトレーションテスト
年 [X] 回、独立した専門会社による実施
脆弱性スキャン
[週次の自動スキャン]、新規デプロイ時の自動スキャン
依存ライブラリのモニタリング
SBOM 管理、CVE 公開時の自動通知と修正フロー
バグバウンティ
[実施有無 — プラットフォーム名]

Incident response

インシデント対応

対応チーム
[体制名]、24 時間 365 日の検知体制
検知から初動対応
[X] 分以内
顧客通知 SLA
重大なインシデント認知から [X] 時間以内に顧客通知
事後報告書
重大インシデントは [X] 営業日以内に詳細報告書を提供

Business continuity

事業継続 / 災害復旧

稼働率 SLA(月次)
[99.X]%
RTO(復旧時間目標)
[X] 時間以内
RPO(復旧時点目標)
[X] 時間以内
災害復旧テスト
[年 2 回] の本番相当環境での切替テスト
マルチリージョン
本番=東京 / DR=大阪、自動フェイルオーバー対応

Personnel security

従業員セキュリティ

入社時
身元確認、機密保持契約締結、年次セキュリティ研修(必修)
退職時
アクセス権限の即時取り消し、退職後の機密保持義務継続
本番管理者アクセス
最小限 [X] 名以下に限定、すべての操作を二人体制で実施

Japanese law compliance

日本の法令に、日本の専門性で。

人事データの取扱に適用される、日本の法令と業務慣行のすべてに対応しています。法改正への追随、解釈通達への対応、顧客の運用変更サポートまで、専任チームが伴走します。

  1. 個人情報保護法

    • 利用目的の通知・公表、利用目的の制限、適正な取得の各要件に対応
    • 第三者提供の制限、委託先の監督に関する手続きの組み込み
    • 開示請求・訂正請求・利用停止請求への対応プロセス
    • 漏洩等報告(令和 4 年改正で義務化)への準備体制
    • 仮名加工情報・匿名加工情報の取扱規程
  2. マイナンバー法

    • 特定個人情報の取扱に関する安全管理措置(完全実装)
    • マイナンバー取扱者の権限分離、アクセスログの追加保護
    • 税務署・健康保険組合・年金事務所への電子申請データの安全な生成
  3. 労働基準法 / 労働契約法

    • 労働条件通知書の電子化(書面交付の代替)に必要な要件への対応
    • 36 協定、変形労働時間制、フレックスタイム制の管理データ構造
    • 雇用契約書の電子化と長期保管
  4. 電子帳簿保存法

    • 入退社書類の電子保存要件(改ざん防止・可視性・検索性)への対応
    • 2024 年 1 月施行の電子取引データ保存義務化への完全対応
    • タイムスタンプの自動付与
  5. 電子署名法

    • 雇用契約書・労働条件通知書への電子署名対応
    • 当事者型電子署名・事業者型電子署名の両対応
    • 電子署名の長期検証性(LTV)の確保
  6. 健康保険法 / 厚生年金保険法 / 雇用保険法 / 労災保険法

    • 4 つの社会保険手続きに必要なデータ項目の網羅
    • e-Gov 電子申請への API 連携
    • 被扶養者の取扱、外国人従業員の特殊ケースへの対応
  7. 出入国管理及び難民認定法(技能実習生・特定技能)

    • 在留資格・在留期限の管理と更新アラート(60 日前 / 30 日前 / 7 日前)
    • 外国人雇用状況届出書の生成
    • 特定技能・技能実習に固有の届出書類への対応

Documents & contact

より詳しい情報は、こちらから。

セキュリティ質問票への回答、追加ドキュメント、SLA に関する個別問い合わせには、専任チームが営業日 2 日以内に対応します。

セキュリティ問い合わせフォーム

カテゴリ別ルーティング

  • セキュリティ質問票への回答依頼(顧客の調達プロセス向け)
  • SLA の個別調整依頼
  • 脆弱性報告(セキュリティリサーチャー向け)
  • 内部統制・監査資料の追加依頼
  • その他のセキュリティに関するお問い合わせ

応答 SLA

通常の問い合わせ: 営業日 2 日以内に初回応答

脆弱性報告: 営業日 1 日以内、評価結果を [X] 日以内に通知

セキュリティインシデント疑い: 24 時間以内に応答

セキュリティ担当に問い合わせる

人事CREW は、人事データの取扱に求められるセキュリティ・コンプライアンスの責任を、最も真剣に受け止めるベンダーであることを目指しています。本ページに記載された内容について、追加のご質問・追加のドキュメントの依頼を歓迎します。