At rest
保存時暗号化
- 方式
- AES-256-GCM
- 対象
- データベース、ファイルストレージ、バックアップ、ログ — 全て
- 鍵管理
- [AWS KMS / Google Cloud KMS]、HSM バックエンド
- 鍵ローテーション
- [365 日ごとの自動ローテーション]
Security & Compliance
人事データを扱うシステムに求められる、すべての要件を満たしています。ISO/IEC 27001 認証取得、個人情報保護法準拠、国内データセンター、労働関連法令対応。
Certifications & frameworks
第三者監査・公的フレームワーク・国内法令の遵守状況を、すべて明示します。
Certification
Compliance
Data residency
Labor compliance
※ Pマーク(プライバシーマーク)取得の有無は、ローンチ時に確定。取得していれば 5 つ目のバッジとして追加。
Data residency & sovereignty
人事データは、日本国内のデータセンターで保管され、日本国内のスタッフがアクセス管理を行います。海外法域からの開示要求や強制アクセスのリスクを、構造的に排除しています。
顧客データのすべては、日本国内のデータセンター([プロバイダ名]・[リージョン名])で保管されます。バックアップも日本国内の別リージョン([リージョン名])で保管され、日本国外に複製されることはありません。
顧客データへのアクセス権限を持つのは、日本国内に居住し、人事CREW と直接雇用契約を結ぶ正社員のみです。海外拠点・海外居住の従業員、業務委託先従業員は、顧客データへのアクセス権を持ちません。
クラウドインフラ提供者([プロバイダ名])を除き、顧客データの取扱を第三者に委託していません。データ処理に関するすべての業務は人事CREW 自社で実行します。
人事CREW の運営主体は日本法人([社名])であり、データ取扱に関する準拠法は日本法、紛争解決は東京地方裁判所を専属管轄とします。海外の法執行機関からの直接的なデータ開示要求の対象とはなりません。
Encryption & data protection
保存時・通信時のすべてのデータを、現時点で公開されている最強レベルの方式で暗号化します。鍵管理は専用のキーマネジメントサービスで分離管理しています。
At rest
In transit
Field-level
Backup
Access control & authentication
ロールベースのアクセス制御、多要素認証、シングルサインオン、完全な監査ログ — エンタープライズで求められるアクセス管理を標準提供します。
業務役割に応じた権限セットを提供。標準ロール(管理者・人事担当者・現場マネージャー・閲覧専用など)に加え、組織固有のカスタムロール定義も可能です。最小権限の原則に基づき、デフォルトでは最小限の権限のみが付与されます。
管理者アカウントには MFA を必須として強制。一般ユーザーには MFA を推奨設定とし、組織ポリシーで強制可能。対応方式: TOTP(Google Authenticator 等)、WebAuthn(物理セキュリティキー)。SMS による MFA は推奨しません(SIM スワッピング脆弱性のため)。
SAML 2.0 / OpenID Connect に対応。主要な IdP(Microsoft Entra ID / Google Workspace / Okta / OneLogin)との連携実績があります。SCIM 2.0 によるユーザー・グループの自動プロビジョニングにも対応。
組織単位で、許可された IP アドレス範囲からのみアクセスを許可する設定が可能。本社・特定の店舗・特定の地域からのみアクセスを限定できます。
すべてのユーザー操作(ログイン、データ参照、データ変更、設定変更)を、改竄不可能な形式で記録。ログには操作者、操作内容、操作対象、タイムスタンプ、IP アドレス、デバイス情報を含みます。ログ保管期間 [X] 年(法令上の要件 [X] 年を上回る期間)、CSV/API による SIEM 連携、ハッシュチェーンによる改竄検知。
Operational security
脆弱性管理、インシデント対応、事業継続 — 24 時間 365 日の運用体制で、エンタープライズの可用性とセキュリティ要件に応えます。
Vulnerability management
Incident response
Business continuity
Personnel security
Japanese law compliance
人事データの取扱に適用される、日本の法令と業務慣行のすべてに対応しています。法改正への追随、解釈通達への対応、顧客の運用変更サポートまで、専任チームが伴走します。
Documents & contact
セキュリティ質問票への回答、追加ドキュメント、SLA に関する個別問い合わせには、専任チームが営業日 2 日以内に対応します。
Primary
本ページの全項目を 1 つの PDF にまとめた、レビュアー向けの正式文書。
PDF / [XX] ページ / 四半期ごとに更新
セキュリティ概要資料をダウンロード(無料・登録不要) →Privacy
法定の個人情報保護方針の全文。
Web ページ + PDF
個人情報保護方針を確認する →Certificate
認証機関発行の認証書のスキャン。
Optional
SOC 2 Type 2 を保有しない代わりに、内部統制の概要を整理した独自のサマリードキュメント。
PDF / 登録なし
内部統制サマリーをダウンロード →カテゴリ別ルーティング
応答 SLA
通常の問い合わせ: 営業日 2 日以内に初回応答
脆弱性報告: 営業日 1 日以内、評価結果を [X] 日以内に通知
セキュリティインシデント疑い: 24 時間以内に応答
人事CREW は、人事データの取扱に求められるセキュリティ・コンプライアンスの責任を、最も真剣に受け止めるベンダーであることを目指しています。本ページに記載された内容について、追加のご質問・追加のドキュメントの依頼を歓迎します。