第1条(総則)

本セキュリティポリシー(以下、「本ポリシー」といいます。)は、株式会社THEMISYS(以下、「当社」といいます。)が提供するテミジカノート(以下「本サービス」といいます。)の情報セキュリティ管理の方針を定めるものとします。本ポリシーの目的は、ユーザーの情報を適切に保護し、本サービスの安全な運用を確保することにあります。

第2条(適用範囲)

本ポリシーは、本サービスを提供・運営する当社、本サービスのコア技術の提供者である株式会社ESS、および本サービスを利用する全てのユーザー、従業員、業務委託先に適用されます。

第3条(情報セキュリティの基本方針)

当社は、本サービスに関する情報資産の機密性、完全性、可用性を確保することを最優先とします。
当社は、情報セキュリティに関する法令、規制、ガイドラインを遵守します。
当社は、情報セキュリティのリスクを定期的に評価し、必要な対策を講じます。

第4条(問い合わせ情報の取り扱いと目的)

問い合わせ情報とは、法人名、氏名、メールアドレス、電話番号、問い合わせ内容を指します。
当社にて問い合わせ情報を管理いたします。サービス品質向上のため株式会社ESSへ法人名、問い合わせ内容のみを共有いたします。

第5条(契約者情報の取り扱いと目的)

契約者情報とは、法人名、氏名、メールアドレス、電話番号、契約ライセンス数を指します。
当社にて契約者情報を管理いたします。ライセンス数管理のため株式会社ESSへ法人名、契約ライセンス数のみを共有いたします。

第6条(ユーザーデータの送信先と目的)

本サービスでは、以下のデータをMicrosoft Azureへ送信します。

  • 文字起こしされたテキストデータ
  • ユーザーが設定したシチュエーションデータ
  • 校正後のテキストデータ

上記3項目については、Microsoft AzureのOpenAIServiceでAIを用いた要約文作成を行います。送信したデータは都度破棄されクラウド上に保存されません。また処理結果の監査ログにはユーザーデータを含まず、セキュリティ監査の目的でのみ使用されます。AIの学習には一切利用されません。

第7条(個人情報の第三者提供)

当社は前項の第4条、第5条、第6条で明記した以外の第三者に個人情報を提供しません。

第8条(アクセス管理)

本サービスのアクセス権限は、業務上必要な範囲内に限定します。
ユーザーアカウントの管理を適切に行い、不正アクセスを防止します。
管理者権限の利用は厳格に制限し、多要素認証(MFA)を導入します。

第9条(データ保護)

ユーザーの個人情報および機密情報は、暗号化技術を用いて保護します。
Microsoft Azureのセキュリティ機能を活用し、データの漏洩、改ざん、消失を防ぎます。
バックアップポリシーを定め、定期的にデータのバックアップを実施します。ユーザーデータのバックアップはスマートフォンおよびSDカードのみで行います。
ユーザーがクラウドへ送信したデータについては、クラウドでの処理実施後に速やかに破棄し、クラウド上にユーザーデータを残しません。

第10条(通信の安全性)

本サービスの通信はすべて暗号化し、セキュアな通信プロトコル(HTTPS、TLS1.2以上)を使用します。
ネットワークの監視を行い、不正な通信を検出・対応します。

第11条(脆弱性管理)

本サービスのアプリケーションおよびクラウド環境の脆弱性を定期的に診断します。
セキュリティパッチの適用を迅速に行い、既知の脆弱性への対応を徹底します。
セキュリティインシデントの発生を未然に防ぐため、定期的なペネトレーションテストを実施します。

第12条(ログ管理)

本サービスのクラウドのアクセスログ、操作ログ、エラーログを適切に記録・管理します。
監査のため、一定期間ログを保持し、不正アクセスやセキュリティインシデントの監視を行います。

第13条(インシデント対応)

セキュリティインシデントの発生時には、速やかに影響範囲を特定し、適切な対策を講じます。
インシデント発生時の対応手順を事前に策定し、従業員および関係者に周知します。
インシデント対応の記録を保持し、今後の改善に役立てます。
重大なインシデント(情報漏洩、長時間サービス停止):24時間以内に対応開始
軽微なインシデント(軽微な不具合):3営業日以内に対応開始

第14条(従業員のセキュリティ教育)

当社の従業員および関係者に対し、定期的に情報セキュリティに関する教育・研修を実施します。
ユーザーの情報を取り扱う全ての者が、本ポリシーを遵守することを義務付けます。

第15条(外部委託先の管理)

本サービスに関連する業務を外部委託する場合、委託先のセキュリティ対策を確認し、適切な管理を行います。
委託先に対し、本ポリシーに基づく情報セキュリティ管理を求め、契約に明記します。

第16条(ポリシーの見直し)

本ポリシーは、技術の進化、法令改正、リスクの変化に応じて定期的に見直します。
見直しにより変更があった場合は、適切な手段で関係者に通知します。

第17条(附則)

2025年1月10日 制定

以上