情報セキュリティ基本方針

最終更新日：2025年6月11日

合同会社Aroza（以下「当社」）は、SaaS「ChatPivot」を含む受託開発・コンサルティング等、当社が提供する全サービスにおいて、お客様ならびに社会からの信頼を確保するため、以下のとおり情報セキュリティ基本方針を定め、役員および関係者全員がこれを遵守します。

1. 適用範囲

本方針は、当社が保有・管理する情報資産および当社が取り扱う顧客情報を対象とし、全従業員（業務委託を含む）に適用します。

2. 目的

当社は、情報資産の機密性・完全性・可用性を確保し、法令順守と事業継続を両立させることで、お客様の信頼とサービス品質を守ります。

3. 責任体制

代表社員を最高情報セキュリティ責任者（CISO）とし、情報セキュリティの推進・維持・改善に関する最終責任を負います。

4. 遵守する法令・規格

個人情報保護法、マイナンバー法
サイバーセキュリティ基本法、不正アクセス禁止法
資金決済法、割賦販売法、PCI DSS（Stripe側準拠）
ISO/IEC 27001（ISMS）取得を将来的に目指します。
IPA「中小企業の情報セキュリティ対策ガイドライン」

5. リスクアセスメント

年1回および重大変更時に、資産 × 脅威 × 脆弱性の組合せでリスク評価を実施します。
リスクスコアが 15 以上を「高リスク」と定義し、優先的に対策を講じます。

6. 技術的・組織的安全管理措置

アクセス管理：最小権限原則、管理者 MFA、ゼロトラスト方針
暗号化：TLS1.2 以上での通信、AES-256 によるデータベース暗号化
ログ・監査：API／管理画面の監査ログを 1 年保存し、SIEM で監視
脆弱性管理：年2回の脆弱性診断、月次パッチ適用
BCP/DR：マルチ AZ 配置、日次バックアップ、年1回のリストア試験

※従業員セキュリティ教育は、今後従業員雇用時に実施計画を策定します。

7. 事業継続計画（BCP）

目標復旧時間（RTO）：24時間以内
目標復旧時点（RPO）：12時間以内

8. 外部委託管理

業務委託・パートナー企業と契約する際は、事前評価を行い、NDA を締結し、適切な情報セキュリティ要求事項を定めます。

9. コンプライアンスおよび内部監査

内部監査を年1回実施し、法令・規格・本方針の遵守状況を点検し、必要な是正措置を講じます。ISO/IEC 27001 の外部審査受審も視野に入れます。

10. インシデント対応および報告窓口

情報セキュリティインシデントを検知した場合、速やかにCISOへ報告し、原因究明・影響評価・対策を実施します。外部からの脆弱性報告は下記メールアドレスで受け付けます。

セキュリティ連絡窓口：support@aroza-inc.com

11. 方針の見直し

本方針は、技術動向・法令改正・事業内容の変化に応じて定期的に見直し、継続的改善を図ります。

2025年6月11日

合同会社Aroza 最高情報セキュリティ責任者（CISO）岩沖真之祐