Legal
セキュリティ概要 / Security Overview
最終更新: 2026-04-29
本ページは、JapanMarketing合同会社(以下「当社」)が提供するDemandPress(以下「本サービス」)に おける技術的および組織的安全管理措置を記載します。本ページはDPAAnnex IIとして参照されます。
第1条 — インフラ・ホスティング
- 本サービスはGoogle Cloud Platform(asia-northeast1 / us-central1)およびCloudflare(global edge)でホストされます。
- Edge proxy: Cloudflare Workers(DDoS / WAF / Bot Management 適用)
- Application: Cloud Run(コンテナ・最小権限service account)
- Database: Cloud SQL PostgreSQL(プライベートIP・暗号化)
- Object storage: Cloudflare R2(暗号化)
- Queue: Cloud Tasks / Pub/Sub
第2条 — 暗号化
- 通信: TLS 1.2 以上、HSTS 有効
- 保存: AES-256(GCP / Cloudflare のマネージド暗号化)
- アプリ層: PII(push token、API key 等)はAES-256-GCMで追加暗号化
- 鍵管理: Google Cloud KMS / Secret Manager
第3条 — アクセス制御
- 全社員 SSO(Google Workspace)+ MFA 必須
- 本番環境への管理アクセスはIAMロール最小権限 + audit log
- 顧客データへのアクセスはサポート対応時のみ、顧客の事前同意または重大インシデント時に限ります。
- API key / secretは最低90日ごとにローテーション、退職時即時失効
第4条 — 監視・ロギング
- 集約ログ: Cloud Logging
- 監視: Cloud Monitoring + Sentry(アプリエラー)
- アラート: 5xx / latency / 認証失敗急増 / 異常な BigQuery クエリ
- 監査ログ保持: 13ヶ月
第5条 — 開発プロセス
- ソースコード: GitHub プライベートリポジトリ
- コードレビュー:
main/stagingブランチへの直push禁止、PR必須 - CI: GitHub Actions(lint / test / build / type check / security scan)
- 依存関係: Dependabot + npm audit / pip audit
- secret スキャン: gitleaks(pre-commit + CI)
第6条 — 脆弱性管理
- Critical: 24時間以内に対応
- High: 7日以内
- Medium / Low: 30日以内
- 第三者ペネトレーションテスト: 本番公開後6ヶ月以内に初回実施予定
第7条 — バックアップ・DR
- DB: 自動バックアップ daily、point-in-time recovery 7日
- backup retention: 30日 rolling
- 障害復旧目標: RPO 1時間、RTO 4時間
第8条 — インシデント対応
- 重大インシデント発生時、責任者に1時間以内に通知
- 影響範囲特定後、影響を受ける顧客に72時間以内に通知(GDPR Article 33 / APPI 26条準拠)
- public status pageで稼働状況を公開(status.demand-press.com)
- 事後分析(postmortem)を7営業日以内に公開
第9条 — 物理セキュリティ
クラウドプロバイダ(GCP / Cloudflare)の物理セキュリティに依存します。 各社のSOC 2 / ISO 27001 認証を受領済みです。
第10条 — 従業員教育
- 入社時セキュリティオリエンテーション
- 年1回の情報セキュリティ研修
- フィッシング演習
第11条 — データ削除
顧客の解約または削除指示後、30日以内に論理削除します。 backupからは30日 rotation で消滅します。
第12条 — AI providerの取扱い
- AI provider(Anthropic 等)への送信はzero-retention APIのみを使用します。
- providerとの契約により、顧客データを学習に使用しないことを保証しています。
- 顧客はdashboardからAI機能を無効化できます。
利用中のAI providerおよびその他副処理者の一覧は副処理者リストを参照してください。
第13条 — 第三者監査
- SOC 2 Type II: 本番公開12ヶ月後を目標に取得予定
- ISO 27001: 顧客需要に応じて検討
第14条 — お問い合わせ・脆弱性報告
- セキュリティ全般: security@demand-press.com
- 脆弱性報告(responsible disclosure):security@demand-press.comにPGP暗号化を推奨。受領後5営業日以内に一次返信します。
最終改定日:2026年4月29日