Mix-Axis / 情報セキュリティポリシー

Legal

情報セキュリティポリシー

本ポリシーは、Mix-Axis(以下「当サービス」)における情報セキュリティの基本方針を定めるものです。当サービスは、ISMSの考え方に基づき、情報資産の機密性・完全性・可用性を確保し、ユーザーおよびステークホルダーの信頼に応えます。

1. 基本方針

Mix-Axisは、MIX制作を支援するサービスとして、以下の基本方針のもとに情報セキュリティを推進します。

  1. 機密性の確保:情報資産へのアクセスを適切に制御し、権限のない者が情報にアクセスできないよう管理します。
  2. 完全性の維持:情報資産の正確性・完全性を保護し、不正な改ざんや破損を防止します。
  3. 可用性の確保:サービスの継続的な提供を維持し、障害発生時の迅速な復旧体制を整備します。
  4. 法令遵守:個人情報保護法・不正アクセス禁止法・サイバーセキュリティ基本法等、関連するすべての法令・規制を遵守します。
  5. 継続的改善:情報セキュリティリスクを定期的に評価し、対策を継続的に改善します。

2. 適用範囲

  • 当サービスが管理・運営するすべてのシステム・インフラ
  • 当サービスが収集・保有するすべての情報資産(ユーザー情報・サービスデータ等)
  • 当サービスの運営に関わるすべての業務委託先

3. 情報資産の分類と管理

3-1. 情報資産の分類

機密情報ユーザーの個人情報・決済関連情報(保護レベル:最高)
社内情報業務データ・システム設計情報(保護レベル:高)
一般情報公開コンテンツ・マーケティング素材(保護レベル:標準)

3-2. 個人情報の管理

  • ユーザーの個人情報は、プライバシーポリシーに基づき厳格に管理します。
  • 決済情報(クレジットカード情報)はPCI DSS準拠のStripe, Inc.が管理し、当サービスのサーバーには保存しません。
  • 個人情報へのアクセスは、業務上必要な範囲に限定します(最小権限の原則)。

4. 技術的セキュリティ対策

4-1. 通信の保護

  • すべての通信はSSL/TLS暗号化(HTTPS)により保護します。
  • セキュリティ証明書は常に最新の状態を維持します。

4-2. 認証・アクセス制御

  • パスワードはハッシュ化して保存します(平文保存禁止)。
  • セッション管理にはCSRFトークンによる保護を実施しています。
  • 管理者アクセスには適切な認証を適用します。

4-3. インフラセキュリティ

  • サーバーは信頼性の高いデータセンターに設置しています。
  • 定期的なセキュリティパッチの適用・依存関係の更新を行います。
  • 本番環境・開発環境を分離し、本番データへのアクセスを制限します。

4-4. データバックアップ

  • 重要データは定期的にバックアップを実施します。
  • バックアップデータは安全に保存します。

5. リスク管理

5-1. リスクアセスメント

情報セキュリティリスクを定期的に特定・評価し、リスクに応じた対策を実施します。

不正アクセス認証強化・アクセスログ監視
データ漏洩暗号化・アクセス権限管理
マルウェア依存パッケージ管理・定期スキャン
サービス停止冗長化・バックアップ・障害対応手順の整備
ソーシャルエンジニアリングセキュリティ意識向上

5-2. 脆弱性管理

  • 使用するソフトウェア・ライブラリの脆弱性情報を継続的に監視します。
  • 重大な脆弱性が発見された場合は、優先的に対応します。

6. インシデント対応

6-1. インシデントの定義

  • 個人情報・機密情報の漏洩・流出
  • システムへの不正アクセス
  • マルウェア感染
  • サービスへの攻撃(DDoS等)
  • 内部不正・誤操作によるデータ損失

6-2. 対応手順

  1. インシデント検知
  2. 初動対応(被害拡大防止・影響範囲の特定)
  3. 関係者への報告(ユーザー・監督官庁等)
  4. 原因調査・復旧対応
  5. 再発防止策の策定・実施
  6. 事後レビュー・ポリシー改訂

6-3. 個人情報漏洩時の対応

個人情報の漏洩が発生または発生の可能性がある場合、個人情報保護法に基づき、以下の対応を行います。

  • 当該ユーザーへの速やかな通知
  • 個人情報保護委員会への報告(法定要件に該当する場合)
  • 被害拡大防止のための緊急措置

7. 業務委託先の管理

Stripe, Inc.PCI DSS Level 1準拠
サーバーホスティング事業者適切なセキュリティ基準を確認済み

委託先に対しては、適切な情報セキュリティ対策が実施されていることを確認します。

8. 法令・規制への準拠

  • 個人情報の保護に関する法律(個人情報保護法)
  • 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
  • サイバーセキュリティ基本法
  • 特定商取引に関する法律(特定商取引法)
  • 割賦販売法
  • 電気通信事業法
  • その他関連する国内外の法令・ガイドライン

9. セキュリティポリシーの維持・改善

  1. 本ポリシーは、年に1回以上定期的に見直しを行います。
  2. 重大なインシデントが発生した場合、または法令・技術環境が大きく変化した場合は、随時見直しを行います。
  3. 見直しの結果、重要な変更がある場合はサービス内にて通知します。

10. お問い合わせ・セキュリティ報告

セキュリティ報告先info@mix-axis.com
件名【セキュリティ】の件名を付けてご送信ください
受付時間24時間受付(回答は営業日に順次対応)
脆弱性を発見された場合は、公開前にご報告いただけますと幸いです(責任ある開示 / Responsible Disclosure)。


制定日:2025年1月1日
最終更新日:2026年4月9日