GoDaddy

セキュリティ基準
改定日:2018 年 5 月 9 日

I. 技術的及び組織的措置

弊社は顧客の情報の保護に努めております。  弊社はベストプラクティス、導入コスト、処理の性質、規模、状況、目的、自然人の権利や自由に対するリスクの可能性及び深刻度を考慮し、次の技術的及び組織的措置を取ります。  措置の決定の際、システムの機密保持性、完全性、稼働率、回復力が考慮されます。物理的または技術的インシデント後の迅速な回復が保証されています。

II. データプライバシープログラム

弊社のデータプライバシープログラムは、国際データガバナンスストラクチャを維持し、ライフサイクルを通して情報の安全を守るために開発されました。このプログラムは、プライバシープラクティスやセキュリティ対策の導入を監督するデータ保護チームにより実施されています。 弊社はデータプライバシープログラム及びセキュリティ基準の効果を定期的にテストし評価しています。

1.機密保持:「機密保持とは、個人データが不正な開示から保護されていることを意味します」  

弊社は顧客の個人データの機密保持のため、さまざまな物理的及び論理的措置を取っています。これらの措置には次のものがあります。   

物理的セキュリティ  

  • 導入されている物理的なアクセスコントロールシステム (バッジアクセスコントロール、セキュリティイベントモニタリングなど) 
  • アラームや適切な場合は CCTV モニタリングを含む監視システム
  • クリーンデスクポリシー及びコントロール (退席中のコンピューターのロック、キャビネットのロックなど)  
  • 訪問者のアクセス管理
  • 物理的メディア及び書類のデータの破壊 (シュレッダー、消磁など) 

アクセスコントロール及び不正アクセスの防止

  • 適用されるユーザーアクセス制限、 及び職務分掌の原理に基づき提供・審査されるロールによるアクセスパーミッション
  • 強力な認証及び承認手段 (複数段階認証、証明書による認証、自動無効化・ログオフなど) 
  • 中央パスワード管理及び強力かつ複雑なパスワードポリシー (最短文字数、文字の複雑性、パスワードの期限など)   
  • メール及びインターネットへのアクセス制御
  • アンチウィルス管理
  • 侵入防止システム管理

暗号化  

  • 強力な暗号プロトコルによる外部及び内部通信の暗号化
  • 休止中の PII/SPII データの暗号化 (データベース、共有ディレクトリなど)   
  • 企業の PC 及びノートパソコン用の完全なディスク暗号化
  • ストレージメディアの暗号化
  • 企業ネットワークへの遠隔接続は VPN で暗号化されています
  • 暗号キーのライフサイクルの安全確保

データ移行

  • アプリケーション、デバッグ、セキュリティログの PII/SPI 最少化
  • 個人の直接の特定を防止するための個人データの偽名化
  • 機能 (テスト、ステージング、ライブ) ごとの保管データの分離
  • ロールベースのアクセス権ごとのデータの論理的分離
  • 個人データの定義済みデータ保持期間

セキュリティ試験

  • 重要な企業ネットワーク及び個人データをホスティングしているプラットフォームの侵入試験
  • 定期的なネットワーク及び脆弱性スキャン

2.完全性:「完全性とは、データが正しいこと (完全であること)、及びシステムが機能することを指します」完全性という言葉が「データ」という言葉に関連して使用された場合、データが完全なものであり変更されていないことを意味します」  

個人データの完全性を維持するため、アクセスコントロールに加え、次のような適切な変更及び記録管理コントロールが行われています。    

変更とリリースの管理  

  • 変更及びリリース管理プロセス (影響分析、承認、テスト、セキュリティレビュー、ステージング、モニタリングなど)  
  • ロールと本番環境への役割に基づく (職務分掌) アクセス提供

ログ記録とモニタリング

  • アクセスの記録及びデータへの変更
  • 中央監査及びセキュリティログ
  • データ転送の完全性及び正確性のモニタリング (エンドツーエンドチェック)

3.可用性:「サービス及び IT システム、IT アプリケーション、IT ネットワーク機能、及び情報の利用可能性は、ユーザーが常に思い通り利用できる場合に保証されています」    

弊社はサービス及びサービス内のデータが常に利用できるよう、適切な継続性及びセキュリティ措置を導入しています。    

  • 重要なサービスに適用される定期的なフェールオーバーテスト
  • クリティカルシステムのパフォーマンス・利用可能性の徹底したモニタリング及び報告
  • インシデント対応プログラム
  • 重要なデータの複製またはバックアップ (クラウドバックアップ/ハードディスク/データベース複製など) 
  • 実施されるソフトウェア、インフラストラクチャ、セキュリティの計画メンテナンス (ソフトウェアアップデート、セキュリティパッチなど)   
  • オフサイトまたは別の場所に設置されている冗長性と回復力に優れたシステム (サーバークラスター、ミラー DB、高稼働性のセットアップなど)
  • 無停電電源、障害に対する冗長性を備えたハードウェア及びネットワークシステムの使用  
  • 配置済みの警報、セキュリティシステム
  • 重要な場所における配置済みの物理的保護措置 (サージ保護、上げ床、冷却システム、煙探知、消火システムなど) 
  • 可用性を維持するための DDOS 対策
  • 読み込み及び負荷試験

4. データ処理の指示「データ処理の指示とは、個人データがデータコントローラー及び会社の関連措置に基づいてのみ処理されるようにすることを指します」  

弊社は個人データが顧客の希望及び指示に従って処理されるよう、社内プライバシーポリシー及び契約を制定し、従業員に定期的なプライバシートレーニングを提供しています。   

  • 従業員契約内のプライバシー及び機密保持規約
  • 従業員の定期的なデータプライバシー及びセキュリティトレーニング
  • 指示権を維持するための下請業者との契約の適切な契約条項
  • 外部サービスプロバイダーの定期プライバシーチェック
  • 顧客へのデータ処理設定の完全コントロールの提供
  • 定期セキュリティ監査


法的な規約および方針の翻訳版は、英語版の読者がその内容を理解しやすくするという便宜を図ることのみを目的として提供しているものです。法的な規約および方針の翻訳版を提供する目的は、法的拘束力のある契約を成立させたり、英語版に代わる法的に有効な規約等を設けたりすることではありません。紛争または対立が生じた場合、当事者間の関係には、英語版の法的な規約および方針のみが適用され、英語版の条項が、他言語版の条項に優先します。