セキュリティポリシー（情報セキュリティ基本方針）

最終更新日：2025年5月31日

ダイレクトグロース合同会社（以下「当社」）は、当社が提供するクラウド型EC支援サービス「Direct Growth Cloud」（以下「本サービス」）の運営にあたり、情報資産の保護と継続的な安全管理を経営課題のひとつとして認識しています。当社は以下の基本方針に基づき、技術的・組織的な情報セキュリティ対策を実行します。

第1条　情報セキュリティの定義

情報の機密性、完全性、可用性を確保することを指し、顧客データ、自社業務データ、インフラ情報、個人情報を含みます。

第2条　管理体制

• 情報セキュリティ管理責任者の任命
• 権限分掌の徹底と業務分離
• 最小権限の原則（PoLP）によるアクセス制限

第3条　物理的・組織的管理

• クラウド基盤での業務遂行、社内端末保存の禁止
• 国際認証取得クラウド利用（例：ISO/IEC 27001）
• セキュリティ研修の定期実施

第4条　技術的管理

• 通信の暗号化（SSL/TLS）
• データ暗号化・ログ監査
• CI/CDによるコード管理と本番環境の分離
• 脆弱性スキャンとパッチ適用
• OAuth2.0とIAMによるAPI制御

第5条　アクセス制御と認証

• 役割に応じたアクセス制限
• IP制限・多要素認証（MFA）
• アクセスログの保存・監査（90日以上）

第6条　データの保持と廃棄

• 保持は業務・法令・契約に基づく必要最小限
• 契約終了後30日以内にデータ削除
• 復元不可能な方法での安全な廃棄

第7条　インシデント対応

• 速やかな通知・Amazonへの報告
• 原因調査・再発防止策・再構築
• Amazon通知要件に従い24時間以内に初期報告

第8条　継続的改善

• 年1回以上のポリシー見直しと内部監査
• 半期ごとの従業員教育
• 必要に応じた即時アップデート

第9条　外部サービス・委託先の管理

• NDA等契約責任条項のあるサービスを採用
• 業務単位でのアクセス制限・秘密保持契約

第10条　法令・規格との適合

• 個人情報保護法
• Amazon SP-API 開発者契約
• ISO/IEC 27001（参考）
• OWASP ASVS / Top 10

お問い合わせ窓口

ダイレクトグロース合同会社
E-mail：dg-it@direct-growth.jp