情報セキュリティポリシー

1. 基本方針

1.1 目的

本ポリシーは、許可申請Pro（以下「本サービス」）が取り扱う情報資産を適切に保護し、 情報セキュリティを確保するための基本方針を定めるものです。

1.2 適用範囲

本ポリシーは、本サービスの運営に関わるすべての役員、従業員、委託先に適用されます。 また、本サービスで取り扱うすべての情報資産（顧客情報、車両情報、申請データ等）を対象とします。

1.3 基本原則

• 機密性：許可された者のみが情報にアクセスできることを確保する
• 完全性：情報が正確かつ完全であることを確保する
• 可用性：許可された者が必要なときに情報にアクセスできることを確保する

2. 情報資産の分類と管理

2.1 車検証閲覧APIで取得する情報

国土交通省 車検証閲覧APIより取得する以下の情報を機密情報として管理します：

• 自動車登録番号
• 車台番号
• 所有者氏名・住所
• 使用者氏名・住所
• 自動車検査証の有効期間
• その他車検証記載事項

3. アクセス制御

3.1 アクセス権限の原則

• 最小権限の原則：業務遂行に必要な最小限の権限のみを付与
• 職務分離：重要な操作は複数人のチェックを必要とする
• 定期的な見直し：アクセス権限は定期的に見直しを行う

3.2 認証・認可

• パスワードは8文字以上、英数字混合を必須
• 多要素認証（MFA）の導入を推奨
• APIキーは暗号化して保存し、定期的にローテーションを実施
• すべてのAPIアクセスログを記録・保存

4. データ保護

4.1 データの暗号化

• 通信経路：TLS 1.2以上
• データベース保存データ：AES-256
• バックアップデータ：AES-256

4.2 データの保存

車検証情報を含む機密データは、許可された国内データセンター（AWS東京リージョン）に保存します。 バックアップは日次で取得し、暗号化して保存します。

5. ネットワークセキュリティ

• すべての外部通信はHTTPS（TLS 1.2以上）を使用
• 車検証閲覧APIとの通信は、指定されたセキュアな方法で実施
• 不要なポートは閉鎖し、ファイアウォールで保護
• DDoS保護、WAFを導入

6. インシデント対応

セキュリティインシデント発生時は、以下の手順で対応します：

1. 検知・報告：直ちに情報セキュリティ管理責任者に報告
2. 初動対応：被害拡大防止のための緊急措置を実施
3. 調査・分析：原因究明と影響範囲の特定
4. 復旧：システムの復旧と正常化
5. 再発防止：原因に基づく再発防止策を策定・実施
6. 報告：必要に応じて関係機関（国土交通省等）への報告

7. 教育・訓練

• 全従業員に対し、年1回以上のセキュリティ教育を実施
• 新規入社者には、入社時にセキュリティ研修を実施
• 年1回以上、インシデント対応訓練を実施

8. 監査・見直し

• 年1回以上、情報セキュリティの内部監査を実施
• 本ポリシーは年1回以上見直しを行う
• 法令改正、重大インシデント発生時は臨時に見直しを実施

9. 法令遵守

本サービスは、以下の法令・ガイドラインを遵守します：

• 個人情報の保護に関する法律（個人情報保護法）
• 不正アクセス行為の禁止等に関する法律
• 電子署名及び認証業務に関する法律
• 国土交通省 車検証閲覧API利用規約