Try Free

Language

English 日本語 Русский Español
Try Free

情報セキュリティ

方針/内部規定

個人情報保護に関する全社的な基本方針:https://ne.institute/terms_of_use にて公開

個人情報保護を目的とした具体的な内部規程:
NEIはデータの所有者、取り扱い方法、個人情報へのアクセスなどを規定しています。以下のような社内ポリシーを策定しています。
– データの分類と取り扱いに関するポリシー
– 情報セキュリティポリシー
– 情報セキュリティ-リスク管理 組織階層構造
– コンプライアンス方針
– クリーンデスク・ワークエリア基準

個人情報保護を目的とした手順書等を策定、個人情報取扱業務に従事する者に対しての周知:
・NEIアドミンガイド
・NEIティーチャーガイド
・従業員の同意書
・契約者同意書
にて周知し同意しています。

組織・体制

個人情報管理責任者:Alexander Kamenev

個人情報保護対策を推進する社内組織:
NEIは以下の内容を含む社内ポリシーの導入に取り組んでいます。
– サイバーセキュリティとリスクマネジメント 組織の階層構造
– 情報セキュリティポリシー
– 情報セキュリティ・リスクマネジメントの組織階層構造
– データの分類と取り扱いに関するポリシー
– インシデントレスポンスポリシー

個人情報に関する苦情相談窓口:
support@NE.Institute

緊急時に対応するための体制:
毎日24時間体制で管理者が常駐。緊急時の手順を確立しています。

緊急時に対応するためのフローや手順:
すべてのシステムのパスワードを変更するための手順があります。

業務運用

委託に係る個人情報取扱業務の内容は明確に理解し、管理責任者をおいています。個人情報取り扱い業務に関しては再委託、3次委託はしておりません。もし委託をする場合はクライアントへの承諾を得ます。

安全管理

ネットワーク、システム、媒体管理等の全社的なセキュリティポリシー:
以下の内容を含む社内ポリシーの導入に取り組んでいます。
– サイバーセキュリティとリスクマネジメント 組織の階層構造
– 情報セキュリティポリシー
– 情報セキュリティ・リスクマネジメントの組織階層構造
– データの分類と取り扱いに関するポリシー
– インシデントレスポンスポリシー

個人情報の記録やセキュリティエリア、端末の管理:
全ての社員および契約者はリモートで働いており、Bring Your Own Deviceポリシーに基づいて管理しています。

個人情報取扱システム、データベースへのアクセス可能な権限を付与すべき者とデータベースへのアクセス管理:
データの分類と取り扱いに関するポリシー、インシデント・レスポンス・ポリシーに基づいて管理.
データベースへのアクセスは、のleast to know/least privilegeの原則に基づいています。

個人情報取扱システム、データベースのアクセスログの保管:
個人情報データベースへのアクセスは、(ユーザーの役割に応じた)有効な個別のユーザー名/パスワードを提供した後にアクセスできるNEI管理システムを通じて行われます。データは安全な接続HTTPS TLS 1.2を介して転送されます。

個人情報を可搬型記憶媒体、インターネット、メール等を用いて無断で外部に持ち出せない技術的な仕組み:
すべてのデータは、業界標準のアルゴリズムであるAES256により、保存時および移動時に暗号化されます。

個人情報取扱システムに係る外部からの不正アクセス防御対策:
学生のデータは、管理者と講師に限定されています。講師は必要に応じてのみ生徒のデータにアクセスすることができ、この情報には講師がいつでもアクセスできるわけではありません。ウイルス対策を実施し、ファイル共有ソフトウェアの業務上の使用を禁止しております。

教育・従業員

全従業員(契約社員、パート職員、派遣社員を含む)を対象に個人情報保護に関する教育:
2021年7月・8月に発行されたNEIのEmployee Handbookに記載されており、全従業員が理解しています。
また、以下のガイドや同意書を作成し周知しています。
・NEIアドミンガイド
・NEIティーチャーガイド
・従業員の同意書
・契約者同意書

点検・監査

個人情報保護施策の運用状況についての点検・監査:
私たちは日常的にアクセスをチェックし、個人情報へのアクセスを「知る必要性」に基づいて厳しく制限しています。

外部者による不正アクセス

個人情報データベースへのアクセスは、(ユーザーの役割に応じた)有効な個別のユーザー名/パスワードを提供した後にアクセスできるNEI管理システムを通じて行われます。データは安全な接続HTTPS TLS 1.2を介して転送されます。

データ転送への攻撃

サービス利用者とサービス間の通信は暗号化しています

他の共同利用者の影響

あるサービス利用者にて発生した機密性・可用性・完全性の侵害は、他の利用者への影響が及ばない対策を実施しています.

サービス利用者のデータは、利用者ごとに物理的または論理的な分離をしています。

仮想化技術

サービス提供に用いるアプリケーション、プラットフォーム、サーバ、ストレージについて定期的に脆弱性診断を行い、その結果にもとづいて対策を実施しています。

サービス提供に用いるサーバやPCに導入されているソフトウェアの脆弱性対策(OSやブラウザのアップデートやパッチ)を遅滞なくかつ定期的に実施しています。

サービス提供に用いるサーバーやPCにマルウェア対策を講じています。

サービス提供に係る運用担当者に対して、以下のようなアクセス管理を実施しています。
ー 認証手段(ID、パスワード)
- 共有IDなし
ー 運用担当者への必要最小限の特権の付与
ー メンテナンス(退職者アカウントの削除、アカウントやアクセス権の定期的な見直し等)

サービス利用者、またはサービス利用者の管理者によるアクセスはパスワードで行います。機密データは保存されません。ユーザーの管理者がアクセスコントロールの設定を行うことはできません。

暗号化

すべてのデータは、業界標準のAES256を用いて、保存時と移動時に暗号化されます。

分散管理

サービス利用者のデータが物理的または論理的に分散して処理される場合、データに不整合が発生しない仕組みがあります。

クラウドサービス利用終了

利用規約に基づき、サービスの利用終了時に、サービス利用者からの要求があればデータは削除されます。

記憶媒体を使用しません。すべてのデータストレージはクラウド上にあります。

ログ取得

サービス運用にかかわるログは、技術的な問題を追跡し、解決するのに十分な期間保持されます。保存期間:15ヶ月間

データ及びプログラムの変更

サービスのプログラム変更にかかる管理プロセスは整備されています。

メンテナンス時は事前にアナウンスしております。

バッチジョブ

サービスで実施されるバッチ処理に関する管理プロセスは整備してあります。

サーバの設置場所

サービスのデータセンター所在地は東京です。

サービスの可用性低下

サービスの監視体制はUptime RobotとData Dogで行っています。

サービスレベル

サービスSLA:
https://ne.institute/terms_of_use

クラウドサービス事業者による情報の取得

ユーザーが入力したメールアドレスや位置情報、SNSの連絡先などは、NEIからのメールマガジン等限定的な情報発信に活用しています。

Ada™

NEIは、Microsoft Azure OpenAIクラウドサービスによってホストされている専用のGPTモデルのデプロイメントを使用しています。GPTモデルには、個人情報、連絡先、個人を特定する情報は一切送信されません。GPTモデルに送信されるクライアントプロファイルのデータは、教育コンテンツのパーソナライゼーションを目的とした興味と職業に関わるキーワードのみです。NEIは、Google ChromeおよびSafariブラウザの内蔵機能を使用し、Web Speech APIを介して音声からテキストへの文字起こしを行います。文字越こしされたクライアントの情報は、転送および保存時に暗号化されます。エンタープライズプライベートクラウドサービスもご利用いただけます。お見積りについてはお問い合わせください。