セキュリティポリシー
最終更新日: 2024年12月1日
セキュリティ最優先:Whispieは、センシティブな赤ちゃんと家族のデータを保護するために業界トップのセキュリティ措置を実施しています。当社のセキュリティプログラムは、グローバルなセキュリティ基準を満たすまたは上回るように設計されています。
1. セキュリティの理念
Whispieでは、セキュリティは家族の最も機密性の高い情報を保護するという当社の使命の根幹です。当社は、すべてのデータを包括的に保護するために複数の層のセキュリティ制御を備えた多層防御戦略を実施しています。
当社のセキュリティ理念は3つの基本原則に基づいています:
- プライバシー・バイ・デザイン:セキュリティとプライバシーへの配慮が開発のすべての段階に組み込まれています
- ゼロトラストアーキテクチャ:明示的に確認し、最小権限アクセスを使用し、侵害を前提とします
- 継続的改善:定期的なセキュリティ評価と積極的な脅威監視
2. セキュリティ認証と準拠
2.1 準拠フレームワーク
Whispieは複数の国際セキュリティ基準とフレームワークに準拠しています:
| フレームワーク | ステータス | 範囲 |
| SOC 2 Type II | 進行中 | セキュリティ、可用性、機密性 |
| ISO 27001 | 2025年計画 | 情報セキュリティ管理 |
| GDPR | 準拠 | データ保護とプライバシー |
| CCPA/CPRA | 準拠 | カリフォルニア州プライバシー |
| KVKK | 準拠 | トルコデータ保護 |
| HIPAA | ガイドライン準拠 | 医療情報プライバシー |
2.2 地域準拠
Whispieはすべての事業地域のデータ保護規制への準拠を維持しています:
- 欧州連合:EU代表者を置いたGDPR準拠
- 英国:UK-GDPR準拠
- 米国:CCPA、CPA、VCDPAを含む州固有のプライバシー法
- トルコ:VERBIS登録を伴うKVKK準拠
- 中東:PDPL(KSA)、UAE データ法準拠
- アジア太平洋:PDPA(シンガポール)、APPI(日本)準拠
3. 技術的セキュリティ制御
3.1 インフラストラクチャセキュリティ
| 制御エリア | 実施内容 | プロバイダー |
| クラウドインフラストラクチャ | マルチゾーン冗長性を備えたセキュアでスケーラブルなクラウドアーキテクチャ | AWS、Supabase |
| ネットワークセキュリティ | VPC、セキュリティグループ、WAF、DDoS保護 | Cloudflare、AWS |
| 暗号化 | 転送中TLS 1.3、保存中AES-256 | Supabase、AWS |
| バックアップと復旧 | 自動日次バックアップ、30日間保持 | Supabase、AWS |
3.2 アプリケーションセキュリティ
セキュア開発ライフサイクル(SDL):
- 設計段階での脅威モデリング
- 静的・動的コード分析
- サードパーティ依存関係のスキャン
- セキュアコードレビュー要件
- 半年ごとのペネトレーションテスト
認証と認可:
- 多要素認証(MFA)の強制
- ロールベースのアクセス制御(RBAC)
- 最小権限の原則
- 安全なタイムアウトを伴うセッション管理
- パスワードポリシーの執行
3.3 データセキュリティ
データ分類:
| 分類 | 例 | 保護レベル |
| 高度機密 | 健康データ、予防接種記録 | 最大限の暗号化、厳格なアクセス制御 |
| 機密 | 個人情報、連絡先の詳細 | 強力な暗号化、ロールベースのアクセス |
| 内部 | アプリケーションログ、分析データ | 暗号化、アクセスログ |
データ暗号化:
- 転送中:すべてのデータ送信にTLS 1.2以上
- 保存中:データベースとストレージにAES-256暗号化
- キー管理:定期的なキーローテーションを伴うAWS KMS
- エンドツーエンド暗号化:センシティブな健康データの共有に対して
4. 組織的セキュリティ
4.1 従業員セキュリティ
- 身元調査:すべての従業員に対する雇用前スクリーニング
- セキュリティトレーニング:年次セキュリティ意識向上トレーニング
- 守秘義務契約:すべての従業員と請負業者が署名
- アクセスレビュー:四半期ごとのアクセス権レビュー
- インシデント対応トレーニング:定期的なタブレトップ演習
4.2 セキュリティポリシー
- 利用規定:適切なシステム使用のためのガイドライン
- データ取り扱いポリシー:データ分類と保護のための手続き
- インシデント対応計画:セキュリティインシデントのための文書化された手続き
- 事業継続計画:災害復旧と事業継続の手続き
- ベンダーセキュリティポリシー:サードパーティベンダーへの要件
5. サードパーティセキュリティ
5.1 ベンダーセキュリティ評価
すべてのサードパーティベンダーは統合前にセキュリティ評価を受けます:
| ベンダー | サービス | セキュリティ認証 | データ処理 |
| Supabase | データベースと認証 | SOC 2、GDPR | サブプロセッサー |
| Stripe | 決済 | PCI DSS Level 1、SOC 2 | 決済処理者 |
| Twilio | SMS | SOC 2、ISO 27001 | サブプロセッサー |
| Cloudflare | セキュリティとDNS | SOC 2、ISO 27001 | インフラストラクチャ |
| Sentry | エラー追跡 | SOC 2、GDPR | サブプロセッサー |
5.2 サブプロセッサー管理
当社はすべてのサブプロセッサーとデータ処理補足契約(DPA)を維持し、そのセキュリティ状況を定期的にレビューします。
6. インシデント対応
6.1 インシデント対応計画
当社のインシデント対応計画はNISTフレームワークに従っています:
- 準備:文書化された手続きとトレーニングを受けたチーム
- 検出と分析:監視とアラートシステム
- 封じ込め:影響を制限するための即時対応
- 根絶:脅威の原因を除去
- 復旧:システムとサービスの復元
- 事後活動:教訓と改善
6.2 違反通知
データ侵害が発生した場合、Whispieは以下を行います:
- 発見から72時間以内に影響を受けるユーザーに通知
- 必要に応じて規制当局と協力
- 侵害と取られた措置について明確な情報を提供
- 適切な場合に信用監視サービスを提供
7. セキュリティ監視とテスト
7.1 継続的監視
- SIEM:セキュリティ情報とイベント監視
- IDS/IPS:侵入検知・防止システム
- 脆弱性スキャン:定期的な自動スキャン
- ログ分析:集中ログと分析
- 脅威インテリジェンス:積極的な脅威監視
7.2 セキュリティテスト
- ペネトレーションテスト:年次外部ペネトレーションテスト
- バグバウンティプログラム:責任ある開示プログラム
- コードレビュー:すべてのコードがセキュリティレビューを受ける
- 依存関係スキャン:自動化された脆弱性スキャン
- セキュリティ監査:定期的な内部・外部監査
8. 物理的・環境的セキュリティ
8.1 データセンターセキュリティ
Whispieは以下を備えたエンタープライズグレードのデータセンターを利用しています:
- 24時間365日の物理的セキュリティと監視
- 生体認証アクセス制御
- 冗長電源と冷却システム
- 火災検知と消火システム
- 環境監視
8.2 オフィスセキュリティ
当社のオフィスは以下を実施しています:
- アクセス制御システム
- 訪問者管理手続き
- 安全な文書廃棄
- クリーンデスクポリシー
- デバイス暗号化要件
9. 事業継続性と災害復旧
9.1 事業継続計画
- RTO(目標復旧時間):重要システムに対して4時間
- RPO(目標復旧時点):重要データに対して1時間
- バックアップ戦略:地理的冗長性を備えた自動日次バックアップ
- 災害復旧:文書化されたDR手続きと定期的なテスト
9.2 高可用性
Whispieは以下を通じて99.9%の稼働率を維持します:
- ロードバランシングと自動スケーリング
- マルチゾーン展開
- データベースレプリケーションとフェイルオーバー
- 静的コンテンツ配信のためのCDN
10. セキュリティ意識向上トレーニング
10.1 従業員トレーニング
すべての従業員は以下をカバーする包括的なセキュリティトレーニングを修了します:
- データ保護とプライバシーの原則
- フィッシングとソーシャルエンジニアリングの意識
- パスワードセキュリティとMFA
- インシデント報告手続き
- セキュアな開発プラクティス
10.2 継続的教育
- 四半期ごとのセキュリティ意識向上更新
- フィッシングシミュレーション演習
- セキュリティニュースレターとブリーフィング
- 年次セキュリティ認定要件
11. ポリシーガバナンス
11.1 ポリシーレビュー
このセキュリティポリシーは以下の場合にレビューおよび更新されます:
- セキュリティプログラムレビューの一環として毎年
- 重大なセキュリティインシデントの後
- 新しい規制または基準が導入された場合
- 主要なシステムまたはインフラストラクチャの変更後
11.2 準拠監視
以下を通じて継続的に準拠を監視します:
- 自動化された準拠チェックツール
- 定期的な内部監査
- 外部セキュリティ評価
- 規制変更の監視
12. お問い合わせと報告
12.1 セキュリティ連絡先
セキュリティに関するご質問またはセキュリティ上の懸念を報告するには:
セキュリティチーム: [email protected]
プライバシーチーム: [email protected]
乱用報告: [email protected]
12.2 脆弱性報告
当社は責任ある脆弱性の開示を歓迎します。セキュリティの脆弱性は以下を含めて[email protected]に報告してください:
- 脆弱性の詳細な説明
- 再現手順
- 潜在的な影響の評価
- お客様の連絡先情報
セキュリティへのコミットメント:Whispieはユーザーの機密情報を保護するために最高のセキュリティ基準を維持することに取り組んでいます。当社は継続的にセキュリティ措置に投資し、進化する脅威に対処するために慣行を定期的に更新しています。