最終更新日
2026年4月4日
公開ポリシー
JPSM INTERNET SERVICE は、公開サイトの安定稼働、個人情報保護、委託先統制、脆弱性対応、事業継続を同じ枠組みで管理しています。このページでは、組織的対策、技術的対策、インシデント対応、監査、継続的改善の考え方を確認できます。
最終更新日
2026年4月4日
統括責任
小笠原 治輝
公開窓口
contact@jpsm.ne.jp
対象範囲
jpsm.ne.jp および当事業組織が運営する関連公開ドメイン
公開ポリシー
公開ポリシー
JPSM INTERNET SERVICE は、公開情報の可用性、個人情報の機密性、システム設定の完全性を同時に守ることを情報セキュリティの基本方針とします。単一のツール導入ではなく、組織運営、技術運用、委託先管理を組み合わせて継続的に管理します。
公開ポリシー
情報セキュリティに関する最終責任は、代表者 小笠原 治輝 が負います。重大事故や方針変更は運用担当だけで完結させず、経営判断として優先順位と是正計画を決定します。
公開ポリシー
本方針は、公開サイト、会員機能、問い合わせ導線、採用導線、クラウド基盤、ソースコード管理、監視基盤、委託先連携、開発用資産を対象とします。ブランド単位で環境が分かれていても、共通の統制原則を適用します。
公開ポリシー
情報資産は、公開情報、業務情報、個人情報、認証情報、ログ、バックアップ、設定情報、秘密情報に分類し、重要度と取扱条件を区別します。分類に応じて保存場所、閲覧権限、暗号化要否、共有可否を決めます。
JPSM INTERNET SERVICE は、公開情報の可用性、個人情報の機密性、システム設定の完全性を同時に守ることを情報セキュリティの基本方針とします。単一のツール導入ではなく、組織運営、技術運用、委託先管理を組み合わせて継続的に管理します。
情報セキュリティに関する最終責任は、代表者 小笠原 治輝 が負います。重大事故や方針変更は運用担当だけで完結させず、経営判断として優先順位と是正計画を決定します。
本方針は、公開サイト、会員機能、問い合わせ導線、採用導線、クラウド基盤、ソースコード管理、監視基盤、委託先連携、開発用資産を対象とします。ブランド単位で環境が分かれていても、共通の統制原則を適用します。
情報資産は、公開情報、業務情報、個人情報、認証情報、ログ、バックアップ、設定情報、秘密情報に分類し、重要度と取扱条件を区別します。分類に応じて保存場所、閲覧権限、暗号化要否、共有可否を決めます。
管理体制では、責任者、実務担当、委託先窓口、事故報告先、承認経路を定めます。担当者個人の暗黙知に依存せず、引き継ぎ可能な運用手順として残します。
セキュリティ上の重大な変更、事故、委託先追加、脆弱性対応の方針は、定期レビューや必要時レビューで確認します。レビューでは技術的な強さだけでなく、公開説明や法令適合性も併せて評価します。
新しい機能、委託先、クラウド設定、広告タグ、採用基盤を導入する際は、機密性、完全性、可用性、法令適合性の観点からリスクを評価します。導入速度だけを優先して評価を省略することはありません。
特定したリスクは、受容、低減、回避、移転のいずれで扱うかを決め、残余リスクを記録します。是正が必要な項目は担当者と期限を明確にし、放置を常態化させません。
情報資産へアクセスする担当者や委託先には、守秘義務、役割、利用可能な情報範囲、退職後の取扱いを事前に確認します。必要な権限を付与する前に、業務上の必要性と本人確認を行います。
フィッシング、誤送信、共有設定ミス、脆弱なパスワード、生成 AI への情報投入リスクなど、実務で起こりやすい事象を題材に教育と訓練を行います。教育内容は毎回同じ資料を読むだけではなく、運用の変化に合わせて更新します。
担当変更や契約終了時には、権限の削除、貸与端末や鍵の返却、保存データの確認、引き継ぎ内容の整理を行います。不要なアカウントや共有リンクが残らないよう、終了処理をチェックリスト化します。
執務場所や保管場所では、来訪者管理、施錠、画面の覗き見防止、紙資料の放置防止、持込機器の管理を行います。リモートワーク時も同等の注意が必要であり、自宅環境でも第三者閲覧を防ぎます。
ノート PC、外部記憶媒体、バックアップ媒体、検証端末は、台帳や貸出台帳に基づいて管理します。不要になった媒体は、単に初期化するだけでなく、復元困難な廃棄方法を選びます。
通信経路では TLS を前提とし、保存時には情報の性質に応じて暗号化や秘匿化を用います。鍵管理はデータ本体と分離し、設定ファイルやソースコードへ平文で埋め込まないことを原則とします。
管理機能や重要操作では、多要素認証、強固なパスワード、ログイン通知、本人確認手続を組み合わせます。アカウント共有を常態化させず、誰が操作したか追跡できる形を維持します。
アクセス権は最小権限を基準に付与し、役割変更や業務終了のたびに見直します。閲覧だけで足りる担当者に編集権限を与えないなど、操作範囲と責任範囲を一致させます。
認証、権限変更、重要設定変更、障害、アプリケーションエラー、運用操作のログを取得し、必要な期間保存します。監視結果は単に蓄積するだけでなく、閾値超過や異常パターンの検知に使います。
WAF、CDN、レート制限、ファイアウォール、Bot 対策、到達制御を組み合わせて、公開導線への攻撃や過負荷を抑えます。インターネットに直接公開する必要がない管理面は、閉域化や許可制アクセスを優先します。
本番環境、検証環境、バックアップ保管先、管理用ネットワークは、論理的または物理的に分離します。境界が曖昧なまま運用すると事故時の影響範囲が広がるため、接続経路を減らす設計を採ります。
入力値検証、権限確認、エラーハンドリング、依存パッケージ管理、秘密情報の取扱いを含め、アプリケーション層での防御を行います。公開文面の変更だけで安全になるわけではなく、実装側の制御と併せて評価します。
開発時には、XSS、CSRF、SQL インジェクション、SSRF、認可不備、情報露出など、典型的な欠陥を避けるための実装基準を持ちます。レビューでは機能要件だけでなく、想定外入力や権限境界も確認します。
利用中のフレームワーク、依存ライブラリ、SaaS、インフラ設定に関する脆弱性情報を把握し、優先順位を付けて対応します。修正の難しい項目は代替策や検知強化を併用し、未対応の理由を記録します。
公開導線や重要機能に対しては、必要に応じて脆弱性診断や手動検証を行い、結果に基づいて是正します。診断は実施した事実だけで終わらせず、再検証と残課題の管理まで含めます。
データは分類ごとに保存先、持出可否、共有範囲、暗号化、表示マスキングを決めます。個人情報と公開情報が同じ場所に混在する場合でも、権限やエクスポート条件を分けて扱います。
重要データと設定は世代を分けてバックアップし、復旧手順を事前に確認します。バックアップが存在するだけでは十分ではなく、実際に復元できるか、復旧時間が許容範囲かも検証します。
保存期間を過ぎたログ、古いバックアップ、不要になったエクスポートファイル、廃止サービスの設定値は、復元困難な方法で削除します。削除対象を見落とさないよう、サービス終了時の廃棄手順も定めます。
クラウド環境では、権限分離、監査ログ、ネットワーク制御、シークレット管理、暗号化、設定変更履歴を基礎として管理します。デフォルト設定をそのまま使わず、公開不要なリソースが露出しないよう見直します。
委託先、SaaS、広告タグ、分析基盤、採用基盤など、外部事業者の影響を受ける要素については、契約条件、再委託、事故報告、停止手段、データ返却・削除を確認します。便利さだけを理由に委託先を増やしません。
異常ログイン、トラフィック急増、設定変更、脆弱性公表、委託先事故通知、利用者からの通報など、複数の経路でインシデントを検知します。検知の遅れが被害拡大につながるため、誰が受けても初動に移れる体制を整えます。
検知した事象は、影響範囲、原因、再現条件、被害可能性、法的義務の有無を整理して分析します。断片的な情報だけで結論を急がず、必要なログや証跡の保全を優先します。
事故発生時は、侵害経路の遮断、資格情報の無効化、外部公開の停止、影響機能の隔離など、封じ込めを優先します。根絶段階では、一時対応だけでなく再侵入を許す設定や手順上の欠陥も解消します。
復旧では、データ整合性の確認、再発監視、利用者影響の告知、運用手順の補強を行ったうえで段階的に再開します。復旧を急ぐあまり、原因不明のまま全面再開することは避けます。
事故の内容に応じて、代表者、関係担当、委託先、利用者、監督機関へ報告や通知を行います。事実が固まる前でも、影響が大きいと見込まれる場合は初報を優先し、その後に更新情報を重ねます。
インシデント対応後は、技術的な修正だけでなく、権限設計、委託先管理、教育、監視設定、レビュー手順まで含めて見直します。同じ原因を別媒体で繰り返さないよう、横断展開を行います。
災害、広域障害、クラウド障害、主要委託先停止などが発生した場合でも、優先度の高い公開導線から復旧できるよう事業継続計画を整えます。平時のバックアップだけでなく、代替運用の意思決定順も準備します。
個人情報保護法、電気通信事業法、不正アクセス禁止法、著作権法、各種契約義務を踏まえ、法令と契約の両面からセキュリティ運用を確認します。技術的に可能でも、法的に許されない処理は行いません。
権限設定、ログ保存、委託先管理、バックアップ、脆弱性対応などの統制が機能しているか、定期または必要時に点検します。監査結果は是正計画へつなげ、指摘事項を形だけで終わらせません。
セキュリティ対策は一度決めて終わりではなく、事故、法令改正、技術変化、媒体構成の変化に合わせて更新します。改善項目は優先順位を付け、実施後に効果を確認します。
情報セキュリティに関する照会や報告は contact@jpsm.ne.jp で受け付けます。脆弱性報告では、再現手順、対象 URL、影響内容、公開可否の希望を併記していただくと、確認と是正が円滑になります。
方針の更新時には、体制、技術対策、委託先管理、事故対応のどこを見直したかを改定履歴に残します。更新日だけでなく論点を示すことで、継続的改善の履歴を追えるようにします。
公開ポリシー