一、政策基本情報
| 項目 | 具体内容 |
| 制定依据 | 日本《個人情報保護法》《情報セキュリティ基本法》《特定商取引に関する法律》及国際情報安全標準(ISO/IEC 27001) |
| 適用範囲 | 1. temovira 店舗(以下「店舗」という)の日本ユーザー(以下「ユーザー」という)の個人情報・業務情報2. 店舗運営に関するシステム(注文システム、支付システム、物流管理システム)3. 店舗とユーザーの通信データ(メール、電話記録等) |
| 責任主体 | 運営会社:枝江市骥欣庚商贸有限公司 法人:江丰飞 情報安全管理窓口:電話 19212742396/メール service@mail.temovira.com(件名「情報安全_問い合わせ」)会社住所:湖北省宜昌市枝江市董市镇金狮路30号A3267工位 |
| 生效期間 | 2025 年 10 月 13 日(会社登録日)より施行;変更時は店舗 TOP ページに 14 営業日事前告知(告知日から効力を生じる) |
二、情報安全保護範囲
| 保護対象区分 | 具体内容 | 业务関連性 |
| ユーザー個人情報 | 1. 識別情報:氏名(フリガナ)、配送住所、連絡電話、メールアドレス2. 支付情報:クレジットカード末尾 4 桁(完全番号非保存)、支払い記録3. 使用情報:注文履歴、閲覧記録、返品申請内容 | 購入・配送・售后サービスに必須の情報 |
| 店舗業務情報 | 1. 運営データ:商品在庫、価格設定、物流合作会社情報2. 処理記録:注文処理ログ(1-3 営業日処理記録)、退款記録(5-15 営業日到账記録)3. 管理情報:員工操作権限、システム設定 | 店舗正常運営とサービス品質保証のための情報 |
| システム・通信情報 | 1. システムデータ:サーバー設定、データベース暗号鍵2. 通信データ:ユーザーとのメール往復、電話対応記録(UTC+8 9:00-18:00 対応分)3. アクセス情報:ユーザーログイン IP、員工操作ログ | 情報伝達の安全性とシステム稼働の安定性を保証する情報 |
三、情報安全管理措置
| 措置種別 | 具体施策 | 実施頻度 / 基準 |
| 技術的措置 | 1. データ暗号化:個人情報・支付情報を AES-256 暗号化、通信過程を TLS 1.3 プロトコルで保護2. アクセス制御:多要素認証(MFA)を導入(員工システムログイン、ユーザー重要操作時)3. 脅威防御:侵入検知システム(IDS)・侵入防止システム(IPS)を常時稼働、ウイルス対策ソフトを日次更新4. データバックアップ:重要データを日次差分バックアップ+週次全量バックアップ、バックアップデータを異地保管 | 暗号化鍵:90 日ごと更新バックアップ確認:月次復元テスト脅威監視:24 時間リアルタイム監視 |
| 管理的措置 | 1. 権限管理:「最小権限原則」に基づき員工操作権限を設定(例:物流担当者は支付情報閲覧不可)、離職時は即時権限抹消2. ログ管理:アクセスログ・操作ログを 6 ヶ月間保存、異常ログ(例:不明 IP からの多回ログイン失敗)を 48 時間以内に分析3. 業務プロセス:注文処理・退款処理の各ステップに電子署名を導入、データ改ざんを防止4. 外部監査:年 1 回外部情報安全会社による審査を実施、脆弱性を修正 | 権限確認:月次権限リスト確認ログ分析:異常発生時即時対応外部審査:審査報告書を店舗に公開(要請可) |
| 人員的措置 | 1. 教育研修:員工入社時に情報安全研修(2 時間)、年 2 回再研修(1 時間 / 回)、合格後のみ操作権限を付与2. 秘密保持:全員に秘密保持契約を締結、外部への情報漏洩を禁止3. 背景調査:情報管理担当者の入社前に背景調査を実施(犯罪歴・情報漏洩歴確認) | 研修記録:全員の研修履歴を保存契約更新:年 1 回秘密保持契約再確認 |
四、ユーザーの情報安全権利と義務
| 区分 | 具体内容 | 行使方法 / 遵守要求 |
| ユーザーの権利 | 1. 自身の情報安全状況確認権:メール / 電話で「情報閲覧申請」を提出し、アクセスログ(過去 3 ヶ月分)を取得可2. 異常対応請求権:アカウント不正使用・情報漏洩疑いがある場合、店舗に即時通知し、緊急措置(アカウントロック・パスワード再設定)を要求可3. 安全対策提案権:店舗の情報安全脆弱性を発見した場合、メールで提案可(有効提案には感謝プレゼントを贈呈) | 確認申請:メール(件名「情報安全確認_ユーザー名」)+本人確認資料(注文番号)異常通知:電話優先(utc+8 9:00-18:00)、非営業時間は緊急対応メール(service@mail.temovira.com) |
| ユーザーの義務 | 1. アカウント管理:パスワードを定期的(3 ヶ月ごと)に変更(8 文字以上、英数字記号混合)、他サービスと同一パスワード使用禁止2. 情報保護:自身のメールアドレス・電話番号を厳守、第三者への店舗注文情報提供を避け3. 異常報告:アカウントへの不明アクセス・商品情報の不正変更等を発見した場合、24 時間以内に店舗に通知 | パスワード規則:店舗システムにパスワード強度チェック機能を搭載通知義務:未通知による損害はユーザー負担 |
五、第三者合作安全管理
| 合作対象 | 安全管理措置 | 監査機制 |
| 物流会社(例:佐川急便) | 1. 秘密保持契約締結:ユーザー配送情報の漏洩を禁止、使用範囲を配送業務に限定2. 安全対策確認:物流会社の情報安全システム(配送記録管理・ドライバー権限管理)を事前確認3. データ提供:必要最小限の情報(氏名・住所・電話)のみ提供、支付情報は提供しない | 年 2 回物流会社の安全対策を確認配送記録の異常(例:配送先変更)があった場合は 48 時間以内に調査 |
| 支付代行会社 | 1. PCI DSS 認証確認:支付代行会社が国際支付安全標準(PCI DSS)を取得していることを確認2. データ分離:支付データを店舗システムと完全分離、店舗は支付情報にアクセス不可3. 支払い監査:不正支払い(例:同じカードで多回支払い)が発生した場合、即時支付停止とユーザー通知 | 月次支付安全レポートを取得不正支払い発生時は共同で原因調査 |
六、情報安全事件応急機制
| 応急段階 | 具体手順 | 処理期間 |
| 1. 事件検知・報告 | 1. 監視システムが異常(情報漏洩・システム侵入)を検知した場合、情報安全チームに即時報告(1 時間以内)2. ユーザーから異常通知があった場合は、4 時間以内に事件内容を確認・記録3. 事件レベル分類: ・重大事件(大量個人情報漏洩) ・一般事件(単一アカウント不正使用) | 検知から報告:最大 1 時間内容確認:最大 4 時間レベル分類:報告後 2 時間以内 |
| 2. 緊急対策実施 | 1. 重大事件:システム一時停止、漏洩データの隔離、関連サーバーの切断2. 一般事件:該当アカウントロック、不正 IP の遮断、パスワード再設定案内3. 証拠保全:事件関連ログ・データを保存(削除・改ざん禁止) | 重大事件:対策実施最大 2 時間一般事件:対策実施最大 1 時間証拠保全:事件発生後 24 時間以内に完了 |
| 3. 影響通知・復旧 | 1. ユーザー通知:影響のあるユーザーにメール / 電話で事件内容・対策を通知(重大事件:24 時間以内、一般事件:48 時間以内)2. システム復旧:脆弱性修正後、システムを段階的に再開(最大 2 営業日)3. 補償対応:店舗の過失による損害がある場合、クーポン(最大 5,000 円分)または代金返却を実施 | ユーザー通知:通知後 48 時間以内に確認回収システム復旧:復旧後 24 時間監視補償対応:ユーザー申請後 3 営業日以内に処理 |
| 4. 事後分析・改善 | 1. 原因分析:事件解決後 7 営業日以内に分析報告書を作成(原因・対策・再発防止策)2. システム改善:脆弱性を修正、必要に応じて安全対策を強化(例:多要素認証範囲拡大)3. 員工再教育:事件原因が人為ミスの場合、関連員工に再研修を実施 | 分析報告:店舗内に保存(ユーザー要請可閲覧)改善実施:報告作成後 14 営業日以内再教育:改善後 1 ヶ月以内 |
七、政策変更と咨询
| 項目 | 具体内容 | 実施方法 |
| 政策変更 | 1. 変更理由:法律改正、技術進歩、業務拡大等により必要な場合2. 告知期間:変更内容を店舗 TOP ページに 14 営業日事前掲載、ユーザー登録メールに通知(重要変更の場合)3. 効力発生:告知期間満了後の初回営業日から新政策が効力を生じる | 掲載場所:店舗「ポリシー案内」欄通知方法:メール件名「情報安全政策変更通知」旧政策保存:変更後 1 年間旧政策を閲覧可 |
| 咨询対応 | 1. 咨询内容:政策内容の質問、情報安全事件の報告、安全対策の提案2. 咨询方法: ・電話:19212742396(UTC+8 9:00-18:00) ・メール:service@mail.temovira.com(件名「情報安全_咨询内容」)3. 対応期間:一般咨询は 2 営業日以内、事件報告は 24 時間以内に応答 | 咨询記録:全ての咨询内容を 6 ヶ月間保存対応確認:回答後 48 時間以内にユーザー確認を実施 |
