1.はじめに

このホワイトーペーパー（以下、「本書」）は、ISMSクラウドセキュリティ認証「JIP-ISMS5517-1.0（ISO/IEC 27017:2015）」で求められている要求事項について、ポケットサイン株式会社（以下「当社」）が提供する「ポケットサイン」（以下、「本サービス」）における具体的な取り組みをご理解いただくことを目的としています。

2.適用範囲

本書は株式会社が提供する以下のサービスに適用されます。
・「ポケットサイン」

3.用語の定義

本書における用語の定義はISO/IEC 27017:2015に準拠しております。

4.ISO/IEC 27017

クラウドサービスに関する情報セキュリティ管理策のガイドライン規格であり、情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することを目的としています。

5.本サービスにおける責任分界

本サービスにおける当社及び当社及び他事業者とお客様との責任分界は次のようになります。

6.各管理策への対応

以下、ISO/IEC 27017で求められている各管理策に関する当社の具体的な取り組みを記載します。管理策の項番はISO/IEC 27017に基づきますが、カッコ内の項番はISO/IEC 27001:2022（ISO/IEC 27017がまだ対応していない新規格）における対応項番を示しています。

5.1.1　情報セキュリティのための方針群（新規格5.1）
当社は、当社の定めた情報セキュリティ方針に従ってサービスを運営します。詳細はこちらhttps://pocketsign.co.jp/terms/securityをご確認ください。

6.1.1　情報セキュリティの役割及び責任（新規格5.2）
当社とお客様との間の責任分界は「５．本サービスにおける責任分界」でご説明しています。

6.1.3　関係当局との連絡（新規格5.5）
当社の所在地は当社HP（https://pocketsign.co.jp/）をご確認ください。また、本サービスにおいて保存されるデータが保管される可能性のある国は日本国です。

CLD6.3.1　クラウドコンピューティング環境における役割及び責任の共有及び分担
本サービスに関する事項は利用規約（https://pocketsign.co.jp/terms/app）をご確認ください。また、責任分界については「５．本サービスにおける責任分界」でご説明しています。

7.2.2　情報セキュリティの意識向上、教育及び訓練（新規格6.3）
当社は本サービスの提供にあたり、当社の従業員に対して情報セキュリティの重要性を認識させるため、定期的な教育・訓練を実施しています。

8.1.1　資産目録（新規格5.9）
当社内で整備している情報資産の目録において、本サービスを利用するお客様のデータ及びその派生データを識別し、管理しています。

CLD8.1.5　クラウドサービスカスタマの資産の除去
お客様が本サービスの利用を終了された場合、お客様のアカウント情報及びお客様が本サービスに保存されたデータは解約から180日後に削除されます。但し、お客様の情報を含まないログデータ等は除外されます。

8.2.2　情報のラベル付け（新規格5.13）
本サービスでは、お客様が保存されたデータに対してラベル付けを行うことのできる機能を提供していません。

9.2.1　利用者登録及び登録削除（新規格5.16）
本サービス利用開始時に、お客様に対し管理者権限を有したIDを通知しています。管理者権限により、利用者の登録・削除・変更等の機能がご利用いただけます。詳細はサービスマニュアル（https://docs.p8n.app/docs/verify/guide/getting-started/register-platform）をご覧ください。

9.2.2　利用者アクセスの提供（新規格5.18）
管理者権限によって、お客様が利用する領域に対するアクセス権限（特権ユーザー、一般ユーザー）を操作することができます。詳細はサービスマニュアルをご覧ください。

9.2.3　特権的アクセス権の管理（新規格8.2）
ID・パスワードによる認証方法に加え、二段階認証の認証方法をご利用いただくことが可能です。

9.2.4　利用者の秘密認証情報の管理（新規格5.17）
本サービス利用開始時に、管理者権限を有したIDを提供しています。その後のアカウントの登録手順についてはサービスマニュアルをご覧ください。

9.4.1　情報へのアクセス制限（新規格8.3）
管理者権限によって、お客様がサービス上に保存されたデータに対するアクセス制限を行うことができます。詳細はサービスマニュアルをご覧ください。

9.4.4　特権的なユーティリティプログラムの利用（新規格8.18）
本サービスの利用を支援する特権的なユーティリティプログラムはありません。

CLD9.5.1　仮想コンピューティング環境における分離
本サービスにおいてお客様が利用する仮想マシンやネットワークは、仮想化技術等を通してお客様ごとに論理的な分離を行っています。

CLD9.5.2　仮想マシンの要塞化
仮想マシンの要塞化のため、FW機能、IP・プロトコル・ポート制限等を実施しています。また、管理者権限を利用して必要なサービスの選定やログの取得等を行うことができます。

10.1.1　暗号による管理策の利用方針（新規格8.24）
本サービス利用における通信はSSL/TLS通信を利用可能です。サービス上のデータに対しては当社で暗号化処理を行うことはありません。管理者権限を利用し、お客様のポリシーに合わせたセキュリティ保護を実施することが可能です。

11.2.7　装置のセキュリティを保った処分又は再利用（新規格7.14）
故障などにより交換となった記憶媒体の処理については、弊社とベンダーとの契約に基づき適切に処分しています。

12.1.2　変更管理（新規格8.32）
お客様に何らかの影響を及ぼす可能性のあるサービスの変更については、事前に通知を行っています。

12.1.3　容量・能力の管理（新規格8.6）
各種リソースについては当社内で日々監視を行っております。また、管理者権限を利用してサービスの利用状況を監視する機能が利用できます。詳細はサービスマニュアルをご覧ください。

CLD12.1.5　実務管理者の運用のセキュリティ
本サービスでは以下のマニュアルをご用意しております。
・サービスマニュアル
・仕様書

12.3.1　情報のバックアップ（新規格8.13）
本サービスの提供に用いている仮想環境は日次でバックアップを取得しており、30世代保管しております。

12.4.1　イベントログ取得（新規格8.15）
管理者権限を利用して、本サービスにおけるイベントログを取得することができます。取得可能なログの詳細はサービスマニュアルをご覧ください。

12.4.4　クロックの同期（新規格8.17）
本サービスに関わるシステムはNTPにより単一の参照時刻源と同期させています。

CLD12.4.5　クラウドサービスの監視
本サービスに関わるネットワーク及びCPU・メモリ等の監視は当社において日々実施しております。

12.6.1　技術的脆弱性の管理（新規格8.8）
当社では定期的に本サービスに関わる脆弱性情報の収集・分析を行い対策するとともに、お客様に影響を及ぼす情報については通知を行っています。

13.1.3　ネットワークの分離（新規格8.22）
仮想化技術等を利用し、お客様ごとにネットワークを論理的に分離しています。

CLD13.1.4　仮想及び物理ネットワークのセキュリティ管理の整合
物理ネットワークと仮想ネットワークの整合が取れるよう、当社の定める管理手順に基づき設計・構築・管理を行っています。

14.1.1　情報セキュリティ要求事項の分析及び仕様化（新規格5.8）
本サービスの仕様については仕様書をご覧ください。

14.2.1　セキュリティに配慮した開発のための方針（新規格8.25）
当社の定めるコーディング規則に則った開発を行うとともに、定期的な脆弱性診断などを実施しています。

15.1.2　供給者との合意におけるセキュリティの取扱い（新規格5.20）
責任分界については「５．本サービスにおける責任分界」でご説明しています。その他の詳細は利用規約をご覧ください。

15.1,3　ICTサプライチェーン（新規格5.21）
本サービスの提供に必要となる構成要素について外部から供給を受ける場合、当社のセキュリティポリシーに基づき当社と同等のセキュリティ水準を満たすことを要求しています。

16.1.1　責任及び手順（新規格5.24）
当社で確認したセキュリティインシデントについては、当社のインシデント対応手順に基づき速やかに対応します。発生したインシデントがお客様に重大な影響を及ぼすと判断した場合はお客様に通知を行っています。

16.1.2　情報セキュリティ事象の報告（新規格6.8）
お客さんが発見されたセキュリティ事象についてはお問い合わせ窓口にて報告いただくことができます。

16.1.7　証拠の収集（新規格5.28）
法令等に基づき捜査機関・裁判所等から情報の開示を求められた場合、お客様への通知又は同意を得ることなく開示することがあります。この点について、利用規約において合意を頂いております。

18.1.1　適用法令及び契約上の要求事項の特定（新規格5.31）
本サービスの利用に関して適用される法令は「日本法」です。

18.1.2　知的財産権（新規格5.32）
知的財産権に関するお問い合わせはお問い合わせ窓口をご利用ください。

18.1.3　記録の保護（新規格5.33）
当社の責任範囲内で、必要なログを取得しています。

18.1.5　暗号化に対する規制（新規格8.24）
本サービスへのアクセスについてはSSL/TLS通信が利用可能です。輸出規制の対象となる暗号化機能は提供しておりません。

18.2.1　情報セキュリティの独立したレビュー（新規格5.35）
ISO/IEC 27001及びISO27017に基づく内部監査を定期的に実施しており、その他外部審査機関による認証審査を毎年受審しています。

制定：2025年1月23日