質問
万が一、悪意をもった第三者が回答データの保存されているサーバに不正アクセスし、個人漏洩が起きてしまった場合の責任の所在と運営側の対応について教えてください。
回答
不正アクセスによる情報漏洩を検知した場合の対応
万が一情報漏洩が発覚した場合には、二次被害を防止するためにサービスを停止し、メールおよびホームページ上でご契約者様へのアナウンスを行います。
その後、直ちに原因の調査を行い、原因判明後には再発防止に向けた対策を講じます。
原因や対策に関しましては、ご契約者様へメールまたはホームページ上でお知らせします。
情報漏洩が起きた場合の責任の所在について
当サービスでは、利用規約で下記のように明記させていただいております。
利用規約 第21条(免責)
- 当社の意図的な怠慢および意図的な責務不履行等によるものを除き、当社は、本サービスの利用に起因する損害についてその責を負わないものとします。
- 利用者が本サービスを通じて作成したシステムに機密情報および個人情報に類する情報が保存されることが想定される場合、その情報の管理責任は利用者に帰するものとし当社はその責を負わないものとしております。
- 利用者が本サービスを通じて他者に損害を与えた場合、当該利用者は、自らの責任において問題を解決するものとします。
当社の意図的な怠慢および意図的な責務不履行等によるものを除き、万が一、機密情報および個人情報が流出した際はご契約者様側の責任となります。
ただし、情報漏洩や不正アクセスを未然に防ぐために下記の対策を講じています。
-
公開フォーム及び管理画面共にSSL暗号化通信を採用しています。
-
フォームから入力(送信)されたデータは、データが蓄積されるサーバ内で暗号化処理を行っています。
-
サーバへの不正アクセスを防ぐため、ファイアウォールを設定しています。
-
サーバ内に「不正アクセス拒否ツール/アンチウィルスソフト/rootkit検知ツール/ファイル改ざん検知」を導入し、ウィルスや不正アクセス対策を行っています。
-
アプリケーション側の脆弱性対策として、XSSやSQLインジェクション、OSコマンドインジェクションなどのセキュリティ対策を行っております。
-
IPA(独立行政法人 情報処理推進機構)が公開する「ウェブアプリケーションのセキュリティ実装 チェックリスト」をもとに、独自のセキュリティチェックを実施しています。
-
公開されるフォームテンプレートの脆弱性診断を2年に1回、実施しています。