スマ楽申請
セキュリティへの取り組み
スマ楽申請では、社内申請に関する情報を安心して扱えるよう、アクセス制御、データ管理、通信の保護、運用体制の整備に取り組んでいます。
正式提供に向けて、個人情報の取扱いと情報セキュリティ対策を継続的に見直し、中小企業でも安心して利用できるサービスを目指しています。
基本方針
スマ楽申請では、申請内容、承認履歴、添付ファイル、利用者情報など、業務上重要な情報を取り扱うサービスとして、以下の方針に基づき運営しています。
- 必要な情報のみを取得します。
- 取得した情報は、サービス提供、問い合わせ対応、運用管理の目的で利用します。
- 利用者ごと、会社ごとのアクセス権限を適切に管理します。
- 外部サービスを利用する場合も、必要な範囲に限定して連携します。
- セキュリティ対策は、サービスの成長に合わせて継続的に改善します。
取り扱う情報
スマ楽申請では、主に以下の情報を取り扱います。
- 会社情報
- 利用者情報
- 申請フォームの内容
- 申請、承認、差し戻し、否認などの履歴
- 添付ファイル
- 事前登録フォームから送信された情報
これらの情報は、サービス提供、本人確認、問い合わせ対応、不具合調査、利用状況の確認など、必要な範囲で利用します。
アクセス制御
スマ楽申請では、利用者の権限に応じて、表示・操作できる範囲を制御しています。
- 一般利用者は、自分に関係する申請情報を中心に利用します。
- 承認者は、承認対象の申請を確認できます。
- 管理者は、会社内の設定やユーザー管理を行えます。
- 会社ごとにデータを分離し、他社の情報にアクセスできない設計を行っています。
通信・データ管理
スマ楽申請では、サービス利用時の通信をHTTPSで保護します。
また、申請データや利用者情報は、クラウド環境上で管理し、不正アクセスや誤操作のリスクを抑えるための対策を行っています。
データベース、認証情報、外部連携に必要な情報は、公開領域に保存せず、環境変数などを用いて管理します。
添付ファイルの管理
申請に添付されたファイルは、申請内容と関連付けて管理します。
ファイルサイズには制限を設け、不要に大きなファイルの送信を防ぐことで、システム負荷や運用上のリスクを抑えています。
添付ファイルは、申請者本人、承認者、管理者など、申請内容を確認する権限を持つ利用者に限り閲覧できます。
Google Sheetsへの副保存について
スマ楽申請では、会社ごとの設定に応じて、承認済みの申請データをGoogle Sheetsへ副保存できる機能を用意しています。
この機能は、申請データの確認性やバックアップ性を高めるための補助機能です。
Google Sheetsへの連携は、設定されたスプレッドシートに対して必要な範囲で行います。
なお、Google Sheets側の共有設定やアクセス権限は、利用企業側でも適切に管理していただく必要があります。
外部サービスの利用
スマ楽申請では、サービス提供に必要な範囲で、クラウド基盤、メール配信、データ保存、外部連携サービスを利用する場合があります。
外部サービスを利用する場合も、目的に応じて必要な範囲に限定し、認証情報や連携情報を適切に管理します。
インシデント対応
万が一、情報漏えい、不正アクセス、システム障害などが発生した場合は、影響範囲の確認、原因調査、再発防止策の検討を行います。
利用者への連絡が必要と判断した場合は、速やかに必要な情報をお知らせします。
認証取得について
現在、スマ楽申請はISO/IEC 27001などの第三者認証は取得していません。
正式提供後の利用状況やお客様からのご要望を踏まえ、将来的な情報セキュリティ管理体制の強化や、必要に応じた認証取得も検討してまいります。