セキュリティについて

最終更新日: 2023年8月1日

この「セキュリティについて」は、SurveyMonkey Inc.、SurveyMonkey Europe UC、SurveyMonkey Brasil Internet Eireli、およびそれらの関連会社（総称して「SurveyMonkey」）により提供され、かつ特に明記されている場合を除き、「Momentive」、「SurveyMonkey」、「Wufoo」および「GetFeedback」という名称でブランド化されている製品、サービス、Webサイト、およびアプリに適用されるものです。「セキュリティについて」では、これらの製品、サービス、Webサイト、アプリケーションを総称して「サービス」と呼びます。また、この「セキュリティについて」は、SurveyMonkeyおよびWufooのお客様のユーザー契約の一部を構成します。

SurveyMonkeyは、お客様のデータの管理責任者として、SurveyMonkeyに対するお客様の信頼を大切にしています。SurveyMonkeyでは、お客様の情報を保護することを第一に考え、以下で詳しく述べているSurveyMonkeyのセキュリティ慣行を完全に透明なものにするよう努力しています。また、プライバシーに関するお知らせでは、お客様のデータの処理方法についてさらに詳しく述べています。

SurveyMonkeyのシステムと技術インフラストラクチャは、ワールドクラスの認定SOC 2データセンターにホストされています。これらのデータセンターに装備されている物理セキュリティ制御には、1日24時間体制のモニタリング、カメラ、ビジターログ、入場制限、および高度なセキュリティを備えたデータ処理施設に期待されるその他のあらゆる機能があります。

SurveyMonkeyは、世界的に認知されている情報セキュリティフレームワークに適合するガバナンス、リスク管理、およびコンプライアンスを実践しており、ISO 27001認証を獲得しています。さらに、SurveyMonkeyエンタープライズ製品はHIPAAに準拠しており、SurveyMonkey、Wufoo、SurveyMonkey Apply製品は、Payment Card Industry Data Security Standards（PCI DSS 3.2）の認定を受けています。

SurveyMonkeyのテクノロジーリソースへのアクセスは、安全な接続（VPNやSSHなど）を通じてのみ許可されており、マルチファクター認証を必要とします。SurveyMonkeyのパスワードポリシーでは、複雑さ、有効期限、およびロックアウトが要求され、パスワードの再使用は許可されません。SurveyMonkeyは、最小権限の原則に従ってアクセス権を付与し、許可を四半期ごとに再検討し、従業員の退職時に即座にアクセス権を取り消します。

SurveyMonkeyは、情報セキュリティポリシーを施行しており、そのポリシーは定期的に検証され、少なくとも1年に1回更新されます。従業員は、1年に1回ポリシーを確認し、職務に関するトレーニングを受ける必要があります。このトレーニングは、SurveyMonkeyに適用されるすべての規格および規制を遵守するように計画されます。

SurveyMonkeyは、（適用法および該当する国で許可または実施されている範囲で）雇用時にバックグラウンドスクリーニングを行います。また、SurveyMonkeyは、すべての社員に情報セキュリティポリシーを伝え（、かつすべての社員から同意を得て）、新入社員に秘密保持契約への署名を求めているほか、プライバシーおよびセキュリティに関する継続的なトレーニングを提供しています。

SurveyMonkeyは、アプリケーション、クラウド、ネットワーク、およびシステムのセキュリティを重点的に管理する専用のトラスト＆セキュリティ組織を備えています。このチームの職務には、セキュリティコンプライアンス、教育、および事故対応も含まれます。

SurveyMonkeyでは、サーバー、ワークステーション、ネットワーク機器、およびアプリケーションにおけるセキュリティ脆弱性の定期的なスキャン、識別、および対策などを行う、文書化された脆弱性管理プログラムを実施しています。テスト環境と本番環境を含むすべてのネットワークが、信頼できるサードパーティのベンダーを使って定期的にスキャンされます。重要なパッチは、その重要度に基づいた上で、他のすべてのパッチを考慮しながらサーバーに適用されます。

また、SurveyMonkeyは、社内および社外で定期的なペネトレーションテストを行い、見つかった結果の重大度に応じて対策を立てます。

SurveyMonkeyは、データセンター内に保存され、使用していないすべてのデータをAES 256方式の暗号化を使用して暗号化しています。さらに、使用中のデータについては、(i) SurveyMonkeyのデータセンター外の企業との通信には、パブリック認証局を介して生成された鍵長2048ビットのRSA方式の証明書を使用し、(ii) データセンター内で使用しているすべてのデータについては、内部認証局を介して生成されたRSA 256方式の証明書を使用しています。

SurveyMonkeyの開発チームは、OWASP Top 10に沿って、安全なコーディング手法やベストプラクティスを実施しています。開発者は、雇用時と1年に1回、セキュアなWebアプリケーションの開発に関する正式なトレーニングを受けています。

開発環境、テスト環境、および本番環境は分かれています。変更はすべて専門家同士で相互評価され、本番環境への実装の前にパフォーマンス、監査、およびフォレンジックの目的でロギングされます。

SurveyMonkeyは、情報およびアセットの識別、分類、維持、および処分を含むアセット管理ポリシーを施行しています。会社支給のデバイスは、ハードディスク全体を暗号化する機能と最新のウイルス対策ソフトウェアを装備しています。企業ネットワークおよび生産ネットワークへのアクセスを許可されているのは会社支給のデバイスだけです。

SurveyMonkeyには、初回対応、調査、お客様への通知（適用法に準拠）、パブリックコミュニケーション、および対策を網羅したセキュリティ事故対応手順があります。この手順は定期的に見直され、半年ごとにテストされます。

最善の努力をしていても、インターネット上の通信やネットワーク上のメモリ保管を完全に安全に行う方法はありません。絶対的な安全を保障することは不可能です。しかし、万一SurveyMonkeyがセキュリティ侵害に気付いた場合は、影響を受けたユーザーにお知らせし、適切な保護手順を踏んでいただけるようにします。SurveyMonkeyの違反通知手順は、該当する国レベル、州、連邦の法規、またSurveyMonkeyが従う業界内ルールや基準の下での義務と一致するものです。SurveyMonkeyは、お客様のアカウントのセキュリティに関連するすべての事項をお客様にお知らせできるように、また、お客様が規制の報告義務を履行するのに必要なすべての情報をお客様に提供できるように、日々努力しています。

バックアップは、本番環境内で暗号化および保存することによってその極秘性および完全性を維持できます。SurveyMonkeyでは、ダウンタイムとデータ損失を最低限に抑えるバックアップ戦略を採用しています。また、当社の事業継続プラン（BCP）は災害が起きた場合にもその有効性を確保するために、定期的にテストと更新を行っています。

お客様のデータを安全に保管するためには、お客様が複雑なパスワードを設定し、それを安全に保管してアカウントのセキュリティ維持に努めていただくことも大事です。また、お使いのシステム上で十分なセキュリティ対策が講じられていることもご確認ください。当社では、アンケート回答の通信保護のためにTLSをご用意しております。しかし、その機能を必要な場面でアンケートに設定するのは、お客様の責任となります。アンケートのセキュリティ対策の詳細については、ヘルプセンターをご覧ください。

アプリケーションおよびインフラストラクチャシステムが、認定されたSurveyMonkeyの人員によるトラブルシューティング、セキュリティレビュー、および分析を可能にする目的で、情報を中央管理型のログリポジトリにロギングします。ログは、規制要件に従って保持されます。お客様のアカウントに影響を及ぼすようなセキュリティ上の事故が発生した場合は、SurveyMonkeyからお客様に、妥当な支援とログへのアクセスが提供されます。