高品質のファブリックホームテキスタイルの最選択

×

南京ファルレ電子商取引有限公司のデータセキュリティポリシー


南京ファルレ電子商取引有限公司(会社住所:江蘇省南京市鼓楼区清江南路18号鼓楼イノベーションプラザ5号館5階533-6室、電話番号:19202590471)は、日本向けの布製品・ホームテキスタイル製品の販売を専門とする越境EC企業です。当社は、データセキュリティを事業運営の中核と位置付けています。ユーザーデータおよび当社の事業データのセキュリティを万全に保護し、データ漏洩や不正使用などのリスクを防止するため、本データセキュリティポリシーを策定しました。

I. 適用範囲


本ポリシーは、当社の全従業員、協力サービスプロバイダー(物流、決済、技術サポートなどを含む)、および当社のプラットフォームサービスを利用するすべてのユーザーに適用されます。本規定は、事業展開の過程において会社が収集、保管、使用、送信、共有、破棄するあらゆる種類のデータを対象としており、ユーザーの個人情報(氏名、住所、連絡先など)、取引データ(注文情報、支払記録など)、製品データ(ホームテキスタイルの仕様、材質、価格など)、および会社の内部業務データを含みますが、これらに限定されません。

II. データセキュリティ管理フレームワーク


データセキュリティリーダーシップチームを設置:会社の総経理がチームリーダーを務め、情報技術部門、運用部門、法務部門、マーケティング部門の責任者がメンバーとなります。チームは、データセキュリティ戦略の策定、データセキュリティ関連システムの承認、および重大なデータセキュリティインシデントへの対応の調整を担当します。​

専任のデータセキュリティ担当部署の設置:情報技術部門に2~3名の専任データセキュリティ担当者を配置し、データセキュリティ技術保護、従業員の安全教育、セキュリティインシデントの監視と対応など、日常的なデータセキュリティ管理を担当させます。


部門セキュリティ責任の明確化:各部門の責任者は、当該部門におけるデータセキュリティの第一責任者となり、部門の従業員が本ポリシーおよび関連するデータセキュリティ規制を厳格に遵守することを確保し、定期的に部門内のデータセキュリティ自己点検を実施します。


III. データ収集セキュリティ


コンプライアンス要件:データ収集は、中国の「サイバーセキュリティ法」、「個人情報保護法」、日本の「個人情報保護法」などの関連法令を厳格に遵守し、収集行為が合法性、正当性、および必要性を満たしていることを保証します。


収集範囲の管理:布地・家庭用品の取引を完了するために必要なユーザー名、日本国内の配送先住所、連絡先電話番号、支払い情報など、サービスの目的を達成するために必要なデータのみを収集します。サービスに関連しない冗長なデータは収集しません。​

ユーザー認証メカニズム:個人のセンシティブ情報を収集する場合は、ユーザーから別途明示的な承認を得る必要があり、プラットフォームのポップアップウィンドウやメールなどを通じて、収集の目的、用途、範囲をユーザーに明確に説明し、ユーザーの同意を得た上でのみ収集を行います。 ​

データソースの確認:データソースが合法であり、盗難や購入などの違法な手段でデータを取得していないことを確認します。パートナーから提供されるデータについては、そのソースの合法性と権限を検証する必要があります。 ​

IV. データストレージのセキュリティ ​

ストレージ媒体のセキュリティ:ユーザーデータは、国家および業界のセキュリティ基準を満たすサーバーに保存されます。サーバーには、侵入防止、改ざん防止、ウイルス対策などのセキュリティ保護機能が必要です。コアデータ(支払い情報など)は暗号化されて保存され、暗号化アルゴリズムは国際標準に準拠しています。 ​

階層化ストレージ戦略:データの重要度に応じて階層化ストレージを実施します。コアデータは、ローカルサーバーとクラウドバックアップに保存されます。重要データと一般データはクラウドに保存され、定期的にバックアップされています。


越境ストレージ仕様:業務上、一部のデータ(日本のユーザーの配送先住所など)を日本に保管する場合は、日本のデータセキュリティ基準を満たすストレージサービスプロバイダーを選択し、厳格なデータセキュリティ契約を締結して、双方のデータセキュリティ責任を明確にする必要があります。


保管期間管理:データの種類と業務ニーズに基づいて、合理的な保管期間を設定します。ユーザーの個人情報の保管期間はサービス終了後3年間、取引データの保管期間は取引完了後5年間です。保管期間を超えたデータは、完全に削除または匿名化されます。


V. データ利用セキュリティ


利用権限管理:厳格なデータアクセス権限管理メカニズムを構築し、従業員は職務責任の範囲内で必要なデータにのみアクセスできるようにします。機密データへのアクセスは、部門長とデータセキュリティ担当者の承認を得て、アクセスログを記録する必要があります。​

利用範囲の制限:データの使用は、収集時に明示された目的を超えてはなりません。例えば、ユーザーの購入記録は、関連する布地ホームテキスタイル製品の推奨、アフターサービス対応などにのみ使用され、無関係な目的には使用されません。


社内使用規定:従業員はデータを使用する際に、会社のデータセキュリティ規則を遵守し、データを私的に複製または配布してはなりません。データを個人的な利益のために使用したり、権限のない者に開示したりすることは禁止されています。


データの非感応化:データ分析、製品テスト、その他の直接的なサービス以外のシナリオを実施する際には、ユーザー名の一部の文字を隠したり、詳細な住所をぼかしたりするなど、ユーザーの個人情報を非感応化することで、特定のユーザーを特定できないようにします。


VI. データ伝送のセキュリティ


伝送暗号化対策:データ伝送時にはSSL/TLSなどの暗号化技術を使用し、データ伝送リンクのセキュリティを確保し、伝送中のデータの盗難や改ざんを防止します。​

越境データ伝送コンプライアンス:日本へのデータ伝送は、両国間の越境データ伝送に関する関連規制を遵守する必要があります。機微な個人情報を越境伝送する場合は、セキュリティ評価に合格するか、ユーザーから特別な許可を取得し、受信者が適切なデータセキュリティ保護能力を備えていることを確認する必要があります。


伝送チャネル管理:データ伝送には社内専用伝送チャネルを優先的に使用し、公衆ネットワークや暗号化されていない電子メールなどの安全でないチャネルを介した機微データの伝送を禁止します。


伝送ログ記録:伝送時間、伝送内容、送信者、受信者などの情報を含む、データ伝送の詳細なログを記録します。ログの保存期間は、事後の監査および追跡可能性のために1年以上とします。


VII. データ共有のセキュリティ


共有原則:ユーザーデータは、法令で義務付けられている場合、またはサービスの実現に必要な場合を除き、第三者と共有してはなりません。共有が必要な場合は、厳格な社内承認プロセスを経る必要があります。​

第三者資格審査:日本の物流サービスプロバイダーや決済機関などの第三者とデータを共有する前に、データセキュリティ保護能力を厳格に審査し、データセキュリティ保護対策と関連する資格証明書の提示を求めます。 ​

共有契約の締結:第三者とデータセキュリティ共有契約を締結し、データの利用、保護、機密保持などに関する両当事者の権利と義務を明確にし、データ共有の範囲、目的、期間を規定し、第三者が契約外で共有データを他の目的で使用しないことを要求します。 ​

共有データの監視:共有データの使用状況を定期的に監視し、合意に基づいて第三者にデータ使用状況レポートの提出を求め、共有契約を厳格に遵守していることを確認します。第三者がデータ使用規則に違反していることが判明した場合は、直ちに共有を停止し、責任を追及します。 ​

VIII.データ破棄のセキュリティ

破棄時期:データが保存期間に達し、保管の必要がなくなった場合、またはユーザーが個人データの削除を要求した場合(法令に別段の定めがある場合を除く)、データは速やかに破棄されなければなりません。

破棄方法:データ保存媒体の種類に応じて、適切な安全な破棄方法を採用します。電子データは、データの上書き、ディスクフォーマット、その他の方法により完全に破棄し、復元不可能な状態にします。紙データは、シュレッダー処理などの物理的な方法により破棄します。


破棄記録:破棄時間、データの種類、破棄方法、関係者、その他の情報を含むデータ破棄プロセスを詳細に記録し、破棄報告書を作成し、検査のために保管します。


国境を越えたデータ破棄:日本で破棄・保管する必要があるデータについては、現地のストレージサービスプロバイダーは、合意された破棄方法に従って処理し、データの完全破棄を保証するために破棄証明書を発行する必要があります。

IX.データセキュリティインシデントへの緊急対応

緊急時対応計画の策定:データセキュリティインシデント緊急対応計画を策定し、緊急対応プロセス、各部門の責任、および対処方法を明確にします。定期的に緊急時対応訓練を実施し、データセキュリティインシデントへの対応能力を向上させます。

イベント監視と報告:データセキュリティインシデント監視メカニズムを構築し、技術的な手段を用いて異常なデータアクセスや漏洩をリアルタイムで監視します。データセキュリティインシデントを発見した場合、関係者は2時間以内にデータセキュリティリーダーシップチームに報告しなければなりません。

インシデント対応措置:データセキュリティインシデントが発生した場合、緊急時対応計画を直ちに発動し、データ漏洩源の遮断、関連業務の停止など、事態の拡大防止策を講じます。同時に、インシデントの原因を調査し、インシデントの影響範囲と程度を評価します。​

情報通知と是正措置:法令の規定に従い、インシデントの状況は影響を受けたユーザーと中国および日本の関連規制当局に速やかに報告され、原因、影響、および講じられた是正措置について説明されます。影響を受けたユーザーに対し、パスワードの変更や支払い方法の変更などを案内するなど、必要な支援を提供し、ユーザーの損失を軽減します。


X. 従業員のデータセキュリティ責任とトレーニング


従業員のセキュリティ義務:当社の全従業員は、本ポリシーおよび関連するデータセキュリティ規制を厳守し、アカウントのパスワードを適切に管理し、データアクセス権を無断で開示してはなりません。データセキュリティリスクまたはインシデントが発見された場合は、速やかにデータセキュリティ担当部署に報告しなければなりません。


セキュリティトレーニングメカニズム:従業員向けに定期的にデータセキュリティトレーニングを実施しています。トレーニング内容には、データセキュリティに関する法律および規制、会社のデータセキュリティポリシー、安全運用仕様、緊急時対応手順が含まれます。新入社員は入社後、データセキュリティ研修を受講し、評価に合格しなければ、配属されることができません。

違反への対応方法:本ポリシーに違反した社員は、違反の程度に応じて警告、罰金、降格、労働契約の解除などの処分を受けます。犯罪行為に該当する場合は、法律に基づき刑事責任を追及されます。

XI. ポリシーの更新と監督


ポリシーの更新:本ポリシーは、法令の変更、事業発展のニーズ、技術革新などに応じて、適時に改訂されます。改訂後は、当社の公式ウェブサイト、プラットフォームのお知らせなどを通じて、ユーザーおよび従業員に告知します。告知期間は30日以上とします。改訂されたポリシーは、告知期間満了後に発効します。


社内監督:データセキュリティリーダーシップチームは、四半期ごとに本ポリシーの実施状況を検査し、問題が発見された場合は速やかに是正を促します。データセキュリティ担当部署は、定期的にデータセキュリティ監査を実施し、データセキュリティリスクを評価し、改善案を提示します。​

外部監視:ユーザーおよび社会各層の皆様は、当社のデータセキュリティ業務を監視できます。当社が本ポリシーに違反していることが判明した場合は、当社の電話番号(19202590471)を通じて苦情を申し立てることができます。当社は15営業日以内に対応いたします。 ​

本ポリシーは発行日から発効し、解釈権は南京ファルレ電子商取引株式会社に帰属します。