効率的なガーデニングは良い道具から始まります

0
×

南京興利電子商取引有限公司のデータセキュリティポリシー


南京興利電子商取引有限公司(会社住所:江蘇省南京市鼓楼区北郷路67号 ファンユエシティプラザT2ビル1314B、電話番号:19212551147)は、日本へのアウトドアスポーツ用品の販売に注力する越境EC企業です。当社は、企業運営とユーザーの権利保護におけるデータセキュリティの重要性を十分に認識しています。ライフサイクル全体にわたるデータ管理を標準化し、データの機密性、完全性、可用性を確保するために、本データセキュリティポリシーを特別に策定しています。


I. 適用範囲


本ポリシーは、当社の全従業員、パートナー、および当社のサービス利用者に適用され、特に日本事業に関連するデータ処理活動において、当社が事業運営において収集、保管、使用、送信、共有、破棄するすべてのデータ(ユーザーの個人情報、取引データ、製品情報、営業秘密などを含む)を対象とします。


II. データセキュリティ管理体制


データセキュリティ委員会を設置します。委員会の委員長は当社の総経理が務め、委員には情報技術部門、法務部門、運用部門、マーケティング部門などの部門長が含まれます。委員会は、データセキュリティ戦略の策定、データセキュリティシステムの承認、およびポリシー実施の監督を担当します。


データセキュリティ専門家の設置:各部門は、データセキュリティの日常管理、従業員教育、セキュリティインシデント報告などを担当する1~2名のデータセキュリティ専門家を任命し、データセキュリティ委員会に直接報告します。


III. データ収集セキュリティ


コンプライアンスレビュー:データ収集の目的、範囲、法的根拠を明確にするために、データ収集リストを作成します。日本のユーザーに関するデータについては、「個人情報保護法」および日本の「個人情報保護法」ならびにその他の関連法規制への追加的な遵守を徹底します。


ユーザー権限管理:明確なユーザー契約を通じてデータ収集の権限を取得し、機密情報(ID番号、決済情報など)については別途ポップアップウィンドウによる権限付与を行い、データの目的と国境を越えた送信について明確に通知します。


データ品質管理:データ収集時にリアルタイム検証を実施し、データの正確性と完全性を確保し、無関係な情報の収集を回避し、無効なデータを定期的にクリーンアップします。


IV. データ保存セキュリティ


段階的保存戦略:データの機密性に応じて、コアデータ(決済情報など)、重要データ(ユーザーアドレスなど)、一般データ(閲覧履歴など)に分類し、異なるセキュリティレベルの保存ソリューションを採用しています。


暗号化保護対策:コアデータはAES-256暗号化アルゴリズムを使用して保存し、重要データは伝送暗号化(SSL/TLS)と保存暗号化によって保護します。暗号化キーは定期的に更新されます。​

越境ストレージ仕様:日本に保管されるサーバーは、ISO 27001認証を取得し、サービスプロバイダーとデータセキュリティ契約を締結し、データ主権と保護責任を明確にし、定期的にセキュリティ監査を実施する必要があります。


バックアップおよびリカバリメカニズム:コアデータは毎日完全バックアップされ、重要データは1時間ごとに増分バックアップされます。バックアップデータはオフサイト(中国と日本にそれぞれ1部ずつ)に保管され、バックアップの有効性を確保するために毎月リカバリ訓練が実施されます。


V. データ利用セキュリティ


最小限の権限の原則:従業員のデータアクセス権は、職務要件に応じて「申請・承認・監査」プロセスを使用して設定され、コアデータへのアクセスには2名による承認が必要であり、操作記録はログシステムにリアルタイムでアップロードされます。​

感度低減処理規則:データ分析およびテスト環境で使用されるユーザーデータは、感度低減処理(ID番号の下6桁の非表示、住所情報のぼかしなど)を行う必要があり、元のデータの直接使用は禁止されています。​

利用範囲の管理:データの使用は、許可された目的に厳密に限定されます。新しいビジネスシナリオ(日本市場調査など)に必要な場合は、コンプライアンス評価を再度実施し、ユーザーの同意を得る必要があります。​

VI. データ伝送セキュリティ


越境伝送の暗号化:中国と日本間のデータ伝送は、VPN専用回線または暗号化チャネルを使用し、国家機密のSM4アルゴリズムまたは日本が承認した暗号化規格を使用することで、伝送中のデータの改ざんや盗難を防ぎます。​

伝送ログ監査:すべての越境データ伝送の時刻、内容、受信者などの情報を記録します。ログは少なくとも1年間保存され、法務部門が定期的に両国の規制に準拠しているかどうかを検証します。​

第三者へのデータ送信管理:日本の物流会社や決済機関とデータを送信する前に、それぞれのデータセキュリティ要件を確認し、「越境データ送信契約」を締結し、データ保護の責任と契約違反条項を明確にします。


VII. データ共有のセキュリティ


共有承認プロセス:第三者とのデータ共有は、データセキュリティ委員会の承認を得る必要があり、「データ共有申請書」に受信者の目的、範囲、セキュリティ対策を記載する必要があります。


第三者のセキュリティ評価:日本のパートナー(現地の物流会社など)に対してデータセキュリティ評価を実施し、セキュリティ認証レポートの提出を求め、合意されたセキュリティ基準を満たしていることを確認するために定期的な現地監査を実施します。


緊急停止メカニズム:第三者にデータセキュリティ違反が見つかった場合、データ共有を直ちに停止し、緊急対応計画を発動し、相手方に共有データの削除と賠償責任を負わせることができます。


VIII.データ破棄の安全性

破棄プロセスの仕様:データの保存期間(法規制および業務ニーズに応じて設定、通常3~7年)を経過すると、データセキュリティ専門家が破棄申請を行い、委員会の承認後に実行されます。


破棄方法の選択:電子データは、専門ツールを用いて複数回上書きまたは物理的に破壊(ハードディスクシュレッディングなど)し、紙データは機密保持機関によってリサイクル・破棄されます。破棄プロセス全体は記録・アーカイブされます。


国境を越えたデータ破棄:日本で保管されている期限切れデータについては、データの復元が不可能であることを保証するために、現地のサービスプロバイダーに破棄証明書の提出を義務付け、同時に国内のバックアップを削除します。


IX. セキュリティインシデントへの緊急対応

緊急時対応計画体制:「国境を越えたデータセキュリティインシデント緊急対応計画」を策定し、インシデントの分類(一般、大規模、重大)、対応プロセス、責任分担を明確にし、四半期ごとに部門横断的な訓練を実施します。​

インシデント報告メカニズム:データ漏洩、改ざん等のインシデントが発生した場合、データセキュリティ専門家は1時間以内に委員会に報告しなければなりません。また、重大なインシデント(1,000名を超える日本人ユーザーに関わる情報漏洩など)は、中国インターネット情報局と日本の個人情報保護委員会に同時に報告しなければなりません。


是正措置:脆弱性の原因を直ちに遮断し、影響を受けたユーザーに通知(メール、テキストメッセージ、その他日本人ユーザーに一般的な方法を使用)し、本人認証、パスワードリセット等の是正サービスを提供し、必要に応じて両国の規制当局の調査に協力します。


X. 従業員の安全に関する責任

研修・評価制度:新入社員は入社時に8時間のデータセキュリティ研修(日中規制の違いを含む)を受講し、評価に合格した者のみ職務に就くことができます。在職中の従業員は四半期ごとに2時間の特別研修を受け、研修記録は業績評価に反映されます。

機密保持契約の締結:全従業員は「データセキュリティ機密保持契約」に署名し、データ漏洩に関する法的責任を明確にします。中核的職務に就く従業員は、退職後の商業データの漏洩を禁止するための競業避止契約にも署名する必要があります。


違反時の罰則:本ポリシーに違反した場合、状況の深刻度に応じて警告、降格、解雇などの罰則が科せられます。犯罪行為に該当する場合は、司法機関に引き渡され、民事上の賠償責任を追及されます。


XI. ポリシーの更新と監督


動的な更新メカニズム:本ポリシーは毎年見直しを行い、法令の変更(日中データ保護規制の改正など)や事業調整(日本製品ラインの追加など)に応じて適時に改訂します。改訂後、30日間以上、当社公式ウェブサイトおよび日本法人向けページにて公表いたします。


内部監査:法務部は6ヶ月ごとに第三者機関と共同でデータセキュリティ監査を実施し、越境データ処理のコンプライアンスに重点を置き、監査報告書を作成してデータセキュリティ委員会に報告し、期限内に問題を是正します。


本ポリシーについてご質問がある場合は、当社の電話番号(19212551147)または日本法人向けホットラインまでお問い合わせください。24時間以内にご返答いたします。