情報セキュリティポリシー

基本方針

Liiivv（以下「当社」といいます）は、岐阜市を拠点とするスタートアップとして、「日常に新しい体験と価値を創造する、多領域型エンタメ文化企業」というミッションのもと、IP関連事業・メディア事業・アーティストマネジメント事業・HumanExperience事業を展開しています。その事業活動において、お客様・取引先・パートナー・クリエイター・地域社会から提供いただく情報、および当社自身が生成・管理するすべての情報は、事業の根幹を支える最重要資産であると認識しています。

当社は、情報の機密性（Confidentiality）・完全性（Integrity）・可用性（Availability）という情報セキュリティの三原則を堅持し、情報資産を不正アクセス・漏洩・滅失・毀損・改ざんのあらゆる脅威から継続的に保護するため、本情報セキュリティポリシー（以下「本ポリシー」といいます）を策定します。

本ポリシーは、関係するすべてのステークホルダーに対して当社のセキュリティに関する基本的立場を明示するとともに、当社の役員・従業員・業務委託先・インターン等、当社の情報資産に関与するすべての者（以下「関係者」といいます）が遵守すべき行動規範を定めるものです。情報セキュリティは特定の担当者のみが負う責任ではなく、当社に関わるすべての人が日常業務のなかで意識し実践すべき組織的営みであると位置づけます。

当社は本ポリシーを形式的な規程として位置づけるのではなく、日々の事業活動に溶け込んだ生きた指針として運用することを経営方針の一環として宣言します。

定義

本ポリシーにおいて用いる主な用語の定義は以下のとおりです。

情報資産

当社が保有・管理するすべての情報および情報システム（電子データ・紙媒体を含む）

機密性

認可された者のみが情報にアクセスできることを確保すること

完全性

情報および処理方法の正確さおよび完全さを保護すること

可用性

認可された利用者が必要なときに情報および関連資産にアクセスできることを確保すること

セキュリティインシデント

情報セキュリティを脅かす事象の発生またはその疑いがある状態

個人情報

個人情報の保護に関する法律（令和2年法律第44号）に定義される個人に関する情報

特定個人情報

マイナンバー（個人番号）を含む個人情報

委託先

当社から業務の全部または一部の委託を受け、当社の情報資産を取り扱う事業者

適用範囲

適用対象者

当社の代表者および役員
当社の従業員（正規・非正規・アルバイトを問わない）
業務委託先およびその担当者
インターン・ボランティア等の関係者
当社のシステムまたは情報資産へのアクセスを許可された者

適用対象情報・システム

当社が保有・管理する電子データおよび紙媒体のすべての情報
当社が運営するウェブサイト・Webアプリケーション・サービス基盤
業務に使用するハードウェア・ネットワーク機器・クラウドサービス
電子メール・チャットツール等のコミュニケーションシステム
外部サービスと連携するAPIおよびそのアクセス認証情報

適用対象場所

当社の事業所および作業スペース
在宅勤務・リモートワーク等の就業場所
業務目的でのモバイルワーク環境

組織体制と責任

最高責任者

当社の代表者は、情報セキュリティに関する最高責任者（以下「CISO」といいます）を兼任し、本ポリシーの策定・改定・廃止に関する最終決定権を有します。CISOは情報セキュリティに関するリソースの確保、組織文化の醸成、外部への説明責任を負います。

情報管理責任者

各情報資産には情報管理責任者を設定します。情報管理責任者は、担当する情報資産の分類・取り扱い基準の策定、アクセス権限の管理、および定期的なリスク評価を行う責任を負います。

関係者の責務

当社に関わるすべての関係者は、本ポリシーを十分に理解したうえで遵守する義務を負います。違反が発覚した場合、その態様に応じて、注意・業務停止・契約解除・損害賠償請求等の措置が取られることがあります。

本ポリシーの内容を知らなかったことは、免責の理由とはなりません。関係者は自己の責任において本ポリシーの内容を確認・理解する義務があります。

情報資産の分類と管理

当社が保有する情報資産は、その機密性・重要度に応じて以下の4段階に分類します。

極秘（Confidential）

代表者・特定役員のみが取り扱える情報。外部への開示は一切禁止。経営戦略の核心・未公開の財務情報等。

社外秘（Internal）

社内の関係者のみが取り扱える情報。個人情報・取引先情報・内部システムの設計情報等。

限定公開（Restricted）

特定の外部関係者と共有可能だが公開はしない情報。NDA締結先との共有資料等。

公開（Public）

一般に公開することを前提とした情報。当社ウェブサイト掲載コンテンツ等。

情報資産台帳

当社は主要な情報資産を台帳（電子または紙）にて管理します。台帳には少なくとも、資産名・分類・保管場所・管理責任者・保存期間・廃棄方法を記録します。台帳は少なくとも年1回レビューし、最新の状態を維持します。

情報の廃棄

不要となった情報は、分類に応じた適切な方法で確実に廃棄します。電子データはデータ消去ソフトウェア等による復元不能な削除を行い、紙媒体はシュレッダー処理または専門業者による溶解処理を行います。廃棄に際しては記録を残し、管理責任者の承認を得るものとします。

アクセス制御

最小権限の原則

当社は最小権限の原則（Principle of Least Privilege）を徹底します。各関係者には、その職務遂行に必要な最小限のアクセス権限のみを付与します。権限の付与・変更・削除は、情報管理責任者の承認を経て行われます。

認証の強化

重要なシステムおよびサービスには多要素認証（MFA）を導入します
パスワードは推測困難な複雑なものを使用し、定期的に変更します
パスワードの使い回しは厳禁とし、パスワードマネージャーの使用を推奨します
初期パスワード・仮パスワードは初回ログイン後に直ちに変更します
アカウント情報（ID・パスワード・秘密鍵等）の共有は原則禁止とします

アクセスログ

重要なシステムへのアクセスログを記録・保管します。ログは少なくとも1年間保存し、セキュリティインシデント発生時の調査に活用します。ログへのアクセス権限を制限し、改ざんを防止します。

退職・契約終了時の対応

すべてのシステムアカウントの無効化・削除
アクセスキー・APIキー等の認証情報の無効化
支給した機器・媒体・資料の返却または廃棄確認
秘密保持義務の継続に関する確認

技術的安全管理措置

暗号化

当社が運営するウェブサービスおよびAPIとの通信は、TLS 1.2以上を使用したHTTPS通信を必須とします。データベースに保存する個人情報・機密情報は、業界標準の暗号化アルゴリズム（AES-256等）を用いて暗号化して保管します。外部への機密情報の送受信に際しては、暗号化されたチャネルまたはファイル暗号化を用います。

脆弱性管理

使用するOSおよびソフトウェア・ライブラリは常に最新のセキュリティパッチを適用します
独自開発のWebアプリケーションは、リリース前にセキュリティレビューを実施します
OWASP Top 10に代表される一般的なWebアプリケーション脆弱性への対策を実装します
定期的な脆弱性スキャンを実施し、発見された脆弱性を優先度に応じて修正します

マルウェア対策

業務に使用するすべての端末（PC・スマートフォン・タブレット等）にはセキュリティソフトウェアを導入し、常時最新の状態に保ちます。フィッシング攻撃・ソーシャルエンジニアリングへの対策意識を全関係者が持つよう努めます。

バックアップ

重要なデータは定期的にバックアップを取得します。バックアップデータは本番環境とは物理的または論理的に分離された場所に保管し、少なくとも四半期に1回、復元テストを実施して可用性を確認します。

ネットワークセキュリティ

業務用ネットワークと来客用ネットワークを分離します
公衆Wi-Fi等の信頼できないネットワーク上での機密情報の取り扱いは原則禁止とし、VPN使用を必須とします
不要なポート・サービスは無効化します
ファイアウォールおよび不正侵入検知・防止システム（IDS/IPS）を適切に設定します

物理的・環境的安全管理

執務エリアの管理

機密情報を取り扱う執務エリアへの入退室は、必要な関係者に限定します。訪問者が立ち入る場合は担当者が同行し、機密情報が露出しないよう配慮します。クリアデスクポリシーを徹底し、業務終了後は机上に機密情報を放置しません。

機器の管理

業務用端末は離席時に必ずスクリーンロックを設定します
ノートPC・スマートフォン等の携帯端末は紛失・盗難に備えてフルディスク暗号化を施します
重要なサーバ・ネットワーク機器は施錠管理された場所に設置します
私用端末を業務に使用する場合（BYOD）は、別途定めるBYODポリシーに従います

印刷物・記録媒体の取り扱い

機密情報を印刷した紙媒体は使用後速やかにシュレッダー処理を行います。USB等の外部記憶媒体の使用は承認を得た場合に限り、当該媒体を暗号化したうえで使用します。

人的安全管理措置

採用時・契約締結時の対応

関係者の採用・契約締結の際は、情報セキュリティに関する誓約および秘密保持契約（NDA）の締結を必須とします。

教育・訓練

当社は情報セキュリティを組織文化の一部として根付かせるため、関係者に対して定期的な教育・訓練を実施します。教育内容には少なくとも以下を含みます。

本ポリシーの内容および改定事項の周知
フィッシング・ソーシャルエンジニアリング等の最新攻撃手法への対応
個人情報保護法をはじめとする関連法令の基礎知識
セキュリティインシデント発生時の初動対応手順
安全なパスワード管理・認証情報の取り扱い

違反への対応

本ポリシーに対する重大な違反行為は、雇用契約・業務委託契約に基づく懲戒・解除措置の対象となる場合があります。また、違反行為が第三者に損害を与えた場合、当社は当該関係者に対して損害賠償請求を行う場合があります。刑事罰に該当する行為については、捜査機関への通報を含む法的手段を講じます。

業務継続管理

当社は、自然災害・サイバー攻撃・システム障害等の予期せぬ事態が発生した場合においても、事業の継続性を最大限確保することを目指します。

事業継続計画（BCP）

当社は情報システムに関わる主要なリスクシナリオを特定し、各シナリオにおける対応手順・復旧目標時間（RTO）・復旧目標時点（RPO）を定めた事業継続計画を策定します。計画は少なくとも年1回見直し、必要に応じて訓練を実施します。

重要システムの冗長化

顧客データを含む重要なシステムは、単一障害点（SPOF）を排除した可用性の高い構成を目指します。クラウドサービスを活用する場合は、データのリージョン設定・可用性ゾーンの設計を適切に行います。

インシデント対応

報告義務

関係者は、セキュリティインシデントの発生またはその疑いを認識した場合、直ちに情報管理責任者（または代表者）に報告する義務を負います。軽微と判断した場合であっても速報を優先します。

対応フロー

Step 1：検知・報告

インシデントの発見者が直ちに情報管理責任者へ第一報を行う

Step 2：初動対応

被害の拡大防止措置（該当システムの切り離し・アカウント停止等）を即座に実施する

Step 3：調査・記録

インシデントの原因・影響範囲・経緯を記録し、被害の全容を把握する

Step 4：通知・報告

個人情報漏洩等、法令上の通知義務が発生する場合は規定の期限内に主務官庁・当事者へ報告する

Step 5：復旧・再発防止

システムの復旧を行い、根本原因に対する再発防止策を策定・実施する

個人情報漏洩時の対応

個人情報の漏洩・滅失・毀損が発生した場合（またはその可能性がある場合）、個人情報保護法第26条に基づき、個人情報保護委員会への報告および本人への通知を、定められた要件・期限に従って実施します。

第三者・委託先管理

委託先の選定

委託先の情報セキュリティ体制を選定基準の一つとします
個人情報を取り扱う業務の委託においては、個人情報保護法の要件に従った委託先管理を行います
主要な委託先については、少なくとも年1回、セキュリティ状況を確認します

クラウドサービス・外部サービスの利用

業務に外部のクラウドサービス・SaaS等を利用する場合は、サービス提供者のセキュリティポリシー・データ保存地域・認証方式・SLA等を事前に確認し、情報管理責任者の承認を得ます。無承認の外部サービス（シャドーIT）の業務利用は禁止します。

契約における義務付け

委託先との契約においては、守秘義務・セキュリティ要件・再委託の制限・監査権・インシデント発生時の報告義務・契約終了時のデータ返却または廃棄義務を明記します。

法令・規制への準拠

当社は、情報セキュリティおよびデータ保護に関する以下の法令・ガイドライン等を遵守します。

個人情報の保護に関する法律（個人情報保護法）および関連政令・規則
番号法（マイナンバー法）および特定個人情報の適正な取扱いに関するガイドライン
不正競争防止法（営業秘密の保護）
不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）
電気通信事業法における通信の秘密の保護
サイバーセキュリティ基本法
経済産業省「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」

免責事項

本条は当社の法的責任の範囲を明示するものです。当社のサービスおよびウェブサイトを利用することで、利用者はこれらの条件を理解の上で利用するものとみなします。

セキュリティ完全性の非保証

当社は、本ポリシーに従って合理的なセキュリティ措置を講じるよう最善を尽くしますが、あらゆるサイバー攻撃・不正アクセス・情報漏洩を完全に防止することを保証するものではありません。インターネットを介した情報通信には本質的なリスクが伴うことをあらかじめご了承ください。高度な持続的脅威（APT）・ゼロデイ脆弱性の悪用・ソーシャルエンジニアリング等、当社の合理的な対策の範囲を超えた攻撃によって損害が生じた場合、当社はその損害について責任を負いかねます。

不可抗力免責

天災・地震・洪水・火災・感染症の流行・戦争・テロリズム・政府機関による規制・大規模な電力障害・インターネットインフラの障害等、当社の合理的な支配の及ばない不可抗力的事由によって情報資産の保護または事業の継続が困難となった場合、当社はその責任を負いません。

第三者サービスに関する免責

当社のサービスが利用する第三者のクラウドサービス・外部APIサービス・決済サービス等のセキュリティインシデントまたは障害に起因して生じた損害については、当社は責任を負いません。当社はこれらのサービス提供者の運営を直接制御する立場にないため、それらのサービスのセキュリティ水準・稼働状況について保証することができません。

利用者起因の損害

利用者自身のパスワード管理の不備・フィッシング詐欺への応答・マルウェアに感染した端末からのアクセス等、利用者自身の行為または過失に起因して発生した情報漏洩・不正利用については、当社は一切の責任を負いません。利用者は、自己の責任において安全な環境からサービスを利用するものとします。

間接損害等の免責

当社の責任が認められる場合においても、逸失利益・機会損失・間接損害・特別損害・付随的損害・懲罰的損害については、当社は責任を負わないものとします。当社が損害賠償責任を負う場合の上限額は、原則として当該損害の発生に関連する当社サービスの対価として利用者が当社に支払った直近3ヶ月分の金額（または当該サービスが無償の場合はゼロ）を上限とします。

本ポリシーの限界

本ポリシーは当社の情報セキュリティに関する基本的な方針を示すものであり、すべての具体的なセキュリティ対策・手順・技術的詳細を網羅するものではありません。本ポリシーの存在は、当社のセキュリティ対策が完全であることを示すものではなく、将来にわたる情報資産の安全性を保証するものでもありません。

本免責事項は、消費者契約法その他の強行法規により免責が認められない場合には、その範囲において適用されません。

ポリシーの見直しと改定

当社は本ポリシーを組織の成長・技術環境の変化・法令改正・新たな脅威の出現に応じて継続的に見直します。定期見直しは少なくとも年1回実施し、必要に応じて臨時の改定を行います。

改定履歴

Rev. 1.0

2025年4月1日 — 初版制定

改定の通知

本ポリシーを重要な変更を伴って改定した場合は、当社ウェブサイトへの掲載および関係者への通知をもってこれを告知します。改定後のポリシーは掲載日より効力を生じ、継続してサービスを利用する場合は改定後のポリシーに同意したものとみなします。

お問い合わせ

本ポリシーに関するご質問・ご意見、または情報セキュリティに関わる懸念・インシデントの報告については、以下の窓口にお問い合わせください。

組織名

Liiivv

所在地

岐阜県岐阜市

お問い合わせ

当社ウェブサイトのお問い合わせフォームよりご連絡ください

セキュリティ報告

脆弱性・インシデントの報告は、件名に「セキュリティ」を明記のうえお問い合わせフォームよりご連絡ください

当社は、善意に基づくセキュリティ脆弱性の報告（責任ある開示）を歓迎します。