ロイロノート・スクール

セキュリティに関するホワイトペーパー

個人情報保護・セキュリティに関する取り組みについて

最終改訂日:2023年9月25日

個人情報保護方針

当社は、ソフトウェア開発・運用・保守事業を行うに当たって、顧客並びに当社従業者の個人情報を保護することは、重大な社会的責任と認識し、「情報保護こそサービスの基本」を理念とし、以下に示す方針を実行・維持するために個人情報保護マネジメントシステムを構築し、運用するとともに、その継続的改善に全社を挙げて取り組むことを宣言します。

  • 当社は、ソフトウェア開発・運用・保守事業並びに従業者の雇用・人事管理上必要な範囲に限定した適切な個人情報の取得、利用及び提供を行います。また、特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(目的外利用)を行わず、それを実現するための措置を講じます。
  • 当社は、個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守いたします。
  • 当社は、個人情報への不正アクセス、個人情報の漏えい、滅失又はき損の防止及び是正に努めます。
  • 当社は、個人情報に関する苦情及び相談に、適切かつ迅速に対応いたします。
  • 当社は、個人情報保護マネジメントシステムを継続的に改善いたします。
データ利用の方針

個人情報は法令によるものなど特別な場合を除いて第三者へは一切提供いたしません。
また、個人情報の取得も利用のための最小限にとどめるように努めております。
詳しくはプライバシーポリシーの3条と6条をご覧ください。
https://n.loilo.tv/ja/privacy

プライバシーマーク JIS Q 15001と個人情報保護の取り組み

当社では、2019年4月18日にプライバシーマークを取得いたしました。

プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

当社は個人情報保護方針に基づき、個人情報の特定・リスク分析・対策とその運用、従業員の教育などを行い、定期的にその運用状況を点検・評価し、課題の改善を実施することで、適切な個人情報保護体制を整備しています。

GDPR・U.S. Privacy Laws(FERPA/ COPPA/ SOPIPA)
  • EUは、GDPR(一般データ保護規則)第45条に基づき、我が国の十分性認定を行っています。また、後述の通りロイロノート・スクールのデータセンター(Amazon Web Services)はGDPRに対応しています。そのため、EEAから適切にデータを移転することができます。
  • アメリカにおけるFERPA、COPPA、SOPIPAなどの法令への対応については、Privacy Policy for U.S. Usersをご覧ください。
    https://n.loilo.tv/en/privacy
データセンター

ロイロノート・スクールのデータセンターは、Amazon Web Services(以下AWS)を日本法準拠で利用しています。

データセンターのセキュリティとコンプライアンス

当社のデータセンタープロバイダーであるAmazon Web Servicesは、ISO 27001、ISO 27017、ISO 27018認証に準拠しています。ISO 27001はセキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定したセキュリティ管理標準です。ISO 27017は、クラウドサービスプロバイダーに特化したクラウドセキュリティを対象としています。ISO 27018は、クラウドにおける個人データの保護に焦点を当てた国際的な実務規範です。

また、AWSは一般データ保護規則(GDPR)へも対応しているため、EEA からGDPR に準拠して欧州委員会 (米国を含む) から適切な決定を受けていない 非 EEA 諸国にデータを転送することができます。
https://aws.amazon.com/compliance/gdpr-center/

AWSのその他のセキュリティとコンプライアンスを含め、詳細は以下をご覧ください。
https://aws.amazon.com/jp/compliance/programs/

ISMAP 政府情報システムのためのセキュリティ評価制度

ロイロノート・スクールのデータセンターであるAmazon Web Servicesは、2020年に開始された政府情報システムのためのセキュリティ評価制度(ISMAP)認証を受けています。
https://www.ismap.go.jp/csm?id=cloud_service_list

政府情報システムのためのセキュリティ評価制度とは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
https://www.ismap.go.jp/csm?id=csm_ismap_index

データセンターの安全性

アクセンチュア株式会社、株式会社エヌ・ティ・ティ・データ、PwCあらた有限責任監査法人、富士ソフト株式会社が協働でまとめた「AWSクラウド利用における政府機関向けセキュリティリファレンス」によると、AWSは内閣サイバーセキュリティセンター(NISC)が発行している「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」に適合可能で政府機関等での利用も問題ないとされるほど信頼性の高いデータセンターです。

詳細な資料は以下をご覧ください。

「AWSクラウド利用における政府機関向けセキュリティリファレンス」(PwCあらた有限責任監査法人)
https://www.pwc.com/jp/ja/services/assurance/cloud-advisory-assuarance/aws.html

「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」
https://www.nisc.go.jp/policy/group/general/kijun.html

AWSが取得しているセキュリティ認証に関してはこちらもご覧ください。
https://aws.amazon.com/jp/compliance/programs/

AWSのセキュリティに関するホワイトペーパーはこちらをご覧ください。
https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/AWS_Risk_and_Compliance_Whitepaper_JP.pdf

通信の暗号化

ロイロノート・スクールで使われる通信はすべて暗号化されます。
もし通信の途中経路でデータを盗聴されるようなことがあったとしても安全です。

安定したサービスの提供

安定したサービスを持続的に提供するため、リアルタイムでサービス稼働状況を公開しています。
https://status.loilonote.app/ja
2019年1~3月期のサービス稼働率100%、可用性は99.9897%を達成しております。

バックアップ

ロイロノート・スクールのデータは東日本大震災レベルの大規模災害が発生した場合でも復旧できるように、複数の遠隔地へバックアップを行っています。

ソフトウェアの脆弱性対策

利用しているソフトウェアに緊急性が高いと判断したセキュリティパッチが発行された場合には、少なくとも1週間以内に適応を行っています。緊急性の高くないものに関してはサーバーソフトウェアの更新時(おおよそ1月に1回程度)に適応を行っています。
また、弊社が開発しているソフトウェアについては、IPA(情報処理推進機構)の発行している「ウェブアプリケーションのセキュリティ実装 チェックリスト」に従って、継続的な対策を行っています。

導入実績

日本・台湾・アメリカなど、世界の多くの自治体・学校様においてご利用いただいています。

導入学校数:約12,000校
導入自治体数:約700自治体
(2023年9月時点)