情報セキュリティ・コンプライアンス概説書

Inkstone NZ Ltd (The English Farm) 公式トラスト・ドキュメント

エグゼクティブ・サマリー

Inkstone NZ Ltd(商号:The English Farm)は、独自のビデオ技術を活用したエンタープライズ・グレードのオンライン英語教育プラットフォームを提供しています。本文書は、セキュリティ、法的透明性、および運用のレジリエンス(回復力)に対する当社の取り組みを概説するものです。

  • 実績ある歴史: 2008年以来、法的および規制上のコンプライアンスを完全に遵守して運営。
  • 実証済みのセキュリティ: 過去5年間、報告対象となるデータ侵害やセキュリティインシデントは発生していません。
  • フレームワークの準拠: CIS Controls v8.1 (IG1) および ISO 27001:2022 組織管理策に正式に準拠。
  • インフラ: 多要素認証(MFA)および AES-256 暗号化を必須としたクラウドネイティブなAWSアーキテクチャ上に構築。
  • グローバル基準: GDPR/CCPA、英国贈収賄法、および米国海外腐敗行為防止法(FCPA)を完全に遵守。

1. 企業プロファイルおよび法的地位

Inkstone NZ Ltd(2008年設立)は、ニュージーランド登録法人(会社番号:2052075)であり、1/53 Davis Crescent, Newmarket, Auckland 1023, New Zealand に本社を置いています。2016年以降、当社は独自のビデオチャット技術を介し、トレーニングを受けた有資格の英語講師による1対1のエンタープライズ・グレードのオンライン英語教育の提供に特化しています。

法的地位および検証済みコンプライアンス

Inkstone NZ Ltdは、2008年の設立以来、継続的かつコンプライアンスを遵守した運営実績を維持しています。当社の法的地位は、ニュージーランド法および国際法に対する以下の5つの柱に基づいた検証済みの遵守体制によって構築されています。

  • 一般商業ガバナンス: 国内および国際的なビジネス契約の継続的な遂行。
  • 雇用および労働: 労働法、安全衛生、および雇用規制の完全な遵守。
  • プライバシーおよびデータ保護: グローバルなデータ保護義務との検証済みの整合。
  • 紛争解決: プロフェッショナルな契約上の解決における実証済みの実績。
  • 金融市場規制: コーポレートガバナンスおよび金融市場法規の厳格な遵守。

独立データ管理者としての地位

Inkstone NZ Ltdは、企業エコシステム内において「独立データ管理者(Independent Data Controller)」として活動しています。この指定は、専門的な言語サービスの提供に必要なデータ処理方法を決定する当社の自律性を反映すると同時に、規制遵守に対する直接的な責任を負うことを示すものです。

2. セキュリティアーキテクチャおよびインフラストラクチャ

Inkstoneは、フォーチュン500企業およびグローバル企業の調達部門が求める可用性とセキュリティ要件を満たすよう設計された、復元力の高いクラウドネイティブアーキテクチャを採用しています。

インフラストラクチャおよびデータリポジトリ

カテゴリー コンポーネント
クラウドインフラストラクチャ Amazon Web Services (AWS) - RDS, S3, Dynamo, EC2
生産性スイート Google Workspace
独自プラットフォーム TEFTalk(独自WebRTCビデオチャットツール)、CMS、ユーザー管理および教育用ツールを包含

技術的セキュリティ管理策

  • マルウェア対策: 環境固有のエンドポイント保護を適用しています。これには、Windowsベースのサーバー環境向けのWindows DefenderおよびMalwarebytes、Macベースのシステム向けのSophos Antivirusが含まれます。すべてのインフラストラクチャは、Amazon GuardDutyによって継続的に監視されています。
  • 暗号化基準: 転送中および保存中のすべてのデータは、業界標準の暗号化技術によって保護されています。設定の整合性は、自動化されたインフラ監査ツールを通じて継続的に検証されています。
  • 悪意のあるコードの防止: すべてのソフトウェアコンポーネントおよび成果物について、ウイルス、ワーム、バックドア、トロイの木馬の厳格なチェックが行われていることを保証します。

3. コンプライアンスフレームワークおよび監査履歴

CIS Controls 準拠

独立した正式なギャップ分析により、Inkstoneが現在 Center for Internet Security (CIS) Controls v8.1 Implementation Group 1 (IG1) に準拠していることが確認されており、中小企業向けの堅牢な防御ベースラインを提供しています。

ISO 27001:2022 組織管理策

Inkstoneは、ISO 27001:2022 フレームワークとの文書化された整合性を維持しています。具体的には以下の通りです。

  • ポリシーガバナンス: 正式な情報セキュリティ方針が策定され、12か月ごとに経営陣によってレビューおよび承認されています。
  • サードパーティ監視: すべてのサプライヤーおよび外部パートナーのオンボーディング、レビュー、およびセキュリティポスチャの監視に関する標準プロセスが実装されています。
  • 独立した検証: 外部セキュリティレビューが定期的に実施されています。

4. 運用セキュリティ管理策

アイデンティティおよびアクセス管理 (IAM)

Inkstoneは、すべてのシステムにわたって最小権限の原則と職務分掌を徹底しています。

  • MFAの義務化: すべての管理者アクセスおよびクラウドアクセスにおいて、多要素認証(MFA)が必須となっています。
  • 離職プロトコル: 従業員および請負業者のすべてのアクセス権限は、離職・契約終了から2カレンダー日以内に抹消されます。
  • アクセスレビュー: 機密データを含むシステムへのユーザーアクセス権限は、半年ごとにレビューされます。

脆弱性管理

当社の環境は、週次の内部および外部脆弱性スキャンの対象となっており、これには不正アクセスのポイントを特定・遮断するためのファイアウォールポートのチェックも含まれます。

リスクの深刻度 是正期間
クリティカル(緊急) 14日以内
高リスク 30日以内
中リスク 90日以内

5. データプライバシーおよびガバナンス (GDPR/CCPA)

プライバシー・バイ・デザイン

Inkstoneは、「プライバシー・バイ・デザイン」およびデータの最小化を核となるエンジニアリング原則として実装しています。GDPRのデータポータビリティ要件をサポートするため、プラットフォームはリクエストに応じて、すべてのユーザープロフィールおよびレッスンデータのJSONエクスポート形式を提供します。

データの保持と最小化

個人データは、削除リクエストを受領するまで、またはユーザーのアクティビティが5年間停止するまで保持されます。

サードパーティの復処理者管理

データ共有は、以下の不可欠な復処理者(サブプロセッサー)に厳格に限定されています。

  • インフラ: Amazon(言語指導において物理的な教科書が必要な場合に限り、配送先住所のみを提供)。
  • アナリティクス: Google Analytics(サービス最適化のために技術的メタデータおよびIPアドレスを処理)。
  • 教育スタッフ: 講師には学習者の氏名、役職、プロフィール写真のみへのアクセスが許可されます。技術的な管理策により、講師がそれ以外の広範な学習者データセットにアクセスすることは防止されています。

6. インシデント管理およびレジリエンス

セキュリティインシデント履歴

Inkstoneは極めて良好なセキュリティ記録を維持しており、過去5年間で監督官庁への報告が必要なインシデントおよび確認されたデータ侵害はゼロ件です。

通知およびエスカレーション

セキュリティインシデントの疑いが発生した場合、InkstoneはAWS GuardDutyのトリガーによる検知と、Jira Service Managementによるエスカレーションポリシーの執行を行います。当社は、侵害を特定してから24時間以内にお客様に通知することを確約します。

事業継続および災害復旧 (BCDR)

Inkstoneは、地理的に分散されたデータセンター間にリカバリノードを備えた高可用性ソリューションを維持しています。

  • 目標復旧時間 (RTO): 重要な機能の復旧まで24時間以内。
  • 目標復旧時点 (RPO): 最大データ損失しきい値を12時間以内に設定。

7. 導入フレームワークおよびサービス基準

プラットフォーム要件

独自技術であるTEFTalkセッションのセキュリティの整合性を維持するため、ユーザーはMicrosoft Edge、Firefox、Google Chrome、またはSafariの最新バージョンを使用する必要があります。セキュアなセッション・ハンドシェイクを促進するため、CookieとJavaScriptを有効にする必要があります。

サプライヤー行動規範

Inkstoneは、グローバルな倫理基準に完全に準拠して運営されています。これには以下が含まれます。

  • 腐敗防止: 英国贈収賄法2010および米国海外腐敗行為防止法(FCPA)の厳格な遵守。
  • 通商コンプライアンス: 国際的な貿易管理および制裁の遵守。
  • 人員のセキュリティ: すべてのスタッフは採用時およびその後毎年、プライバシーとセキュリティに関するトレーニングを受けます。トレーニングには、フィッシング、ディープフェイク、ホエーリング、スミッシング、ビジネスメール詐欺(BEC)などの最新の脅威ベクトルが含まれます。

人員の審査

標準的なリスクプロファイルでは全スタッフに対する一律のバックグラウンドチェックは義務付けられていませんが、Inkstoneは、お客様の費用負担で割り当てられた人員のバックグラウンドチェックを要求できるというエンタープライズ要件に対応しています。当社は、要求があった場合、そのようなチェックをクリアした人員のみが当該のお客様専用の業務に割り当てられることを保証します。