1. 基本方針
当社は、学校現場で安心して利用いただける学習環境の提供を目的として、個人情報保護・情報セキュリティの両面から適切な管理体制を構築します。
2. アカウントと識別子
- 匿名ID運用:氏名・メールなど直接識別子を保持しない設計を基本とします(管理者画面での名寄せ機能は提供しません)。
- ロール・権限:利用者・教員・管理者等の権限を分離し、最小権限で運用します。
- 多要素認証:管理者アカウントは多要素認証を推奨・段階的に必須化します。
3. ログ・監査・モニタリング
- アクセスログ、操作ログ、エラーログを適切に記録・保全します。
- 不正利用や異常なアクセスが疑われる場合、速やかに遮断・調査を実施します。
- 管理者向け画面で、クラス・時間帯ごとの利用状況を可視化します。
4. データの取扱い
- 用途制限:本サービスの学習目的に限定し、広告目的には利用しません。
- 暗号化:通信はTLSにより暗号化し、保存データは機微性に応じて暗号化します。
- 権限分離:開発・運用・サポートを分離し、レビュー・承認を経て作業を実施します。
- データ保持:法令・契約・教育委員会の要件に基づき、保持期間を設定します。
5. リージョン・委託
- 国内運用:原則として国内リージョンを選択可能です。要件により別リージョンを希望される場合は個別にご相談ください。
- 委託先管理:クラウド・CDN・分析等の委託先には、情報セキュリティに関する契約を締結し、適切に監督します。
6. インシデント対応
- 漏えい・不正アクセス等が発生した場合、影響範囲の特定と再発防止策を迅速に実施します。
- 所管官庁・関係機関・利用者への連絡が必要な場合は、法令・ガイドラインに則り対応します。
7. 教育現場での安全運用
- フィルタリングや回答制御により、学習目的に即した出力を推奨します。
- クラスコード等の共有には期限・ローテーションの設定を推奨します。
- 校内のネットワーク事情に応じ、軽量モードやキャッシュ設定の最適化を行います。
8. 方針の改善
法令やガイドライン、利用環境の変化に応じて、本方針は随時見直し・改善します。