©2025 Akamai Technologies
Noname API Security サービスの TOM
最終更新日:2024 年 11 月
次に適用される TOM: API Security サービス (次のように定義:「サービス」)。
本「サービス」に関連して処理される個人データ:顧客の API トラフィックに埋め込まれた個人データ、例えば、IP アドレス、名前、メール、クレジットカード番号、および SSN(次のように定義:「API 個人データ」)。
これらの TOM は、API Security サービス SaaS およびハイブリッドバージョンに適用されます。
API Security サービス SaaS、ハイブリッドまたはオンプレミスバージョンのサポートサービスに関連して処理される個人データは、データ処理者のサブプロセッサーリストに記載されているサポート・チケット・システムを提供しているサブプロセッサーによって適用される TOM に基づいて保護されます。
個人データの仮名化および暗号化の対策
本「サービス」は、銀行口座番号、生年月日、クレジットカード、CVV、医療データ、宗教、給与、社会保障番号、パスポートの詳細など、「API 個人データ」内の極めて機微な情報カテゴリーの自動難読化を適用します。顧客は、難読化の追加データカテゴリーを含めることを選択できます。
「API 個人データ」は、業界標準に対応する承認済みの方法(AES-256、TLS 1.2 以降など)を使用して、保存中および転送中に暗号化されます。
処理システムおよびサービスの継続的な機密性、整合性、可用性および回復力を確保するための対策
データ処理者は、情報および処理システムの継続的な機密性、整合性、可用性および回復力を確保できるように設計された、次のような、企業の情報セキュリティおよびコンプライアンスプログラムを実装および維持しています。
- 機密性に関する合意
- データプライバシーおよび情報セキュリティトレーニング
- 情報セキュリティポリシーおよび手順
- バックアップ手順
- サード・パーティー・データセンター内のリモートストレージ
- クラウド・サービス・プロバイダーのプライマリー・データ・センターでの物理的なシステム停止による、復旧および可用性を確保するために各顧客が選択した AWS など(データ処理者のサブプロセッサーリストに記載)クラウド・サービス・プロバイダーを介した、さまざまな可用性ゾーンの使用
- システムを侵入から保護し、データ処理者のシステム、コンピューティングデバイスまたはネットワークへの不正アクセスが目的である攻撃または試行の範囲または成功を制限するのに役立つ、ファイアウォールの使用、更新された侵入検知および防止システムなど、24 時間体制のネットワークセキュリティ制御
- 外部システムまたはネットワークからデータ処理者のネットワークにアクセスしているあらゆる個人に対して多要素認証を必要とするなど、データ処理者のシステムまたはネットワークへのアクセスを監視および制御するためのリモートアクセス制御
- ソフトウェアおよびファームウェアへのセキュリティパッチおよび更新をタイムリーに実装するパッチ管理手順および制御
- ウイルス、ボット、他の悪性コード、ウイルス対策による防御など、新規および既存のセキュリティ脆弱性および脅威を識別、評価、緩和、およびこれらから保護する脆弱性管理手順およびテクノロジー
- 個人データを偶発的な破壊または喪失から保護する可用性制御
物理または技術インシデントが発生した場合に、個人データの可用性およびアクセスを適切なタイミングで復元できるようにするための対策
データ処理者は次を維持します。
- 事業継続性計画
- 災害復旧手順
- 完全な環境復旧演習を通じてなど、維持および実践されているインシデント対応計画
データ処理者の本番システムは、必要に応じて内部バックアップ手順によって定期的にバックアップされます。
プロセスのセキュリティを確保するために、技術的かつ組織的な対策の有効性を定期的にテスト、査定および評価するためのプロセス
データ処理者は、次のプロセスを実装しています。
- 内部および外部監査プログラム、監査レポートおよびドキュメント
- バックアッププロセスおよび事業継続性手順のテスト
- 定期的なリスク評価およびシステム監視
- 定期的な脆弱性および侵入テスト
データ処理者は、https://www.akamai.com/ja/legal/compliance に記載されているような定期的なセキュリティ評価を受け、認定を取得します
ユーザー識別および認可用の対策
データ処理者は、例えば次のようなユーザー識別および認可を管理するポリシーおよび手順を維持します。
- パスワードおよび認証要件を確立、管理および制御するためなどの内部ポリシーおよび手順
- アクセス資格情報の割り当て、選択および保存の安全な方法、ならびに合理的な数の認証アクセス失敗後のアクセスのブロックなど、ユーザー認証制御
- 特定のユーザーへのアクセスの制限
- アクセス権のアクセス認可、確立、変更および終了のためのプロトコルによってサポートされている、知る必要がある人に絞って許可されたアクセス
- システムのログおよびレポート
- 制御認可スキーム
- 差別化されたアクセス権(プロファイル、役割、トランザクションおよびオブジェクト)
- アクセスの監視およびログ
- アクセスのレポート
- アクセスポリシーおよび手順
- 変更管理ポリシーおよび手順
伝送中のデータの保護用対策
「API 個人データ」は、伝送中に次によって保護されています。
- TLS 1.2 以降など業界標準を介して転送中の暗号化
- 各顧客の好みに応じて、各顧客によって管理されるあらゆる機微な情報の難読化
- ネットワークおよび顧客データ分離
- セキュリティ関連イベントのログおよび監視
保存中のデータの保護用対策
「API 個人データ」は、保存中に次によって保護されています。
- AES-256 など業界標準を介して保存中の暗号化
- アクセス制御
- 他の顧客のデータからのデータベースの分離および顧客データの論理的なセグメンテーション
- 機能および環境(本番/テスト/開発)の分離
- さまざまな目的のためのデータの保存、修正、削除、伝送の手順
個人データが処理される場所の物理的なセキュリティを確保するための対策
次の対策は、データ処理者が「API 個人データ」を独自のサーバーに保存しないため、各顧客が選択した AWS や他のクラウド・サービス・プロバイダー(データ処理者のサブプロセッサーリストに記載)など、サブプロセッサーによって処理されます。
- セキュリティ領域(アクセスパスの制限)の確立
- 知る必要がある従業員およびサードパーティーのアクセス認可の確立
- アクセス制御システム(ID リーダー、磁気カード、チップカード)
- キー管理、カードキー手順
- ドアロック(電動ドアオープナーなど)
- セキュリティスタッフ
- 施設の監視、ビデオ/CCTV 監視、警報システム
- 分散型処理装置および PC のセキュリティ確保
顧客によって選択された各クラウド・サービス・プロバイダーによって適用された詳細な対策は、それぞれの Web サイトで確認できます。
イベントログを確保するための対策
データ処理者は、例えば次のようなイベントログを確保するポリシーおよび手順を維持します。
- ユーザー識別および認証手順
- ID/パスワードセキュリティ手順
- 設定された数のログイン失敗後のアカウント自動ブロックおよびロックアウト
- 操作が行われていなかった場合の自動セッションタイムアウト
- 侵入試行の監視や、複数回の誤ったパスワード試行時のユーザー ID の自動オフなど、効果的なフォレンジック調査を可能にする完全な監査証跡を作成および維持するログ管理手順およびテクノロジー
- ユーザーごとに 1 つのマスターレコードの作成
デフォルト設定など、システム設定を確保するための対策
データ処理者は、システムが業界標準に従って設定および維持されるように、次のような手順およびポリシーを維持します。
- 最新の基本設定ドキュメントおよび設定
- ソフトウェア、コンピューティングデバイスおよびネットワークが業界標準に則した規定の内部標準に従って開発、設定および維持されるようにするための運用手順および制御
- システム設定内の変更には、特定の権限が必要です
内部 IT および IT セキュリティガバナンスおよび管理用対策
データ処理者は、SOC 2 Type 2、CSA STAR 2、PCI DSS、HIPAA など、業界標準に従って IT ガバナンスを管理し、例えば次のような対策を適用します。
- 情報セキュリティポリシーおよび手順
- インシデント対応計画
- 定期的な内部および外部監査
- 情報セキュリティプログラムのレビューおよび監督
- 従業員の定期的な情報セキュリティおよびプライバシートレーニング
- 最小権限の原則に基づいたデータへのアクセス
プロセスおよび製品の認定/保証用対策
データ処理者は、次の認定を取得しています。
- SOC 2 Type 2
- Cloud Security Alliance(CSA)STAR 2
- HIPAA
- PCI DSS
詳細については、https://www.akamai.com/ja/legal/compliance に記載されています
データ最小化を確保するための対策
データ処理者は、例えば次のような、その「設計に組み込まれたプライバシー」という原則により、そのサービスおよびシステムがプライバシー要件に準拠して開発および設計されていること、および必要なデータ範囲のみが処理されることを保証します。
- 処理の目的を達成するために最小限のデータ量が処理されるようにすること
- API セキュリティインシデントが検知された場合にのみ、データが取得され、API ベースラインを確立するために、API ごとにほんの少数のパケットのみが収集されます
- 本「サービス」によって取得される特定の機微な情報カテゴリーの個人データは、自動的に難読化され、顧客は、各顧客の好みに応じて追加カテゴリーの個人データを難読化することを選択することもできます。これは、各顧客によって直接、管理されます
データ品質を確保するための対策
データ処理者は、API トラフィックパケットをそのまま受信するので、一度受信したパケット内の「API 個人データ」を更新または修正はできません。
制限されたデータ保持を確保するための対策
「API 個人データ」は、契約期間中、保存され、顧客の要求に応じて早期に削除できます。
説明責任を確保するための対策
データ処理者は、例えば次のようなさまざまな対策の実施を通じて説明責任を確保します。
- データを保護する内部ポリシーおよび手順
- 設計およびデフォルトに組み込まれたプライバシー
- データ処理のレコード
- プライバシー影響評価(必要な場合)
- ベンダー・オンボーディング・プロセスおよびデューデリジェンス評価
- サブプロセッサー制御(サブプロセッサーおよび十分な契約を選択するための適切な基準を含む)
- データプライバシーおよび情報セキュリティ・トレーニング・プログラム
データポータビリティを許可し、消去を確保するための対策
データ処理者は、次の対策を通じて、ポータビリティおよび消去を確保します。
- 顧客は、ワークフローを使用して、「サービス」を独自のシステムと統合し、そのシステム内で「API 個人データ」を自動的に受信できます
- 「API 個人データ」は、顧客の要求に応じてエクスポートできます
- 「API 個人データ」は、顧客の要求に応じて削除できます
- NIST ベストプラクティスに従い、各顧客が選択した AWS や他のクラウド・サービス・プロバイダー(データ処理者のサブプロセッサーリストに記載)によって管理される「API 個人データ」の削除
(サブ)プロセッサーへの転送については、(サブ)プロセッサーがコントローラーに支援を提供できるようにするためにとるべき特定の技術的かつ組織的な対策についても説明してください
データ処理者がサブプロセッサーと連携する場合、データ処理者およびサブプロセッサーは、データ処理者とデータコントローラーの間の契約に含まれているデータ保護義務と実質的に類似したデータ保護義務を含んだ契約を締結します。
プロセッサーがコントローラーに支援を提供できるようにするためにとるべき特定の技術的かつ組織的な対策の説明。
データ処理者のコントローラーへのサポートに関する詳細については、データ処理契約および関連サービス契約を参照してください。