Bell Privacy Center
Security

データセキュリティ

Bellは、音声データや通話ログなどセンシティブな情報を保護するため、技術的・組織的安全管理措置を多層的に実施しています。インシデント対応体制を整え、継続的に改善を図ります。

また、外部のセキュリティ専門会社 Secure Kernel と年1回以上のセキュリティ診断を実施し、第三者の評価に基づいた改善サイクルを維持しています。

技術的安全管理措置

通信・保管時の暗号化

通信はTLS 1.2以上(可能な範囲でTLS 1.3)を使用し、保管時はAES-256相当の暗号化(クラウド標準暗号化を含む)を適用します。

鍵管理とローテーション

暗号鍵はKMS等で集中管理し、アクセスは最小権限で制御します。鍵は定期的にローテーションし、監査ログを保持します。

バックアップ・ログ保護

バックアップデータや監査ログも暗号化対象とし、アクセスログは原則12か月保管して追跡性を確保します。

アクセス制御

多要素認証、IP制限、ロールベースアクセス制御(RBAC)により、必要なメンバーだけがデータにアクセスできます。権限付与・剥奪は申請承認フローで管理し、四半期ごとに棚卸を実施します。

特権IDと操作ログ

特権IDは個別付与・貸与禁止を原則とし、操作ログを記録します。重要操作は監査対象とし、異常が検知された場合はインシデント対応チームへ自動通知します。

組織的安全管理措置

情報セキュリティ委員会

リスク評価と対策状況のモニタリングを定期的に行い、経営陣へ報告します。

従業員教育

入社時研修と年次研修で個人情報保護とセキュリティの実務を学び、秘密保持契約を締結します。

委託先管理

委託先に対しても同等のセキュリティ基準を求め、契約条項に基づく管理・監査・改善指示を実施します。主要な委託先の一覧を公開し、更新時は告知します。

脆弱性管理

脆弱性スキャンは月次で実施し、外部診断は年1回以上実施します。重大な脆弱性は原則7日以内、その他は30日以内の是正を目標とします。

インシデント対応プロセス

  • インシデント検知直後に原因分析と影響範囲の特定を行います。
  • 個人情報の漏えい・改ざん・滅失、通信の秘密に関わる事故、サービス停止などを通知トリガーとします。
  • 一次報は原則24時間以内に、詳細報は72時間以内を目標に、メールまたは管理画面を通じて通知します。
  • 被害拡大を防止する暫定措置を実施し、関係者への連絡と法令に基づく報告を行います。
  • 再発防止策を策定し、手順と教育内容を更新します。

重大な影響が想定される場合は、関係するお客様・発信者への連絡と再発防止策の共有を迅速に行い、信頼確保に努めます。