PhotoRobotの技術的および組織的措置(TOM)
本文書は、PhotoRobotの技術および組織的措置(TOM)を、GDPR第32条:バージョン1.0 – PhotoRobot Edition、uni-Robot Ltd.、チェコ共和国に基づき定義しています。この文書は2025年12月31日を最後に更新しており、DPAおよびSLAに基づくPhotoRobotの契約義務の遵守を支持しています。
1. 導入 - PhotoRobot TOMs
本文書は、一般データ保護規則(GDPR)第32条に基づき、個人データ処理に適切なセキュリティレベルを確保するために、uni-Robot Ltd.(PhotoRobot)が実施する技術的および組織的措置(TOM)について説明しています。
これらの措置はPhotoRobotサービスの運用に適用されますが、以下に限定されません:
- PhotoRobotがクラウドを制御する
- PhotoRobot クラウド 2.0
- PhotoRobotはローカル制御(クラウドサービスに接続時)
- APIおよび関連するオンラインサービス
- 支援インフラおよび内部システム
この文書はPhotoRobotのTOMの権威ある説明であり、データ処理契約(DPA)、監査、企業のセキュリティレビューで参照されることがあります。
2. 範囲と適用範囲
ここで述べるTOMは以下に適用されます:
- PhotoRobotサービスの一部として顧客のために処理される個人データ
- サービスの提供、維持、安全確保に必要な内部運用データ
これらの措置は以下を考慮して設計されています:
- 最先端
- 実施コスト
- 処理の性質、範囲、文脈、目的
- 自然人の権利と自由に対するリスク
3. 組織のセキュリティ対策
3.1. 情報セキュリティガバナンス
PhotoRobotは、情報セキュリティ、データ保護、システムの適切な使用に関する内部方針と手順を維持しています。
セキュリティおよびデータ保護の責任は組織内で明確に定義されており、プライバシーや法務に関する連絡先の指定も含まれています。
3.2. 従業員の機密保持と認識
- 従業員と契約者は守秘義務に拘束されます
- システムへのアクセスは知る必要最低限に与えられます
- セキュリティおよびデータ保護の意識は、オンボーディングおよび継続的な業務の一環として推進されています
4. アクセス制御と認可
4.1. ロールベースアクセス制御(RBAC)
システムや顧客データへのアクセスは 、ロールベースアクセス制御(RBAC) の原則を用いて制御されています。
- ユーザーはタスクを実行するために必要な最低限の権限が与えられます
- 管理アクセスは許可された職員に限定されています
4.2. 認証
- 強力な認証機構は内部および外部システムで使用されます
- パスワードポリシーとアクセス認証情報は安全に管理されています
- アクセス資格情報は共有してはなりません
5. インフラおよびネットワークセキュリティ
5.1. ホスティングとクラウドインフラストラクチャ
PhotoRobotのサービスは、業界標準の物理的および環境的セキュリティ管理を実装するプロフェッショナルなクラウドインフラプロバイダー(例:Google Cloud Platform)上でホストされています。
5.2. ネットワーク保護
- ネットワークトラフィックはファイアウォールとアクセス制御によって保護されています
- 公開サービスは内部システムから隔離されています
- インフラコンポーネントは可用性やセキュリティイベントを監視します
6. 暗号化とデータ保護
6.1. データ・イン・トランジット
- クライアントとPhotoRobotサービス間で送信されるデータはTLS/HTTPSで暗号化されています
- APIやクラウドインターフェースには安全な通信チャネルが強制されています
6.2. データアット・アット・レスト
- クラウドインフラに保存されたデータは、ホスティングプロバイダーが提供する暗号化機構によって保護されています
- 保存データのアクセスは認可されたシステムおよび職員に限定されています
7. ログ、モニタリング、インシデント検出
7.1. 伐採
- システムログは運用およびセキュリティ関連のイベントに対して生成されます
- ログはトラブルシューティング、監視、インシデント分析に使用されます
7.2. モニタリング
- サービスは可用性、性能、異常を監視しています
- 異常な行動やサービスの中断があった場合にアラートが発動されます
8. インシデント対応および侵害管理
PhotoRobotは、個人データ漏洩を含むセキュリティインシデントの対応手順を維持しています。
これらの処置には以下が含まれます:
- 事故の特定と評価
- 緩和および封じ込め対策
- 内部のエスカレーション
- 必要に応じて顧客とのコミュニケーション
- GDPR違反通知義務(GDPR第33条および第34条)の遵守
9. バックアップ、可用性、事業継続
9.1. バックアップ
- データバックアップは標準的なクラウド運用の一環として行われます
- バックアップは災害復旧およびサービス継続性の目的で使用されます
9.2. 入手可能性
- サービスの利用可能性を維持するために合理的な努力がなされています
- 計画的なメンテナンス活動は一時的なサービス中断を引き起こすことがあります
可用性目標や応答時間に関する詳細は、適用される サービスレベル契約(SLA)に別途記載されています。
10. 安全な開発と変革管理
10.1. 安全な開発の実践
PhotoRobotは、以下のような構造化された開発および展開プロセスを踏襲しています:
- 適切な場合、開発、テスト、本番環境の分離
- 制御展開手順
- バージョン管理と変更トラッキング
10.2. アップデートとパッチ適用
- ソフトウェアコンポーネントはセキュリティの脆弱性に対応するために更新されます
- 重要なアップデートはリスク評価に基づいて優先順位付けされます
11. サブプロセッサーおよび第三者
PhotoRobotはサービス提供(例:ホスティング、メールサービス)を支援するためにサブプロセッサを活用することがあります。
- サブプロセッサーは、そのセキュリティおよびデータ保護の実践に基づいて選定されます
- 現在の サブプロセッサのリスト は別途管理され、公開されています
12. 物理的セキュリティ
サーバーやデータセンターへの物理的アクセスはクラウドインフラプロバイダーによって管理され、以下が含まれます:
- アクセス制御
- 監視と見守り
- 環境保護
PhotoRobotは独自のデータセンターを運営していません。
13. データの最小化と保持
- サービス提供に必要なデータのみが処理されます
- 個人データは契約上、法的、または業務上の目的で必要な期間のみ保持されます
- データの削除および保持期間は、関連する方針や契約で定められています
14. レビューと最新情報
これらの技術的および組織的措置は定期的に見直され、必要に応じて更新されます:
- 技術の変化
- サービスの変更
- 進化するセキュリティおよび規制要件
重要な変更は必要に応じて顧客に通知されることがあります。
15. 連絡先情報
これらの技術的および組織的措置に関するご質問:
ユニロボット株式会社
ヴォディチコヴァ 710/31
110 00 プラハ 1
チェコ共和国
メール:legal@photorobot.com
最後の注記
これらのTOMはPhotoRobotの現在の技術的および組織的措置を説明し、顧客に透明性と安心を提供することを目的としています。これらは途切れないサービスや絶対的なセキュリティを保証するものではなく、リスクベースかつ比例したデータ保護および情報セキュリティのアプローチを反映しています。