メインコンテンツへスキップ
WeeMed Logo

革新的な技術を通じて医療機関向けのスマート情報システムを構築し、医療サービスの品質向上に取り組んでいます

瑋易科技株式会社

法人番号:00085209

フォローする:

クイックナビゲーション

  • 会社概要
  • ソリューション
  • サービス
  • 技術
  • ニュース
  • 採用
  • お問い合わせ

法的情報・企業情報

プライバシーポリシー利用規約情報セキュリティポリシーESG 持続可能性

お問い合わせ

カスタマーサービス
+886-4-23016388
メール
service@weemed.ai
会社住所
台中市西区台湾大道二段186号20階の1
© 2024-2026 瑋易科技株式会社。無断転載を禁じます。
ESG 持続可能性プライバシーポリシー利用規約情報セキュリティポリシー
WeemedAI Logo
ホーム
私たちについて
製品
サービス
お問い合わせ

情報セキュリティポリシー

瑋易科技株式会社(登録番号:00085209)の情報セキュリティ管理ポリシー。本ポリシーはISO 27001、個人情報保護法、サイバーセキュリティ管理法等の規範に基づき制定され、顧客データとシステムセキュリティの最高レベルの保護を確保します。

最終更新: 2025年6月7日

1. セキュリティポリシー声明

組織コミットメント:

• 最高経営責任者の全面的なセキュリティコミットメント

• 情報セキュリティの企業文化への組み込み

• 継続的改善と最新脅威への適応

• 全従業員のセキュリティ意識向上

適用範囲:

• WeeMe​d​プラットフォーム及び関連システム全体

• 従業員、業務委託者、パートナー企業

• 物理的、論理的資産すべて

• 顧客データ、営業秘密、知的財産

セキュリティ目標:

• データ機密性:不正アクセス防止と情報漏洩ゼロ

• システム完全性:データ改ざん防止と正確性保証

• サービス可用性:99.5%以上の安定稼働維持

• 法規制遵守:国際的セキュリティ基準の完全準拠

2. 組織的セキュリティ管理

セキュリティ管理体制:

• CISO(最高情報セキュリティ責任者):全社セキュリティ戦略統括

• セキュリティ委員会:月次セキュリティレビューと政策決定

• 各部門セキュリティ担当者:日常的セキュリティ運用管理

• 外部セキュリティ顧問:専門的助言と監査支援

セキュリティガバナンス:

• 年次セキュリティ戦略策定と予算確保

• 四半期毎のセキュリティリスク評価

• 月次セキュリティ指標レビューと改善

• 重大インシデント時の緊急対応体制

第三者管理:

• ベンダーセキュリティ評価:契約前の必須セキュリティ監査

• 定期的セキュリティ監査:年次外部監査実施

• インシデント共有:業界セキュリティ情報の共有

3. NIST フレームワークによるリスク管理

識別(Identify):

• 資産管理:全IT資産の棚卸と分類(年2回)

• 脅威情報:最新サイバー脅威情報の収集と分析

• 脆弱性評価:システムの定期的脆弱性スキャン(月次)

• リスクアセスメント:年次包括的リスク評価実施

防御(Protect):

• 多層防御:ファイアウォール、IDS/IPS、WAF の多層配置

• エンドポイント保護:全端末でのEDR(Endpoint Detection and Response)

• データ分類:機密度に応じたデータ分類と保護レベル設定

• セキュリティ教育:全従業員への月次セキュリティトレーニング

検知(Detect):

• 24/7 SOC:Security Operations Center による24時間監視

• SIEM:ログ統合分析とリアルタイム脅威検知

• 行動分析:AI による異常行動パターン検知

• 脅威ハンティング:プロアクティブな脅威探索

対応(Respond):

• インシデント対応計画:段階別対応手順書

• 緊急対応チーム:2時間以内の初期対応体制

• 通信計画:ステークホルダーへの適切な情報共有

• 封じ込め:被害拡大防止の迅速な対策実施

復旧(Recover):

• 事業継続計画:RTO 4時間、RPO 1時間の復旧目標

• バックアップ戦略:1日3回、複数拠点での冗長バックアップ

• 復旧手順:段階的システム復旧とサービス再開

• 教訓共有:インシデント後の改善策策定と展開

4. アクセス制御とアイデンティティ管理

アイデンティティ管理:

• シングルサインオン(SSO):統一認証基盤による一元管理

• 多要素認証(MFA):全従業員及び重要システムアクセス時必須

• 特権アカウント管理(PAM):管理者権限の厳格管理

• アクセスレビュー:四半期毎の権限棚卸と不要権限削除

アクセス制御原則:

• 最小権限の原則:業務に必要最小限の権限のみ付与

• 職責分離:重要業務の複数人チェック体制

• 時間制限:一時的権限の自動期限切れ

• 地理的制限:許可された場所からのアクセスのみ

認証・認可基準:

• パスワード要件:最低12文字、複合文字、90日更新

• 生体認証:重要システムでの指紋・顔認証導入

• デバイス認証:管理端末以外からのアクセス禁止

• 行動分析:通常行動パターンからの逸脱検知

5. データ保護と暗号化

暗号化標準:

• 伝送暗号化:TLS 1.3、Perfect Forward Secrecy 対応

• 保存暗号化:AES-256、鍵分離による多層暗号化

• データベース暗号化:透過的データ暗号化(TDE)実装

• エンドツーエンド暗号化:機密性の高いデータ通信

鍵管理システム:

• ハードウェアセキュリティモジュール(HSM)による鍵保護

• 鍵のライフサイクル管理:生成・配布・ローテーション・廃棄

• 分散鍵管理:単一障害点の排除

• 監査ログ:すべての鍵操作の記録と監査

データ分類と保護:

• 公開情報:特別な保護不要

• 内部情報:アクセス制御と暗号化

• 機密情報:多要素認証と強化暗号化

• 極秘情報:物理分離と最高レベル保護

6. ネットワークとシステムセキュリティ

ネットワークアーキテクチャ:

• ゼロトラストアーキテクチャ:すべての通信の検証・暗号化

• ネットワークセグメンテーション:機能別の論理分離

• DMZ設計:公開サービスの隔離と保護

• VPN:リモートアクセスの安全な接続

システム強化:

• OS強化:不要サービス削除とセキュリティ設定

• パッチ管理:月次定期パッチ適用とゼロデイ対応

• アンチマルウェア:リアルタイム保護と定期スキャン

• 設定管理:セキュリティベースライン設定の強制

クラウドセキュリティ:

• AWS/Azure セキュリティベストプラクティス準拠

• クラウドセキュリティ姿勢管理(CSPM)

• コンテナセキュリティ:Docker/Kubernetes 強化

• サーバーレスセキュリティ:Function レベルでの保護

7. セキュリティ監視とインシデント対応

24/7 セキュリティ監視:

• Security Operations Center(SOC):24時間365日監視体制

• SIEM/SOAR:統合ログ分析と自動対応

• 脅威インテリジェンス:最新脅威情報の活用

• リアルタイムアラート:重要イベントの即時通知

インシデント対応手順:

• 段階1(検知・通報):15分以内の初期対応

• 段階2(分析・評価):1時間以内の影響範囲特定

• 段階3(封じ込め):2時間以内の被害拡大防止

• 段階4(根絶・復旧):4時間以内のシステム復旧

• 段階5(事後対応):72時間以内の当局報告と顧客通知

インシデント分類:

• カテゴリ1(Critical):事業停止レベル

• カテゴリ2(High):重要データ漏洩

• カテゴリ3(Medium):限定的影響

• カテゴリ4(Low):軽微な異常

8. 事業継続とディザスタリカバリ

事業継続計画(BCP):

• RTO(Recovery Time Objective):4時間以内

• RPO(Recovery Point Objective):1時間以内

• 代替サイト:プライマリサイトから 100km 以上離れた場所

• 定期訓練:四半期毎のディザスタリカバリ訓練

バックアップ戦略:

• 3-2-1 ルール:3つのコピー、2つの異なるメディア、1つのオフサイト

• 自動バックアップ:1日3回の自動化バックアップ

• 暗号化バックアップ:AES-256による全バックアップ暗号化

• 復旧テスト:月次バックアップ復旧テスト

高可用性設計:

• 冗長化:単一障害点の排除

• 負荷分散:複数サーバーでの負荷分散

• 自動フェイルオーバー:障害時の自動切り替え

• 地理的分散:複数データセンターでの運用

9. 第三者セキュリティ管理

ベンダー管理:

• セキュリティ評価:契約前の必須セキュリティ監査

• SLA要件:セキュリティに関する具体的要求事項

• 定期監査:年次外部監査とペネトレーションテスト

• インシデント共有:セキュリティ事象の即時共有義務

クラウドプロバイダー管理:

• 責任共有モデル:明確な責任分界の定義

• 設定管理:クラウドリソースのセキュリティ設定管理

• 監査証跡:すべてのクラウド操作のログ記録

• データ主権:データ保存場所と法的管轄権の管理

パートナー企業連携:

• セキュリティ基準統一:共通セキュリティ要件の設定

• 情報共有:脅威情報とベストプラクティスの共有

• 合同訓練:パートナー企業との合同セキュリティ訓練

• インシデント協力:インシデント対応時の相互支援

10. 法規制遵守と監査

適用法規制:

• 台湾:個人資料保護法、資通安全管理法

• 日本:個人情報保護法、サイバーセキュリティ基本法

• EU:GDPR(一般データ保護規則)

• 米国:CCPA(カリフォルニア州消費者プライバシー法)

認証・基準遵守:

• ISO 27001:情報セキュリティ管理システム

• SOC 2 Type II:サービス組織統制監査

• NIST Cybersecurity Framework:サイバーセキュリティフレームワーク

• GDPR Article 32:技術的・組織的安全管理措置

監査と評価:

• 年次外部監査:独立監査法人による包括的監査

• 四半期内部監査:内部監査部門による定期監査

• ペネトレーションテスト:年2回の侵入テスト

• 脆弱性評価:月次自動脆弱性スキャン

報告と改善:

• 経営陣報告:月次セキュリティダッシュボード

• 取締役会報告:四半期セキュリティリスク報告

• 当局報告:重大インシデント時の72時間以内報告

• 継続改善:監査結果に基づく改善計画策定・実行

11. セキュリティ教育と意識向上

従業員教育プログラム:

• 新入社員研修:入社時必須セキュリティ教育(8時間)

• 年次更新研修:最新脅威とセキュリティトレンド(4時間)

• ロール別専門研修:職種に応じた専門セキュリティ教育

• フィッシング訓練:月次模擬フィッシングメール訓練

意識向上活動:

• セキュリティニュースレター:月次セキュリティ情報配信

• セキュリティポスター:社内掲示によるリマインダー

• セキュリティイベント:年次サイバーセキュリティ週間

• 報奨制度:セキュリティ改善提案への表彰制度

測定と評価:

• 理解度テスト:教育後の必須理解度確認

• 行動指標:セキュリティインシデント発生率

• 意識調査:年次セキュリティ意識アンケート

• 改善計画:測定結果に基づく教育プログラム改善

12. 連絡先と苦情処理

セキュリティ連絡先:

• セキュリティ専用窓口:security@weemed.ai

• 緊急時連絡先:+886-4-23016388(24時間対応)

• 脆弱性報告:vulnerability@weemed.ai

• プライバシー問合せ:privacy@weemed.ai

苦情・問合せ処理:

• 受付確認:24時間以内の受付確認連絡

• 初期対応:3営業日以内の初期調査結果回答

• 最終回答:15営業日以内の最終調査結果通知

• フォローアップ:解決後30日後の満足度確認

エスカレーション:

• 第1段階:担当チームマネージャー

• 第2段階:情報セキュリティ責任者(CISO)

• 第3段階:最高技術責任者(CTO)

• 最終段階:代表取締役社長

外部相談機関:

• 台湾:行政院資通安全処

• 日本:内閣サイバーセキュリティセンター(NISC)

• 国際:FIRST(Forum of Incident Response and Security Teams)