GovTech Express、セキュリティ関連のFAQ
株式会社Bot Expressが開発・提供する官公庁専用アプリケーション「GovTech Express」は、自治体・住民の皆様に安心して使っていただけるようにサービス環境を整えています。本noteでは、自治体の皆様からいただくセキュリティに関するご質問について、FAQとして公開します。
Q1:GovTech Expressのデータ保存場所は?
A:GovTech Expressは、株式会社セールスフォース・ジャパンが提供するクラウドサービスSalesforceを主たるプラットフォームとしており、GovTech Expressを経由して入力されたデータは、Salesforceにのみ保存されます。
Q2:Salesforceは安全か?
A:Salesforceは、日本政府が求めるセキュリティ要求を満たしているクラウドサービスを評価登録する制度「ISMAP」にも登録されており、安心してご利用いただけます。日本向けサービスは、国内(東京・神戸)のデータセンターにて管理されています。
▼Salesforce ISMAP登録
https://compliance.salesforce.com/jp/ismap
▼Salesforceデータセンター
https://help.salesforce.com/s/articleView?id=000396845&type=1
Q3:LINEヤフー株式会社が管理するシステムへの不正アクセスにより、GovTech Expressでやりとりされたデータに漏洩の危険性は生じるか?
A:その可能性はありません。これまでも当社システムから情報漏洩が発生したことはありません。当社システムをご利用の中で保存される個人情報などのデータは、LINEヤフー株式会社のシステムには保存されず、Salesforceにのみ保存されます。
Q4: JPKIで読み取った情報はどのように取り扱われるか?
A: GovTech Expressでは、公的個人認証サービス(JPKI)として、「LINE Pay 公的個人認証サービス」を利用しています。LINE Pay 公的個人認証サービスから取得した基本4情報(氏名、性別、生年月日、住所)は、サービス提供のために、一時的にLINE Payにて保管されます。 同時に、プラットフォーム事業者である野村総合研究所(NRI)にも一時的に保存されます。 どちらも保存期間は1週間程度です。
※上記データの取り扱いについては、LINEヤフー株式会社が提供する「LINE公式アカウント追加規約(官公庁・地方自治体向け)」への同意が必要です。
Q5:Salesforceへのアクセスを庁舎からのみ行えるように制御できるか?
A:可能です。グローバルIPアドレスを使ったアクセス制限を行うことで、予め設定されたIPアドレスからのみ、GovTech Expressにアクセスすることが可能です。例えば、庁舎内からのアクセスに限定することや、それ以外の場所からもアクセス出来るようにするなど、自治体の状況に応じて設定が可能です。また、認証については多要素認証をサポートしており、その機能を有効化することで不正アクセスについてさらに強固な対策を行うことができます。なお、GovTech ExpressはLGWAN(総合行政ネットワーク)からも利用可能ですが、導入自治体の99.6%は上記アクセス制御を設定し、インターネット環境で利用されています。
Q6:管理画面の権限設定は細かく設定可能か?
A:可能です。管理画面にログインするIDごとに、実装できる機能や閲覧可能なデータの種類を変えるなど、自治体のセキュリティポリシーに応じた権限設定が可能です。例えば、市民課に2つのIDを渡した時に、データをエクスポート出来るIDと出来ないIDを分けるなど利用できる機能を制御することも可能ですし、データの閲覧、更新の可否を切り替えたり、アクセスできるデータの種類はもちろん、項目まで細かく制御することができます。
Q7:Bot Expressが取得しているセキュリティに関する認証は?
A:情報セキュリティマネジメントシステム(ISMS)の国際規格である 「ISO/IEC27001:2013(JIS Q 27001:2014)」の認証を取得し、当社が保護すべき情報資産を適切に管理しています。また、人的要因の情報漏えいリスク低減に向けて、従業員に対する情報セキュリティ教育を行っています。
認証基準:ISO/IEC 27001:2013 / JIS Q 27001:2014
認証登録番号:IS 750825
認証登録組織:株式会社Bot Express
認証登録範囲:行政機関向けSaaSサービスの開発、運用および提供
初回認証登録日:2021年12月13日
審査登録機関:BSIグループジャパン株式会社
認定機関:ANAB (ANSI-ASQ National Accreditation Board)
Bot Expressは、これからも高いセキュリティ環境を維持したサービス提供に努めてまいります。ご不明点な点がございましたら以下よりお問い合わせください。
Bot Express問い合わせ先:https://www.bot-express.com/contact/
<参考>
Bot Expressの個人情報保護基本方針、情報セキュリティ方針はHPで公開しています。