Amazon サービス API により取得する個人情報(PII)の取扱いおよびセキュリティインシデント対応について
EC店長(以下「当社」といいます。)は、Amazon Data Protection Policy(DPP)および関連法令を遵守し、Amazon サービス API(SP・API)を通じて取得する個人情報(PII)ならびにAmazon情報について、以下のとおり適切に管理します。
1.データの保持および破棄
当社は、Amazon サービス API を通じて取得したPIIについて、注文の配送後30日を超えない範囲で、以下の目的に必要な期間のみ保持します。
・ 注文の履行
・ 税金の計算および納付
・ 請求書その他法令上必要な書類の作成および保存
・ 税法その他の法令・規制上の要件への対応
注文の配送後30日を超えてPIIを保持する場合は、法令により保存義務が課されている場合に限り、その法令を遵守する目的のみに利用します。
保存期間を経過したPIIは、復元できない方法により速やかに削除または匿名化します。
2.データ保護方針
当社は、個人情報保護方針(https://solution.brangista.com/privacy/)に基づき、Amazon サービス API を通じて取得したPIIを適切に管理します。
2.1 暗号化
PIIはAES・256方式により暗号化して保存します。
2.2 暗号鍵管理
暗号鍵は暗号化対象データとは別の場所で管理し、アクセス権限を制限します。また、暗号鍵は毎年定期的に変更し、適切な鍵管理を実施します。
2.3 アクセス制御
PIIへのアクセスは、業務上必要な担当者のみに限定し、最小権限の原則に基づき付与します。
3.Amazon SP・APIに関するセキュリティインシデント対応計画
本計画は、Amazon Data Protection Policy(DPP)の要件に基づき策定しています。
「Amazon情報」とは、Amazon サービス API を通じて取得したAmazon出品者様データ、PIIおよびAmazon SP・API認証情報をいいます。
3.1 Amazonへの通知
【重要】
当社は、Amazon情報、Amazon SP・API認証情報、Amazon出品者様データ、またはこれらを取り扱うシステムに関するセキュリティインシデントを検知した場合、もしくはその疑いを確認した場合には、検知から24時間以内にAmazon(security@amazon.com)へ通知します。
通知対象となる事象
以下の事象が発生した場合、またはその疑いを確認した場合、Amazonへの通知対象と判断します。
・ Amazon SP・API認証情報(アクセストークン、リフレッシュトークン等)の漏えいまたは漏えいの疑い
・ Amazon出品者様データへの不正アクセス
・ Amazon情報の漏えい、改ざん、消失またはその疑い
・ Amazon関連システムへの不正侵入
・ マルウェア感染等によりAmazon情報への影響が疑われる場合
・ 第三者による不正ログインが確認された場合
・ データベースへの不正アクセスが確認された場合
・ 上記の事象を検知または疑いを確認した場合には、当社は検知から24時間以内にAmazon(security@amazon.com)へ通知します。
3.2 Amazon向けインシデント対応手順
Step0:準備
当社は、セキュリティインシデントに備え、情報セキュリティ責任者を任命し、インシデント対応手順、緊急連絡網、ログ監視体制、バックアップ体制を整備しています。
また、担当者に対し定期的にセキュリティ教育を実施し、インシデント発生時に迅速に対応できる体制を維持しています。
Step1:検知・初動確認
以下の方法により異常を検知します。
・ 監視アラート
・ Apacheアクセスログ
・ Apacheエラーログ
・ Apache SSLログ
・ データベースログ
・ WAFログ
・ 利用者からの報告
インシデントを検知した担当者は、速やかにセキュリティ責任者へ報告します。
セキュリティ責任者は影響範囲を評価し、必要に応じて経営層へ報告するとともに、Amazonへの通知を実施します。
Step2:影響範囲の特定
以下を確認します。
・ 対象システム
・ 対象アカウント
・ 対象データベース
・ Amazon情報への影響有無
・ PIIへの影響有無
・ Amazon SP・API認証情報への影響有無
・ 影響を受けた可能性のあるAmazon出品者様の範囲
Step3:封じ込め
必要に応じて以下を実施します。
・ 不正アクセス元IPアドレスの遮断
・ 該当アカウントの停止
・ Amazon SP・API認証情報の失効または再発行
・ パスワード変更
・ サーバーの隔離
・ データベースアクセスの制限
Step4:Amazonへの通知
・ Amazon情報に影響がある、またはその疑いがある場合には、検知から24時間以内にAmazonへ通知します。
・ 調査継続中であっても、24時間以内に第一報を実施します。
・ 第一報時点で判明している内容をAmazonへ報告します。
・ その後、新たな事実が判明した場合は追加報告を行います。
・ Amazonから追加調査や情報提供の要請があった場合には、速やかに協力します。
Step5:原因調査
以下の情報を確認し、侵入経路、影響範囲、漏えい有無および原因を調査します。
・ Apacheアクセスログ
・ Apacheエラーログ
・ Apache SSLログ
・ データベースログ
・ WAFログ
・ 設定変更履歴
・ 通信記録
Step6:根絶・是正対応
以下の対策を実施します。
・ 脆弱性の修正
・ セキュリティパッチの適用
・ 不正アカウントの削除
・ 設定不備の是正
・ Amazon SP・API認証情報の再発行
・ アクセス権限の見直し
・ WAFルールの強化
・ 監視設定の見直し
Step7:復旧
必要に応じてシステム復旧を行い、システムの完全性、アクセス制御、ログ取得状況、監視設定およびAmazon連携機能の正常性を確認したうえで通常運用へ復旧します。
Step8:再発防止
インシデント終息後、原因、影響範囲、実施した対応内容および再発防止策を記録します。また、記録内容をもとにインシデント対応手順、監視体制、アクセス管理および教育内容を見直し、継続的な改善を実施します。
3.3 連絡体制
当社は、セキュリティ責任者をIncident Management Point of Contact (IMPOC)として指定しています。
重大なインシデント発生時には、IMPOCが初動対応、Amazonへの通知、社内外の連絡窓口を担当し、影響調査、復旧および再発防止まで一貫して対応します。


050-3188-5885
