よくある質問:プライバシーとセキュリティ
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。
このページでは、Zoho Creator におけるデータセキュリティ、暗号化、アクセス制御、およびインシデント管理について説明します。
データセキュリティ
私のデータはどの程度安全ですか?
Zoho Creator ではセキュア・バイ・デザインのアプローチを採用し、データの分離、適切なデータ保持・廃棄ポリシーの順守、暗号化による保護などを通じて、データセキュリティを最優先しています。
- データの分離
当社のフレームワークでは、クラウドスペースをお客様ごとに分散・管理しています。各お客様のサービスデータは、フレームワーク内の安全なプロトコル群によって、他のお客様のデータから論理的に分離されています。これにより、あるお客様のサービスデータが別のお客様からアクセスされることはありません。
サービスデータは当社のサーバー上に保存されます。お客様のデータの所有権はお客様にあり、Zoho に帰属するものではありません。お客様の同意なく、第三者とこのデータを共有することはありません。 - 暗号化
- 転送中: 公衆ネットワーク経由で当社サーバーに送信されるすべてのお客様データは、強力な暗号化プロトコルによって保護されます。当社サーバーへのすべての外部接続に対して、Web アクセス、API アクセス、モバイルアプリ、IMAP/POP/SMTP メールクライアントアクセスを含め、強力な暗号スイートを用いた Transport Layer Security (TLS 1.2/1.3) の利用を必須としています。これにより、接続に関与する双方の認証と、送受信データの暗号化が行われ、安全な通信が確保されます。さらにメールについては、既定で Opportunistic TLS を利用し、相手側サービスがこのプロトコルをサポートしているメールサーバー間でメールを暗号化して安全に配送し、盗聴リスクを軽減します。
当社の暗号化された外部接続は Perfect Forward Secrecy (PFS) を完全にサポートしており、仮に将来何らかの形で侵害された場合でも、過去の通信が復号されることはありません。また、すべての Web 接続に対して HTTP Strict Transport Security (HSTS) ヘッダーを有効化しています。これにより、最新のブラウザーは、たとえお客様が当社サイトの非暗号化ページの URL を入力した場合でも、暗号化された接続のみを使用するよう指示されます。加えて、Web 上ではすべての認証クッキーに secure 属性を付与しています。 - 保存時: 保存データの暗号化は、アプリケーションレイヤーで AES-256 アルゴリズムを用いて行われます。AES-256 は 128 ビットブロックと 256 ビット鍵を使用する共通鍵暗号方式です。平文データを暗号文に変換するために使用される鍵はデータ暗号鍵 (DEK: Data Encryption Key) と呼ばれます。DEK はさらに鍵暗号鍵 (KEK: Key Encryption Key) によって暗号化され、追加の保護レイヤーを提供します。これらの鍵は、当社内製のキー管理サービス (KMS) によって生成・管理されています。
- データ保持と廃棄
データはお客様のアカウント内に保持されます。Zoho ユーザーアカウントを解約された場合、お客様のデータは、6 か月ごとに実施される次回のクリーンアップ時に、本番データベースから削除されます。本番データベースから削除されたデータは、その後 3 か月以内にバックアップからも削除されます。未払いアカウントが 120 日間連続して非アクティブな状態の場合、事前通知とデータのバックアップ取得の機会を提供したうえで、当社の判断によりアカウントを終了させる場合があります。
使用不能となったデバイスの廃棄は、検証済みかつ認定された業者が実施します。それまでの間、当社ではそれらを分類し、安全な場所に保管します。デバイス内に含まれる情報は、廃棄前にすべて初期化されます。故障したハードディスクドライブは消磁処理を行ったうえで、シュレッダーで物理的に破壊します。故障した SSD(ソリッドステートドライブ)は、暗号消去を行った後にシュレッダーで破壊します。
詳細については、セキュリティホワイトペーパーをご覧ください。
Zoho Creator における追加の暗号化設定
項目レベルの暗号化
- Zoho Creator の一部の項目では、機密情報や個人情報などのセンシティブなデータを保護するために、追加の暗号化レイヤーを適用できます。
- 項目プロパティで「データを暗号化」を有効にすることで、機密データを取得する項目を保護できます。項目のデータ暗号化についての詳細をご覧ください。
電子的保護対象医療情報(ePHI)の取り扱い
- 電子的保護対象医療情報(ePHI: Electronic Protected Health Information)とは、電子的に作成・保存・送信・受信される保護対象の医療情報を指します。
- Zoho Creator では、フォームビルダー内の項目プロパティで「医療情報を含む」を有効にすることで、その項目を電子的保護対象医療情報(ePHI)として分類できます。
- アプリケーション設定内で権限を制御することで、どのユーザーが電子的保護対象医療情報(ePHI)項目を表示・アクセスできるかを管理できます。
レポートレベルのデータマスキング
- Zoho Creator で暗号化された項目は、レポート上でマスキングでき、機密データが権限のないユーザーから見えないようにできます。
- ロールベースのアクセス制御 (RBAC) と権限セットにより、管理者はユーザーごとに暗号化項目の表示設定を管理できます。
暗号化は、不正アクセスを防ぐ強力なセキュリティレイヤーを追加し、データが傍受された場合でも内容を読み取れない状態に保ちます。
Zoho Creator はどのようにネットワークセキュリティを確保していますか?
Zoho Creator は堅牢で多層的なネットワークセキュリティアプローチを採用し、さまざまなツールとプロセスを組み合わせてユーザーデータを保護し、サービスの継続性を確保しています。概要は次のとおりです。
ファイアウォール
- ファイアウォールにより、不正アクセスや不要なトラフィックを防止します。
- ファイアウォールへのアクセスは定期的に監視され、変更はネットワークエンジニアによって毎日レビューされます。
- ルールセットが最新かつ適切であることを確認するため、6 か月ごとに包括的なルールレビューを実施しています。
侵入検知・防止システム(IDS/IPS)
- デバイスからのホストベースのシグナルと、監視ポイントからのネットワークベースのシグナルをログに記録し、分析しています。
- 本番ネットワーク内の管理者アクセス、特権コマンド、システムコールを監視しています。
- 独自の Web アプリケーションファイアウォール (WAF) を運用しており、アプリケーションレイヤーでホワイトリストおよびブラックリストルールに基づき動作します。
- ISP レベルでは、多層的なセキュリティシステムを用いて、スクラビング、ネットワークルーティング、レート制限、フィルタリングを実施し、クリーンなトラフィックを確保するとともに、攻撃の迅速な検知と報告を行っています。
DDoS 対策
- 信頼性の高いサービスプロバイダーが提供するツールを利用して、分散型サービス拒否 (DDoS) 攻撃から保護しています。これにより、正当なトラフィックを許可しつつ、サービスを妨害するトラフィックを遮断し、Web サイト、アプリケーション、API の高い可用性を維持します。
ネットワーク分離
- システムを信頼ゾーンと非信頼ゾーンに分離することで、機密データを保護しています。
- この分離を実現するために、ファイアウォール、アクセスコントロールリスト (ACL)、VLAN セグメンテーションを使用しています。
ゾーニング
- インフラストラクチャは VLAN セグメンテーションにより構成され、ネットワークゾーンを分離しています。
- 特定のゾーンには、認証済みのユーザーとデバイスのみがアクセスできます。
- サービスおよびポートは厳格に制御・監視され、アクセスは必要最小限のサービスに限定されています。
インフラストラクチャセキュリティの詳細については、セキュリティポリシーをご参照ください。
暗号鍵管理手順はありますか?
はい。当社は自社開発のキー管理サービス (KMS) を用いて鍵を保有・管理しています。KMS は、すべてのサービスにわたって鍵の生成、保存、管理を行います。当社は KMS を通じて鍵を一元的に管理しています。
既定では、Zoho Creator は保存データをデータ暗号鍵 (DEK) で暗号化し、これを Zoho が管理する鍵暗号鍵 (KEK) によって保護します。お客様独自の鍵 (BYOK) を追加すると、Zoho の既定 KEK をお客様の鍵に置き換えることができ、暗号化および復号プロセスに対するコントロールをお客様側で保持できます。
当社の暗号化の取り組みについての詳細は、暗号化ページ、Zoho Creator における暗号化のページ、および Zoho Creator における秘密鍵を用いた暗号化をご覧ください。
Zoho Creator は開発プロセスにおいてどのようにセキュリティを確保していますか?
Zoho Creator は Secure by Design のアプローチに従い、ソフトウェア開発ライフサイクル (SDLC) のあらゆる段階にセキュリティを組み込んでいます。すべての変更や新機能は、厳格な変更管理プロセスの対象となり、デプロイ前に適切な承認とレビューを受けます。
当社の SDLC では、開発・テスト・本番環境を明確に分離し、リスクを最小化して安定性を確保しています。すべての開発者はセキュアコーディングガイドラインに従い、コード変更は自動コード解析ツール、脆弱性スキャナー、手動チェックによる厳格なレビューを受けます。
アプリケーションレイヤーでは、OWASP に基づくセキュリティコントロールを実装し、SQL インジェクション、クロスサイトスクリプティング (XSS)、アプリケーション層のサービス拒否 (DoS) 攻撃などの一般的な脅威から保護しています。
詳細については、セキュリティページをご覧ください。
変更管理システムはありますか?
はい。Zoho では包括的な変更管理システムを採用しており、サービス環境へのあらゆる変更が、本番環境に適用される前に、綿密な計画、テスト、レビュー、承認を経るようにしています。
当社の変更管理プロセスの主な要素は次のとおりです。
- 影響評価: 各変更について、情報セキュリティ、プライバシー、システム全体のパフォーマンスへの影響を評価します。
- フォールバック手順: 変更が失敗した場合や予期せぬ問題が発生した場合に備え、責任分担と対応手順を明確にした詳細なフォールバック手順を用意しています。これにより、迅速な復旧と影響の最小化を図ります。
- コミュニケーション: 提案された変更は、すべての関係者に共有され、プロセス全体を通じて透明性を確保します。
- 監査ログ: 各変更に関連するすべての重要な詳細を記録する監査ログを保持し、説明責任と履歴参照を可能にしています。
このような体系的なアプローチにより、サービスの完全性とセキュリティを維持し、お客様に対して信頼性が高く予測可能なパフォーマンスを提供しています。
脆弱性や侵害から保護するために、どのようなコードセキュリティ対策を実施していますか?
Zoho では、Web およびモバイルアプリケーションの開発・デプロイ全体を通じて、OWASP に基づくセキュリティ手法を採用しています。Web アプリケーションファイアウォール (WAF) は、ホワイトリストとブラックリストのフィルタリングを組み合わせて動作し、OWASP Top 10 の脅威を軽減します。また、セキュアコーディングの実践を徹底し、静的・インタラクティブアプリケーションセキュリティテスト (SAST & IAST) を活用するとともに、本番環境へのデプロイ前に、すべてのコード変更に対して厳格なセキュリティレビューを実施しています。
Zoho Creator プラットフォーム上で構築・デプロイされたアプリケーションは、この堅牢なセキュリティフレームワークを継承し、コードとインフラストラクチャが継続的に保護されます。
詳細については、セキュリティページをご覧ください。
脆弱性診断およびペネトレーションテスト(VAPT)を実施していますか?
ペネトレーションテスト
当社では、潜在的なセキュリティ脆弱性を特定し対処するために、厳格なペネトレーションテストを実施しています。内部ペネトレーションテストは 6 か月ごとに実施し、社内システムの評価と強化を行っています。さらに、外部からの脅威に対する包括的なセキュリティ検証を行うため、年に一度、外部ペネトレーションテストも実施しています。
脆弱性評価
専任の脆弱性管理プロセスにより、認定されたサードパーティ製スキャニングツールと自社ツールを組み合わせて、セキュリティ脅威のスキャンを継続的に行っています。インターネットに公開された IP エンドポイントに対しては、業界標準の外部サードパーティツールを用いて、毎週脆弱性評価を実施しています。これにより、継続的な監視と潜在的なセキュリティリスクの早期発見を実現しています。
脆弱性の是正
脆弱性が特定されると、ログに記録され、重大度に基づいて優先度が設定され、担当者が割り当てられます。関連するリスクを評価し、脆弱なシステムへのパッチ適用または適切なコントロールの導入により、問題が解決されるまで追跡します。
協調的なセキュリティレポート
当社は、受信したセキュリティレポートを積極的にレビューし、公的なメーリングリスト、ブログ投稿、Wiki などを監視して、インフラストラクチャに影響を及ぼす可能性のあるセキュリティインシデントを検知しています。バグバウンティプログラムを通じて、セキュリティ研究者コミュニティとの協業を行い、その貢献を評価・報奨しています。当社は、報告されたすべての脆弱性について、検証・再現・対応・解決策の実装に取り組んでいます。
バグバウンティプログラムはありますか?
はい、バグバウンティプログラムがあります。脆弱性などを発見された場合は、https://bugbounty.zohocorp.com/ からご報告ください。直接当社に脆弱性を報告したい場合は、security@zohocorp.com 宛てにメールをお送りください。バグバウンティの条件については、バグバウンティページ内の 利用条件をご覧ください。
全社的かつリスク指向の情報セキュリティマネジメントシステム(ISMS)は導入されていますか?
ISMS はどの規格に準拠していますか?
はい。当社は、ISO/IEC 27001 規格に準拠した堅牢な情報セキュリティマネジメントシステム (ISMS) を導入しています。さらに、プライバシー情報マネジメントに関する国際的に認知された規格である ISO/IEC 27701 にも準拠しており、お客様データのセキュリティ、機密性、完全性を最高水準で確保しています。
認証書は次のページからダウンロードできます: https://www.zoho.com/compliance.html.
サーバーハードニングのプロセスはありますか?
はい。開発およびテスト用途でプロビジョニングされるすべてのサーバーは、未使用ポートや不要なサービスの無効化、既定パスワードの削除などのハードニングを実施しています。ベースとなるオペレーティングシステム (OS) イメージにはサーバーハードニングが組み込まれており、この OS イメージをサーバーにプロビジョニングすることで、サーバー間の一貫性を確保しています。
暗号化
暗号化とは何ですか?また、Zoho Creator で重要な理由は何ですか?
暗号化とは、読み取り可能なデータを、第三者が読み取れない形式に変換し、不正アクセスを防ぐ方法です。Zoho Creator では、暗号化によりデータの盗難や盗聴から保護し、意図した受信者だけがデータにアクセスできるようにします。
Zoho Creator ではどのような種類の暗号化が使用されていますか?
Zoho Creator では、次の 2 種類の暗号化を使用しています。
- 転送中の暗号化: ブラウザー、Zoho サーバー、サードパーティサービス間をデータが移動する際に保護します。
- 保存時の暗号化 (EAR: Encryption at Rest): データベースやディスクなど、Zoho のサーバー上に保存されているデータを保護します。
保存データは暗号化されていますか?
はい。保存時: 保存されている機密性の高い顧客データは、256 ビットの高度暗号化標準 (AES) を使用して暗号化されています。保存時に暗号化されるデータは、ご利用のサービスによって異なります。暗号鍵は、自社運用のキー管理サービス (KMS) を使用して保有・管理しています。また、データ暗号鍵をマスターキーで暗号化することで、追加のセキュリティレイヤーを提供しています。マスターキーとデータ暗号鍵は物理的に分離され、アクセスが制限された別々のサーバーに保管されています。
転送中のデータは暗号化されていますか?
はい、転送中のデータは暗号化されています。最新の TLS プロトコル バージョン 1.2/1.3 に準拠し、SHA 256 によって発行された証明書と暗号スイート(暗号化用の AES_CBC/AES_GCM 256 ビット/128 ビット鍵、メッセージ認証用の SHA2、鍵交換方式としての ECDHE_RSA)を使用しています。また、Perfect Forward Secrecy(前方秘匿性)を実装し、すべてのサイトで HTTPS Strict Transport Security (HSTS) を適用しています。アプリケーションに入力された機密データやサービスデータは、データベース内のテーブルとして保存されます。これらのテーブル内のデータは、AES/CBC/PKCS5Padding 方式による AES 256 標準に従って暗号化されます。自社運用のキー管理サービス (KMS) により、すべてのサービスにわたって鍵の生成・保管・管理を行っています。鍵は KMS を使用して当社が保有・管理します。
既定で暗号化されるデータと、追加で手動暗号化できるデータには何がありますか?
既定では、Zoho Creator アプリケーション内に保存される頻度データ、画像、ファイルは、不正アクセスに対する強固な保護を確保するために暗号化されます。この暗号化は保存データに適用され、データベース内の機密情報や保存ファイルを保護します。
さらに Zoho Creator では、機密性の高い情報や秘匿情報を含む特定の項目について、セキュリティを強化する柔軟性を提供しています。「データを暗号化」項目プロパティを使用することで、そのような項目に対して追加の暗号化レイヤーを手動で設定できます。この機能は、個人情報 (PII) や財務情報など、より厳格なセキュリティ対策が必要な重要データを保護するのに特に有効です。「データを暗号化」項目についての詳細をご参照ください。
どの暗号化アルゴリズムと鍵が使用されていますか?
Zoho Creator では、256 ビット鍵を使用する共通鍵暗号アルゴリズム AES-256 を使用しています。データはデータ暗号鍵 (DEK: Data Encryption Key) で暗号化され、その DEK はさらに、Zoho の自社運用キー管理サービス (KMS) によって管理される鍵暗号鍵 (KEK: Key Encryption Key) で暗号化されます。
当社 KMS の詳細については、こちらの KMS ドキュメントをご覧ください。
当社 KMS の詳細については、こちらの KMS ドキュメントをご覧ください。
Zoho のデータセンターではフルディスク暗号化が使用されていますか?
はい。アプリケーションレイヤーでの暗号化に加えて、Zoho のインド (IN)、オーストラリア (AU)、ヨーロッパ (EU) のデータセンターではフルディスク暗号化が実装されています。
Zoho におけるフルディスク暗号化の詳細は、フルディスク暗号化に関するページをご覧ください。
アクセス制御
システムはロールベースのアクセス制御とデータ権限をサポートしていますか?
ユーザーの役割と責任に基づいて、きめ細かなアクセス制御を定義できますか?
Zoho Creator では、きめ細かなアクセス制御を提供しており、ユーザーの役割に基づいてアプリケーションの特定部分にアクセスさせることができます。これにより、安全かつ効率的なアプリケーション利用が可能になります。主な要素は次のとおりです。
- ユーザー
Zoho Creator アプリケーションでは、主に 3 種類のユーザータイプをサポートしています。 - スーパー管理者 (Super Admin): ユーザーや権限の管理を含め、アプリケーション全体に対する完全な管理権限を持ちます。
- 管理者 (Admin): 特定の管理タスクを担当し、スーパー管理者を補佐します。
- 開発者 (Developer): アプリケーションソリューションの構築とカスタマイズを行います。
- ソリューション固有ユーザー: 割り当てられた役割に基づいてアプリケーションを利用する一般ユーザーです。
- 権限
ユーザー権限により、アプリケーション内のデータアクセスを細かく制御できます。この機能により、管理者は次の点を指定できます。 - 誰がアプリケーションを編集できるか
- 誰がアプリケーションにアクセスできるか
- ユーザーが操作できるコンポーネントやタブ
- ユーザーが表示または変更できる具体的なデータ
- 役割 (ロール)
Zoho Creator における役割は、主に階層構造を定義するために使用され、それに基づいてユーザーのアクセス制限メカニズムを設定できます。各役割は組織内の特定の機能を表し、その役割に属するユーザーのアクセスレベルと責任範囲を決定します。これにより、誰がどのデータにアクセス・変更・表示できるかを定義し、ユーザーが自分の職務に関連する情報のみにアクセスするようにできます。
例: - マネージャーの役割は、チームのデータにはアクセスできても、機密性の高い財務情報にはアクセスできない場合があります。
- チームメンバーの役割は、自分自身のデータの表示と承認依頼のみが可能な場合があります。
- 管理者の役割は、設定や権限を管理するためにシステム全体へのフルアクセス権を持つことができます。
- さらに、データ共有ルールを設定して役割階層を上書きし、特定のユーザーや役割に対して、割り当てられた階層外のデータへのアクセスを許可することもできます。たとえば、データ共有ルールで明示的に許可されている場合、チームメンバーが自分の階層には属さない上位部門のレポートにアクセスできるようにすることが可能です。
- 役割階層
役割階層は、組織内での役割の構成方法を定義します。組織構造に基づいてアクセスレベルを決定し、ユーザーが自分の責任範囲に関連する情報のみにアクセスできるようにします。
システムで MFA/2 要素認証を必須にできますか?
はい、システムは MFA/2 要素認証を必須とするように設定できます。シングルサインオン (SSO) Zoho では、同一のサインインページと認証情報で複数のサービスにアクセスできるシングルサインオン (SSO) を提供しています。Zoho のいずれかのサービスにサインインする際は、必ず統合された ID およびアクセス管理 (IAM) サービスを通じて行われます。
また、シングルサインオンのために SAML にも対応しており、顧客は自社の LDAP や ADFS などのアイデンティティプロバイダーと連携できます。Zoho サービスにログインする際、SSO によりログインプロセスが簡素化され、コンプライアンスの確保、効果的なアクセス制御とレポーティング、パスワード疲れや弱いパスワードのリスク低減に役立ちます。
多要素認証 (MFA) は、パスワードに加えてユーザーが所持する追加の要素による検証を求めることで、セキュリティを一段と強化します。これにより、ユーザーのパスワードが漏えいした場合でも、不正アクセスのリスクを大幅に低減できます。Zoho One-Auth を使用して多要素認証を設定できます。現在、指紋認証や Face ID などの生体認証、プッシュ通知、QR コード、時間ベースの OTP など、さまざまな方式をサポートしています。また、多要素認証用の Yubikey ハードウェアセキュリティキーにも対応しています。詳細については、ヘルプドキュメントをご覧ください。
監査とログ
どのようなログ機能が利用できますか?
どのような種類のログが保持され、その保存期間はどのくらいですか?
プラットフォームの監査ログおよびログ取得機能について教えてください。
当社では、サービスから収集される情報、ネットワーク内の内部トラフィック、デバイスや端末の利用状況を監視・分析しています。これらの情報は、イベントログ、監査ログ、障害ログ、管理者ログ、オペレーターログといった形式で記録されます。これらのログは自動的に監視・分析され、従業員アカウントでの異常な活動や、顧客データへの不正アクセス試行などの異常を特定するのに役立てています。ログは、システム全体へのフルアクセスから分離された安全なサーバーに保存し、アクセス制御を一元管理するとともに可用性を確保しています。ログの管理はすべて社内で行っています。
監査証跡 (Audit trail): Zoho Creator の監査証跡機能は、アプリケーション内で実行された操作の順序をログとして保持することで、組織を支援します。
ログ: ログは自動的に生成されます。フォーム処理、スケジュール、メールデータ、連携処理など、アプリケーション内で実行された処理の履歴が、タイムスタンプ付きで記録されます。アプリケーション所有者は、アプリケーションのパフォーマンス確認や、アプリケーション内で実行された処理の追跡、あるいは処理失敗時の原因調査のためにログを参照できます。
コンプライアンスと標準規格
どのような規制・標準に準拠していますか?
Zoho Creator は、次のような国際的に認知された複数の標準規格に準拠しています。
- ISO/IEC 27001
- ISO/IEC 27017
- ISO/IEC 27018
- ISO 9001:2015
- SOC 1 タイプ II
- SOC 2 タイプ II
- SOC 2 + HIPAA
- CSA STAR
- GDPR
- CCPA
- POPIA
- Cyber Essentials Plus
- ESQUEMA NACIONAL DE SEGURIDAD (ENS)
- Signal Spam
完全な一覧は次をご覧ください: https://www.zoho.com/compliance.html
インシデント管理
インシデントはどのように管理していますか?インシデント発生時に通知は行われますか?インシデントの解決にはどのくらい時間がかかりますか?
インシデント管理
当社には、環境内で発生するインシデントを処理・追跡する専任のインシデント管理チームがあります。お客様に影響するインシデントが発生した場合は、速やかに通知し、お客様側で必要となる対応についてもご案内します。当社は、是正措置を講じてインシデントを追跡・解決し、再発防止のための管理策を実装します。該当する場合は、お客様に影響するインシデントに関するアプリケーションログや監査ログなど、必要な証拠を特定・収集し、提供します。
お客様から incidents@zohocorp.com 宛てにご報告いただいたセキュリティまたはプライバシーインシデントにも対応します。一般的なインシデントについては、ブログ、フォーラム、ソーシャルメディアを通じて通知します。特定の個人ユーザーまたは組織に限定されるインシデントについては、登録されている主なメールアドレス宛てにメールで通知します。
脆弱性管理
脆弱性が特定され、対応が必要と判断された場合は、記録したうえで重大度に応じて優先度を設定し、担当者を割り当てます。その後、パッチ適用や関連する管理策の実施を通じて解消されるまで、脆弱性を継続的に追跡します。
侵害通知
データ管理者として、GDPR およびその他の適用される地域法で定められているとおり、侵害を認識してから 72 時間以内に、関連するデータ保護当局へ速やかに通知します。データ処理者としては、関係するデータ管理者に対し、遅滞なく通知します。
データの取り扱いと保持
契約終了時のデータ保持ポリシーと、契約終了時におけるクライアントのデータ取得方法について教えてください。
当社は、お客様が Zoho サービスの利用を継続している限り、お客様のアカウント内のデータを保持します。Zoho ユーザーアカウントを解約された場合、お客様のデータは、6 か月ごとに実施される次回のクリーンアップ時に、本番データベースから削除されます。本番データベースから削除されたデータは、その後 3 か月でバックアップからも削除されます。未払いのアカウントが 120 日間連続して無効な状態である場合、当社は継続的なリマインダー送信とデータのバックアップ機会を提供したうえで、そのアカウントを終了する権利を留保します。
使用不能となったデバイスの廃棄は、検証および認証を受けた業者が実施します。それまでの間、当社はそれらを分類し、安全な場所に保管します。デバイス内に含まれる情報は、廃棄前にすべて消去します。故障したハードディスクは消磁処理を行ったうえで、シュレッダーで物理的に破壊します。故障した SSD (ソリッドステートドライブ) は、暗号消去を行った後にシュレッダーで破壊します。
本番データが開発環境で使用されないようにするポリシーはありますか?
はい。開発、テスト、本番の各環境は分離されています。開発者は、制限された環境にビルドをデプロイし、開発および単体テストの目的で使用します。変更内容や動作が確認されると、開発者は保護されたブランチを更新し、他の統合テストとあわせて、自身の機能のテストを実施します。これらのローカル環境は完全に社内向けであり、本番サーバーとは分離されているため、テストや開発の段階で本番サーバーは影響を受けません。これにより、本番データがテスト目的で使用されることもなくなり、本番データは完全に保護され、データの完全性と機密性が維持されます。
外部ベンダーとのデータ共有に関するポリシーを教えてください。
Zoho Creator は、プラットフォームを支えるすべてのタブを自社開発しているため、顧客の機密データの処理を外部ベンダーに依存していません。ただし、サービス向上のために一部のサブプロセッサーを利用しています。これらのサブプロセッサーとは厳格なデータ処理契約(DPA)を締結しており、当社のプライバシーおよびセキュリティ基準を順守するよう義務付けています。
Zoho Creator が利用しているサブプロセッサーはローカライズを行う Google 翻訳のみです。これはユーザーデータにはアクセスせず、アプリケーションのメタ情報のみを処理します。サービスデータの処理に関与するすべての下請け業者およびベンダーの一覧はこちらに掲載しています: https://www.zoho.com/privacy/sub-processors.html
パフォーマンスとスケーラビリティ
同時利用に制限はありますか。また、Zoho Creator はどのようにスケーラビリティを確保していますか?
いいえ、Zoho Creator の同時利用に制限はありません。高い可用性とスケーラビリティを確保するため、複数のアプリケーションサーバーをアプリケーショングループとしてまとめた共有クラスター方式を採用しており、各グループが異なるコードや機能をホストしています。
Zoho Creator のアーキテクチャは、水平方向および垂直方向の両方に自動スケールするよう設計されており、クラスター内で負荷を動的に分散して最適なパフォーマンスを実現します。このスケーラビリティはプラットフォームによって自動的に管理されるため、利用が集中している場合でもシームレスに動作します。
アーキテクチャ概要:
Zoho Creator は、フロントエンドサーバーを追加配置することで水平スケーラビリティを実現し、スループットを向上させて、より多くのリクエストを効率的に処理できるようにしています。また、非対話型処理を担当し、大量データをバッチ処理する独立した非同期スケジュール処理エンジンを利用しており、システムパフォーマンスを最適化しています。需要が低下した期間には、インスタンスを削減することで自動的にスケールダウンし、運用コストを最適化します。
垂直スケーラビリティについては、メモリ使用量、ユーザーごとのデータサイズ、CPU 使用率などの主要な指標を継続的に監視しています。これらのパラメーターがしきい値に近づくと、システムが自動的にスケールアップします。さらに、データベースサーバーについては、必要に応じて処理スレッド数を増やし、追加の外部連携を処理できるようにします。
Zoho Creator では、水平方向と垂直方向のスケーリング戦略を組み合わせたハイブリッドスケーリングも採用しており、アプリケーションの具体的なニーズに基づいて最適にリソースを割り当てます。このスケーラビリティはすべて自動化され、プラットフォーム自身によって管理されるため、スムーズで途切れのない運用が可能です。
ユーザー数と料金概要:
Zoho Creator では、お客様の要件に合わせたさまざまな料金プランをご用意しています。
追加ユーザーはアドオンとして購入でき、利用規模に応じて拡張できます。
サブスクリプションモデルの詳細はこちらをご覧ください。
その他
システム内でサードパーティサービスを利用していますか? サードパーティが私のデータにアクセスすることはありますか?
お客様のデータの所有者はお客様ご自身であり、Zoho ではありません。当社はお客様のデータを保護し、アクセスを制限し、お客様の指示に従ってのみ処理します。データは安全に保護されており、次の場合を除き、第三者と共有されることはありません。
Zoho Creator の統合ツール(API、カスタム関数、ウィジェットなど)を使用して、お客様がご自身のアプリをサードパーティサービスと連携することを選択した場合。
法律で義務付けられている場合、正当な法的要請や規制上の義務に対応する場合。
当社は、特にお客様のデータの取り扱いにおいて、サードパーティサービスへの依存を最小限に抑えるようシステムを設計しています。
ただし、翻訳など特定の機能については、Google 翻訳のような信頼できるサブプロセッサーを利用する場合があります。これらのサービスは、定められた目的のみに使用され、厳格なデータ保護契約の下で運用されることで、お客様の情報の安全性を確保しています。詳細については、サブプロセッサーページをご覧ください。
ただし、翻訳など特定の機能については、Google 翻訳のような信頼できるサブプロセッサーを利用する場合があります。これらのサービスは、定められた目的のみに使用され、厳格なデータ保護契約の下で運用されることで、お客様の情報の安全性を確保しています。詳細については、サブプロセッサーページをご覧ください。
関連ヘルプ文書
関連 FAQ ページ
Zoho CRM 管理者向けトレーニング
「導入したばかりで基本操作や設定に不安がある」、「短期間で集中的に運用開始できる状態にしたい」、「運用を開始しているが再度学び直したい」 といった課題を抱えられているユーザーさまに向けた少人数制のオンライントレーニングです。
日々の営業活動を効率的に管理し、導入効果を高めるための方法を学びましょう。
- Zoho Workerly Home
- Forums
- Connect With Us:
- Zoho Recruit Home
- Forums
- Connect With Us:
Zoho Campaigns Resources
Zoho WorkDrive Resources
New to Zoho Workerly?
New to Zoho Recruit?
New to Zoho CRM?
New to Zoho Projects?
New to Zoho Sprints?
New to Zoho Assist?
Related Articles
よくある質問:基本的なプライバシーとセキュリティ
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 このページでは、Zoho Creator のセキュリティ機能、公的認証、監査レポート、認証方式など、データ保護に関する重要なポイントを取り上げ、法人向けワークフローのデータ安全性について包括的に解説します。 メモ: ...よくある質問:セットアップ手順
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 このページでは、Zoho Creator ユーザー向けに、登録方法、サインイン手順、Zoho アカウントとメールアドレスの確認、デモのリクエストや専任サポートチームへのお問い合わせ設定など、基本的なステップを説明します。 Zoho Creator に登録するにはどうすればよいですか? ...よくある質問:料金プラン
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 このページでは、Zoho Creator の基本的な情報として、無料トライアル、料金プラン、カスタマーサポートの種類、アドオン、ストレージ上限などを紹介し、業務プロセスの高度化にどのように役立つかを総合的に説明します。 Creator では無料トライアルを提供していますか? ...Zoho Creator よくある質問とスターターガイド
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 このページでは、複数言語対応、共有責任モデル、独自の Deluge コーディング言語などを備えたローコードプラットフォーム「Zoho Creator」について、法人利用に役立つ重要なポイントを紹介します。 Zoho Creator とは? Zoho Creator ...よくある質問:フォームの下書き
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 このページでは、Zoho Creator におけるフォームの下書き管理、差出人設定、連携トラブルシューティングへのアクセス、およびデータのプライバシー確保について説明します。 What are form drafts and how are they useful? ...