moconavi クラウドサービス・サービス仕様とサービス規定（SLO）

I サービスの名称
(1) moconavi（モコナビ）クラウドサービス（以下、「本サービス」という）

II 本サービスの内容と仕様
(1) スマートデバイスアプリ
動作環境：
レコモットホームページの対応端末を参照のこと。
https://moconavi.jp/howto/terminals

(2) VPNクライアントソフト
機能：接続先システム～クラウドサーバ間の通信を暗号化する。
動作環境：
レコモット提供のアプライアンスサーバを推奨。（レンタル）
顧客にてサーバを準備する場合は以下の通り。
OS　　　　 Windows Server 2016以降、CentOS7、RedHat(RHEL) 6・7・8
CPU　　　 3.0 GHz以上（マルチコア推奨)
メモリー　　8GB 以上推奨
DISK　　 500GB 以上推奨

(3) コネクターソフト
機能：接続先システム～クラウドサーバ間の通信を接続し、携帯電話、スマートフォンおよび
タブレットPC（以下「携帯端末」という）上で接続先システムの情報閲覧、更新を可能とする。
動作環境：
レコモット提供のアプライアンスサーバを推奨。（レンタル）
顧客にてサーバを準備する場合は以下の通り。
OS　　　　 Windows Server 2016以降、CentOS7、RedHat(RHEL) 6・7・8
CPU　　　 3.0 GHz以上（マルチコア推奨)
メモリー　　8GB 以上
DISK　　 500GB 以上
※VPNクライアントソフトがインストールされたPCと同一PCへのインストールを行う。

(4) ゲートウェイソフト
機能：携帯電話アプリケーション若しくはスマートフォンアプリからの通信とVPNクライアントソフト
およびコネクターソフトからの通信を接続し、携帯端末上で接続先システムの情報閲覧、更新
を可能とする。
動作環境：レコモットが提供するクラウドサーバ上。

(5)企業管理者Webアプリ
機能：企業管理者が接続先システムとの接続設定および携帯端末の利用者登録等を行う。
動作環境：レコモットが提供するクラウドサーバ上。

(6)システム管理者Webアプリ
機能：レコモットが顧客に対する本サービスの利用開始・利用停止等を登録する。
動作環境：レコモットが提供するクラウドサーバ上。

なおレコモット は顧客に上記（1）～（6）について、取扱説明書等関連資料1部（電子媒体含む）を提供するものとする。

III 本サービスの提供方法
レコモット は本サービスをレコモットが提供するクラウドサーバ上において顧客に提供する。
レコモット は以下のいずれかの方法で、顧客に本サービスで使用するソフトウェアを提供する。

IV 本サービスのバージョンアップポリシー
レコモット は本サービスについて、以下に記載する「ディビジョン」の最新2世代に対しては、重大なバグの修正を行う。なお、最新のゲートウェイアプリ、VPNクライアントソフト、コネクターソフトに対し、１世代前の携帯電話アプリケーション及びスマートフォンアプリの接続動作を保証する。

【バージョンの規定例】
moconavi　　　　Version 1.00.01
（製品名） 　（バージョン.ディビジョン.サフィックス）

・バージョン
携帯電話アプリケーションやスマートフォンアプリの全面リニューアルなど大幅な機能改善により、レコモット が任意に定めた世代管理を示す。
・ディビジョン
ゲートウェイアプリ、VPNクライアントソフト、コネクターソフトのバージョンアップが伴う改修が行われたことを示す。
・サフィックス
携帯電話アプリケーションやスマートフォンアプリの改修やパッチリリースが行われたことを示す。

V 本サービスの仕様
1. 本サービスの機能
携帯電話及びスマートフォンから顧客の社内システム（以下「接続先システム」という）の情報を閲覧、更新することを目的に、携帯電話アプリケーション若しくはスマートフォンアプリからの通信とVPNクライアントソフトおよびコネクターソフトからの通信を接続する機能を提供する。

2. 本サービス提供の前提条件
(1) 顧客は、自己の責任と費用負担で利用するために必要となる設備（携帯電話、VPNクライアントソフトならびにコネクターソフトをインストールするPC、インターネット接続環境等）を用意するものとする。

(2) レコモット は顧客から別途申込みがあった場合、VPNクライアントソフトとコネクターソフトを事前インストールしたクラウドアプライアンスを提供する。
・クラウドアプライアンスのハードウェアの所有権はレコモット またはレコモット の提携先に帰属するものとする。
・クラウドアプライアンスのハードウェアスペックならびに提供価格、ハードウェア保守は、別途クラウドアプライアンス仕様書に規定するものとする。

VI 運用ポリシーについて
(1) サービス時間
・運用業務の提供時間は、24時間365日とする。ただし、定期保守ならびにバージョンアップ等の計画停止の時間を除くものとする。
（計画的なメンテナンス実施時（2か月に1回毎月第1日曜日原則午前1時～午前4時）を除く）

(2) 稼働率
・稼働率は前項の計画停止を除き、99.99％以上を目標とする。
・レコモット は上記稼働率の達成に向けて、最大限の努力と体制維持に努めることとするが、これらを保証するものではない。

(3) ディザスタリカバリ
・クラウド側では、一時的、恒久的に関わらず、接続先システムのデータの保持をしないが、別設備にディザスタリカバリ環境を提供する。

(4) 計画停止予定通知
・レコモットは、定期保守、バージョンアップ等が必要な場合、30日前までに、顧客へメール等での通知を行うことで、計画的にシステムを停止することができるものとする。
・1回の計画停止の時間は、3時間以内を目標とし、最大でも12時間を超えないものとする。
・顧客への影響が極力発生しないタイミング（日時）を見計らって、作業を行うものとする。

(5) クラウドサービスの提供ポリシー
レコモットのクラウドサービスの提供にあたり、以下のポリシーをもって運用する。
① 不正なアクセスからの防護
② 不正なログインからの防護
③ 脆弱性攻撃からの防護
④ ヒューマンエラーからの防護
⑤ 災害からの防護
⑥ 障害の検知と復旧
⑦ データ消失や漏洩リスクからの防護

① 不正なアクセスからの防護
複数の認証プロセスでセキュリティを強化し、不正なアクセスから防御する。
（以下の項目を、設定画面からダイレクトに設定が可能。）
a. 標準認証：二要素認証（ID／パスワード、端末の個体識別番号）
b. 生体認証：端末の生体認証と連携
c. 複数の認証方式設定：SAML、LDAP、AD（Azure AD含む）、ワンタイムパスワード（SecureMatrix、PassLogic）等の連携
d. IPアドレスの制限：顧客環境（オンプレミス）との接続先を固定IPで設定する事が可能。
※オプション

② 不正なログインからの防護
様々なパスワードポリシーを設定可能。
a. パスワードの長さ
b. パスワードの複雑さ（英数字、記号、文字の小文字大文字など）
c. パスワードの再利用許可
d. パスワードの有効期限

以下の機能により、より確実に不正なログインから防御する。
a. アカウントのロックアウト機能（失敗回数）
b. 自動ログインの制限（ログインID及び、パスワードの自動補完の無効化）
c. ログインや操作ログの取得
d. 悪意のあるサイトによる情報流出を防ぐ機能の搭載（ホワイトリスト、ブラックリスト）
e. キャプチャによる情報流出を防ぐ機能の搭載

③ 脆弱性攻撃からの防護
コンピュータのOSやソフトウェアのセキュリティ上の欠陥（脆弱性）を悪用した不正アクセスなどに対処するため、情報セキュリティ委員会を設置して、以下の活動を通じてPDCAサイクルを運用し、効果的な対応を実現する。
a. 情報セキュリティに関する啓蒙・注意喚起の実施
b. 各種ソフトウェア・ハードウェアに関するセキュリティ情報の収集
c. インシデント発見のための枠組みの構築
d. インシデント解決策の実行
e. インシデントに関する情報公開

製品の脆弱性に対する取り組みとして、以下の事項を継続的に実施する。
＜社内＞
a. 開発及び運用に携わる従業者への、情報セキュリティ教育
b. インフラ面の脆弱性を早期に発見・対応する体制の運用
c. 社内における脆弱性診断
＜社外＞
a. 定期的に、第三者機関からの技術的脆弱性診断の実施（年2回）
b. 専門機関（一般社団法人JPCERTコーディネーションセンター、独立行政法人 情報処理推進機構）やベンダーが公開する、脆弱性情報の積極的収集

社内における情報セキュリティ運用のために、以下のような運用体制を敷いている。
a. ISO27001：2013の認証取得
b. 本番環境への接続用の専用端末・ネットワークの利用
c. 開発環境と本番環境のネットワーク分離
d. 一般従業者と運用メンバーのネットワークを分離した独立した環境設置
e. 執務室への入退室管理を実施

④ ヒューマンエラーからの防護
人の手によるミスからのトラブルをふせぐため、以下の措置を実施している。
a. アップデートの実施に際しての、開発→品質検証→アップデート・リハーサル→本番アップデート
b. AWS Backup を使用して独立したバックアップストレージおよびバックアップの暗号化、バックアップポリシーなどを設定した保持管理
c. サービスの追加・解約、顧客環境の作成などのダブルチェック
d. 開発等に関する手順書（マニュアル）の整備を行い手順の自動化
e. 障害発生時等の緊急の場合、単独オペレーションの禁止と、作業内容の上長への報告

⑤ 災害からの防護
いつ起こるか分からない災害に備えて、以下の対応を常時実施している。
a. レコモットが利用するすべてのデータセンターで、日本データセンター協会が制定する「データセンターファシリティスタンダード」における主要な項目で耐障害性を確保できるなど、高い安全性を維持
b. ネットワーク回線や電源を冗長化することで、万が一災害が発生した場合の影響を最小化
c. データセンターとの接続の安全性を担保するため、SSL-VPNを用いた対応
d. 顧客からの預かりするデータを暗号化し、流出時のデータ漏洩の防止

⑥ 障害の検知と復旧
システム上における障害を自動的に検知する仕組みを設け、運用している。
a. クラウドサーバ側は24時間365日の自動監視とし、障害発生時は、必要に応じて、顧客の事前に登録された窓口への即時通知
・障害発生からサービス復旧までの時間は、3時間以内を目標とする。
・自動監視以外の方法での障害検知については、12時間以内を目標に顧客の窓口に通知することを目標とする。
・ 顧客の設備内のVPNクライアントソフトとコネクターソフト（レンタルPC にインストールされたものを含む）については、自動監視の対象外とする。
ただし、クラウドサーバ側で、VPNクライアントソフト（レンタルPC にインストールされたものを含む）がアクティブか非アクティブかは監視し、顧客からの問合せに応じて、回答するものとする。
・システムの自動監視の監視サイクルは、1分以内の間隔とする。
b. サーバ及び、ネットワークは全て冗長化しており障害発生時は停止せずに稼働する事が可能
c. 標的型攻撃および、脆弱性をついた攻撃に対して、FW（FireWall）、IDS・IPS、WAFを用いた対応の実施
d. 自動死活監視システム、自動侵入検知・防止システムの設置
e. 重大障害時の代替え手段
・ 重大障害発生時の代替え手段として、別系統のクラウド（ディザスタリカバリ）に接続先を変更することで、代替え手段を提供する。切換えは3時間以内を目標とする。
f. 緊急メンテナンス
・ レコモットは、重大な脆弱性への対応、障害対応等の重要なインシデント発生時に、顧客へのメール等での通知を行うことで、緊急でシステムを停止し、メンテナンスを行うことができるものとする。
・ 1回の緊急停止の時間は、2時間以内を目標とし、最大でも6時間を超えないものとする。
・ 極力、顧客への影響が極力発生しないタイミング（日時）を見計らって、作業を行うものとする。

⑦ データ消失や漏洩リスクからの防護
顧客のサービス利用やサービスの継続性を守るため、以下のバックアップ体制を敷いている。
a. サーバの冗長化
b. メンテナンス時に設定ファイルを含むすべての情報をバックアップし、DBについては、日次での差分のバックアップ（DB：7世代保持）
c. AWS Backup を使用して独立したバックアップストレージへの保存

(6) 運用業務提供状況の報告方法及びサイクル
・提供状況の報告は行わない。

(7) ログの取得
・顧客に対し、Web システムを通じて、ログイン履歴、ログイン時間等の利用者ログを提供する。
・障害の対応を目的に、顧客設備内のコネクターソフトのログの取得を顧客の企業管理者に要求することがある。

(8) データ管理
・データセンター所在地＝東日本・西日本に所在するデータセンターで運用を実施し、東日本のデータは西日本の、西日本のデータは東日本のそれぞれのデータセンターにバックアップデータを保管。
・バックアップ＝毎日、顧客のデータのバックアップを取得。
・データの消去＝レコモットサービスの解約後、60日後にユーザ情報・入力データ・監査ログを消去。ただし契約している複数サービスのうち一部のみの解約を行う場合、解約されるサービスに関連するデータのみ消去する。
・管理者の制限＝レコモット内で定める運用体制に基づき、データにアクセスできる管理者を制限。
・情報利用者の制限
クラウドサーバにアクセス可能なPC は、IC カードと指紋認証によるセキュリティを適用し、シンクライアント環境で利用するメンテナンス専用端末とする。
・顧客の保存データについて＝サービス上に保存された顧客のデータについては、顧客ご自身にその管理責任があるものとし、レコモットでは許諾された範囲を除き、一切の権利を有さないものとする。
・アプライアンス機器（中継サーバ）のデータは返却時に消去する。

・データの暗号化
保存・伝送されるデータはすべて暗号化する。

(9) サポート
障害、不正なアクセス等の疑いなどの連絡、その他利用上ご不明な点等の問い合わせの一次保守を目的としたサポート窓口を用意する。
・提供時間＝月～金9:00～18:00（日本時間。年末年始、土日祝日除く）
・提供手段＝電話及びWeb問い合わせ窓口

VII 保守ポリシーについて
本仕様書に規定のないものは、レコモットが規定する保守ポリシー、またはレコモット顧客間で別途締結する保守業務の委託契約書の規定に準拠するものとする。

VIII 本サービスの内容の変更について
(1) レコモットは本システムの仕様、本サービスの内容等に変更を行う場合、顧客に対して速やかに通知を行うものとする。なお本サービスの著しい変更を行う場合には、顧客に対し、30日以上前に通知を行うこととする。
(2) 変更の実施に際しては、レコモットが事前に告知した日程の範囲で、実施することとする。

IX クラウドサービス環境仕様について
レコモットは顧客に対して以下に規定する運用業務をサービスとして提供する。またレコモットは運用業務サービスを第三者に委託できるものとする。

(1) 性能について
クラウドサーバの応答時間は3秒以内を目標とする。
ただし、以下の時間については、レスポンスタイムから除外するものとする。
① 携帯電話事業者の通信時間（携帯電話含む）
② 接続先システムのレスポンスタイム
③ クラウドサーバから顧客までの通信時間
④ コネクターソフトから接続先システムまでのレスポンスタイム
⑤ その他様々なネットワークの輻輳による通信時間の劣化

(2)サービスレベルアップデートポリシー
①本サービスのサービスレベルについては定期的に評価を実施し、サービスレベルの達成評価や目標値の妥当性の評価、測定値等のトレンド解析を行うものとする。
②特にトレンド解析により現時点はサービスレベルを満たしていても、将来違反しそうな項目の予想を行うものとする。
③また単にサービスレベルの達成状況、違反状況の評価だけではなく、サービスレベルを規定する項目の見直しも定期的に実施するものとする。
④サービスレベルをアップデートする際には事前に告知の上、更新するものとする。

X データの取り扱い
レコモットは、顧客がレコモットのクラウドサービスを利用することで発生する各種データについて、以下に示すとおり適切に取扱う。
① データの分類
顧客がレコモットのクラウドサービスを利用することで発生するデータのうち、レコモットが取扱うデータは次のとおり。

【顧客が登録・入力・保存するデータ】
（1）契約者情報等
レコモットのクラウドサービスを申込みの際に必要となる、顧客番号、顧客の氏名又は名称、住所又は居所、担当窓口、連絡先、その他申込みの内容を特定するためにレコモットが指定する事項である。
レコモットは、契約者情報等を本ポリシーⅥの各項に基づいて取扱う。
（2）入力データ
顧客が利用中の、レコモットのクラウドサービスに入力・保存したデータである。
レコモットは、入力データを本ポリシーⅥの各項に基づき取扱う。
（3）利用状況データ
・moconaviへアクセスしたユーザーのログイン・ログアウト履歴
・チャットサービスに登録したメッセージ・時刻・送信先の内容
（4）ログの取得
・顧客に対し、Web システムを通じて、ログイン履歴、ログイン時間等の利用者ログを提供する。
・障害の対応を目的に、顧客設備内のコネクターソフトのログの取得を顧客の企業管理者に要求することがある。

【アクセスログ】
「顧客がサービス上で登録・入力・保存するデータ」を除く、アクセス履歴等に関するデータを指す。いずれも顧客個人を特定するものではない。以下に、アクセスログの例を記述する。
（1）クラウドサービスのログ
・クラウドにて稼働しているAP（Gateway）サーバのログ
（2）アダプターログ
・連携サービスへアクセスしたユーザーの利用ログ
※アダプターログは動作に関してレコモットで調査を行う際に、顧客の了解を得た上でレコモットにおいて閲覧を行う。

② アクセスログの取扱いについて
レコモットは、アクセスログを以下の目的のために利用する。
（1）サポート実施のため
顧客の操作によりクラウドサービスに障害が判明した際に、原因となった操作を分析・特定して、障害解決をするため。
（2）クラウドサービスの提供、維持、保護、改善および開発のため
機能ごとに顧客のご利用頻度を比較・分析して、優先的に改善する機能を決定するため。
（3）適切なフォロー連絡及びマーケティング方式を検討するため
クラウドサービスご契約者（試用中含む）の行動を比較・分析し、それらの統計データを活用して、レコモットが営業活動を実施するため。

レコモットでは、以下の場合を除き、利用状況データを第三者に提供又は共有することはない。
（1）利用状況データの提供または共有について、顧客の同意がある場合
（2）利用目的の達成に必要な範囲で、レコモットの関連会社と利用状況データを共有する場合
（3）利用目的の達成に必要な範囲で、利用状況データの取扱いの全部又は一部を委託することにより、当該委託先へ利用状況データが提供される場合（※）
（4）顧客による利用規約への違反行為等により、他の顧客およびレコモットの権利、財産、サービス等を保護するために必要があると、客観的に認められる場合
（5）人の生命、身体または財産の保護のために必要がある場合
（6）法令に基づく提供の要請があった場合
（※）委託先とは守秘義務およびセキュリティ要求事項を含む業務委託契約を締結し、委託業務の遂行上必要な範囲内で必要な情報のみを開示する。また委託先には、当該業務以外での情報の利用を禁止している。

③ 第三者が提供するサービスの利用
レコモットの製品、サービスおよびWebサイトでは、製品・サービスの改善及び顧客への適切な情報提供のため、第三者のサービスを利用する場合がある。
サービスを提供する第三者は利用者情報を取得する場合がある。その際取得された情報は、当該第三者が定めるプライバシーポリシーやサービスの利用規約等に基づいて取扱う。

【レコモットが提供しているクラウドサービスのプラットフォーム】
クラウドサービスの提供にあたり、以下のプラットフォームを利用している。
・Microsoft　Azure
Azureのセキュリティの概要：https://docs.microsoft.com/ja-jp/azure/security/fundamentals/overview
プライバシーステートメント：https://privacy.microsoft.com/ja-jp/privacystatement

・Amazon　Web　Service
セキュリティホワイトペーパー：https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS%20Security%20Whitepaper.pdf
プライバシー通知：https://d1.awsstatic.com/legal/privacypolicy/AWS_Privacy_Notice_Japanese_2020-08-15.pdf

【連携サービス利用例】
moconaviと連携して利用可能なサービス（※利用データは各社サービス上で保存・管理され、moconaviを提供しているクラウド環境には一切データは保存されない。）

・MS365
・MS365連携API(Graph API)
サービス規約：https://www.microsoft.com/ja-jp/servicesagreement/
プライバシーステートメント：https://privacy.microsoft.com/ja-jp/privacystatement

・sansan
・sansan連携API
サービス約款：https://agreement.sansan.com/ja/rule/
プライバシーポリシー：https://jp.sansan.com/privacy.html

・Google Workspace
・Google API
利用規約：https://workspace.google.co.jp/intl/ja/terms/2013/1/premier_terms.html
プライバシーポリシー：https://policies.google.com/privacy?gl=jp

・Cybouzu
・Cybouzu API
利用規約：https://www.cybozu.com/jp/terms/
プライバシーポリシー：https://cybozu.co.jp/privacy/privacy-policy/

・Notes/Domino
・Domino DIIOP
利用規約：https://www.hcljapan.co.jp/software/license/hcl-notes-domino-license-guide/
プライバシーポリシー：https://www.hcljapan.co.jp/company/privacy.html

・ホットプロファイル
・ホットプロファイル　API
セキュリティ対策を重視した取組み：https://www.hammock.jp/hpr/meishi/security.html
プライバシーポリシー：https://www.hammock.jp/securitypolicy/privacypolicy.html

・eセールスマネジャー
・利用規約：https://www.e-sales-support.jp/euf/assets/contents/product/agreement/ms_premier_terms.html
プライバシーポリシー：https://www.softbrain.co.jp/privacypolicy/

・Box
・Box API
利用規約：https://www.box.com/ja-jp/legal/termsofservice1
プライバシーポリシー：https://www.box.com/ja-jp/legal/privacypolicy

・DropBox
・DropBox API
利用規約：https://www.dropbox.com/terms
プライバシーポリシー：https://www.dropbox.com/ja/privacy

・PassLogic
・PassLogic API
利用規約：https://passlogic.jp/doc/cloud_pdf/passLogiccloud_terms_20200720.pdf
プライバシーポリシー：https://www.passlogy.com/corporate/privacypolicy

・SECUREMATRIX
・SECUREMATRIX API
プライバシーポリシー：https://www.cseltd.co.jp/privacypolicy/

XII 雑則
① 準拠法および裁判地～日本法を準拠法とする。レコモットとの契約等に関して提訴する場合は、東京地方裁判所に提起を行うものとする。また、知的財産権の侵害に関する差止請求を行う場合には、適切な管轄裁判所において行う。
② 輸出管理規制～本製品には、日本法である外為法による輸出管理規制が適用される。

本ポリシーの内容は、予告なく改訂する場合があります。

以上
初版：2011年9月29日
改定：2020年9月1日
改訂：2022年5月27日

ダウンロード：SLO