セキュリティホワイトペーパー
データ保管場所について
ラベル付機能について
暗号化について
変更管理について
バックアップについて
ログのクロックに関する情報について
ログの提供について
脆弱性管理に関する情報について
開発におけるセキュリティ情報について
インシデント発生時の対応について
お客様データの保護について
認証について
外部クラウドサービスの利用
改訂履歴
この資料に関するお問い合わせ

セキュリティホワイトペーパー

データ保管場所について

【HERP Hire】

お客様からお預かりしたデータは、AWSのap-northeast-1 (東京)に保管されます。

メールの受信機能を使ったデータは一時的にus-west-2(オレゴン)に保存されます。

【HERP Nurture】

お客様からお預かりしたデータは、AWSのap-northeast-1 (東京)に保管されます。

ラベル付機能について

【HERP Hire】

お客様は、募集する職種名の設定が可能です。

【操作手順】

職種を作成する https://guide.herp.cloud/manual/a03751906b554504a6ec37692c32b4c1
職種を一括で変更する https://guide.herp.cloud/manual/189d9e3c69814f85af40ea1ece8ba59a
職種ごとの採用進捗を確認する https://guide.herp.cloud/faq/e7d252b4ca0142cb88c759642165829e

【HERP Nurture】

お客様は、各タレントに対してタグを設定することが可能です。【操作手順】

タグを作成・編集・削除する https://guide.herp.cloud/manual/63fdb6d4a8474a629cc483c410ef60ed
タグを利用してタレントを管理する https://guide.herp.cloud/manual/ed0a1333592e466b9ebe4d9b6f2a0df4

暗号化について

【HERP Hire/Nurture】

データベースに保管される情報は各社共通の鍵で保存時にストレージ層で暗号化され、適切なアクセス権のもとで保管されます。但し、パスワードは、不可逆暗号化(ハッシュ化)された状態で、データベースに保管されます。
お客様が用意した鍵を使用した暗号化機能は提供しておりません。
お客様の端末と、システムとの間のインターネット通信は、SSL/TLS通信によって暗号化されます。なお、対応している SSL/TLS は、TLS1.2 以降となります。

変更管理について

【HERP Hire/Nurture】

お客様に悪影響を及ぼす可能性のあるサービスの変更を行う場合は、事前に一定の権限を有しているユーザに対してメールで通知します。

バックアップについて

【HERP Hire/Nurture】

データベースに保管される、お客様の各種情報は、日次でバックアップを取得しています。バックアップは、35世代分保管されます。
お客様による一部データのエクスポート機能も提供しております。
ただし、HERPが取得しているバックアップデータ、およびお客様がエクスポートしたデータからの復元に関する要望は承っておりません。

ログのクロックに関する情報について

【HERP Hire/Nurture】

サービス内で提供されるログは、タイムゾーンJST(UTC+9)で提供されます。
ログの時間は、AWSが提供するNTPサービスと同期しています。

ログの提供について

【HERP Hire/Nurture】

サービスログイン時の認証ログを取得しており、提供が可能です。
提供をご希望の場合はサポートまでご連絡ください。

脆弱性管理に関する情報について

【HERP Hire/Nurture】

開発チームは、システムで利用しているOS、ミドルウェア等に関する脆弱性情報を、定期的に収集しています。
システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適用されます。

開発におけるセキュリティ情報について

【HERP Hire/Nurture】

サービスの開発は、社内の開発方針に従って開発しています。

インシデント発生時の対応について

【HERP Hire/Nurture】

お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止等)が発生した場合は、インシデント発見後、原則として1時間以内（営業時間外に発生した障害の場合は翌営業開始時間から1時間以内）に一定の権限を有しているユーザに対してメールおよびチャットにて通知します。
情報セキュリティインシデントに関する問合せは、本セキュリティホワイトペーパー末尾の「セキュリティ担当」窓口より受け付けています。

お客様データの保護について

【HERP Hire/Nurture】

お客様から預かったデータを適切に保護することは、株式会社HERPの責任です。ログデータを含むお客様データは、不正なアクセスや改ざんを防ぐため、限られたアクセス権のもとで事業継続の限り保管されます。
AWS内で利用されたストレージデバイスなどの装置の処分に関してはAWSの廃棄プロセスに従っています。

認証について

株式会社HERPは、情報マネジメントシステム認定センター(ISMS-AC)が運営する、ISMS適合性評価制度における、ISMS認証を取得しています。

認証登録範囲は以下リンク先を参照 https://isms.jp/lst/ind/CR_IS_x0020_721526.html

株式会社HERPは、情報マネジメントシステム認定センター(ISMS-AC)が運営する、ISMS適合性評価制度における、ISMSクラウドセキュリティ認証を取得しています。

認証登録範囲は以下リンク先を参照 https://isms.jp/isms-cls/lst/ind/CR_CLOUD_x0020_751305.html

株式会社HERPは、日本情報経済社会推進協会(JIPDEC)が運営する、プライバシーマーク制度における、プライバシーマークを取得しています。

外部クラウドサービスの利用

【HERP Hire/Nurture】

次に示す機能を運用するために、外部のクラウドサービスを利用しています。

クラウドサービス	機能	運営会社	保存される情報
チャネルトーク	Webチャットによるユーザヘルプ	Channel Corp	個人名・メールアドレス・お問い合わせ内容等
reCAPTCHA	セキュリティ対策	Google LLC	アクセス履歴
Sendgrid	メール送信	SendGrid	メールアドレス・メール内容・送信日時等
Google Cloud Platform	データ分析機能	Google LLC	顧客データ ※HERP Hireのみ
Trocco	データ分析機能	株式会社primeNumber	なし（Google Cloud Platformへデータ転送に使用。Trocco自体にデータ保存なし）
LaunchDarkly	顧客ごとの機能切り替え	Catamorphic Co.	顧客の設定
OpenAI API	求人票作成AIサポートの提供	OpenAI	職種名・職種情報・企業情報
Auth0	エージェントユーザを対象としたログイン機能	Auth0, Inc.	アカウント情報（メールアドレス、パスワード）

改訂履歴

改訂履歴は以下を参照ください。

改訂日	改訂内容
2021/6/29	初版発行
2022/2/17	[データ保管場所]の修正 [インシデント発生時の対応]の問い合わせ先名称を変更。 [認証]にISMSクラウドセキュリティ認証を取得した旨記載を変更。認証登録範囲の注釈を追加。 [外部クラウドサービスの利用]の記載を一部変更。Sendgrid・GoogleCloud Platform・LaunchDarklyを追加。
2022/9/06	[外部クラウドサービスの利用]へチャネルトーク追加
2022/11/26	・データへのラベル付け機能のヘルプページURLを更新・[外部クラウドサービスの利用]からIntercom削除、Notion追加
2023/6/9	[外部クラウドサービスの利用]へOpenAI APIを追加
2023/8/30	[バックアップの状況]バックアップ世代を30から35に更新
2023/9/21	[バックアップの状況]へ既存エクスポート機能、バックアップおよびエクスポートデータのインポート不可を追記
2023/10/11	・本セキュリティホワイトペーパをPDFからNotionページに移行・[外部クラウドサービスの利用]　ヘルプ情報のみが記載（クライアント関連の情報資産記載なし）のためNotionを一覧から削除・[インシデント発生時の対応について]　インシデント発生時の通知を「速やかに」から「原則として1時間以内…」に更新。また、通知方法に「チャット」を追加
2024/01/17	[外部クラウドサービスの利用]へTroccoを追記
2024/02/14	[外部クラウドサービスの利用]へAuth0を追記
2024/04/18	[ログの提供]を追記

この資料に関するお問い合わせ

株式会社HERP セキュリティ担当 Email security-info@herp.co.jp