セキュリティポリシー・対策

QuickSign運営者（以下「当社」）は、電子契約サービス「QuickSign」（以下「本サービス」）を通じてお客様からお預かりする契約書データ、個人情報、およびその他の機密情報（以下「情報資産」）の保護を経営上の重要課題と位置づけ、情報セキュリティの確保に全社的に取り組みます。

当社は「実務に必要な安全性を、過不足なく確実に提供する」ことを基本方針とし、中小企業・個人事業主のお客様にも安心してご利用いただけるセキュリティ水準を維持してまいります。

固有リンク（ユニークURL）の自動生成

署名依頼ごとに、暗号論的に安全な乱数生成器を用いて固有のURLを自動生成します。十分なランダム性を持つため、第三者による推測や総当たりによるアクセスは事実上不可能です。各署名依頼に対して個別のURLが発行され、過去のリンクが他の契約書へのアクセスに利用されることはありません。

誤送信時のリスク軽減

万が一、署名依頼メールが意図しない相手に送信された場合でも、OTP（ワンタイムパスワード）認証を有効にしていれば、正しいメールアドレスの持ち主以外は契約書にアクセスできません。

署名方式

契約当事者双方が同一の契約内容を確認し合意操作を行った後、QuickSignが立会人としてPKCS#7形式の電子署名をPDFに付与します。この方式は、令和2年9月4日の3省Q&A（総務省・法務省・経済産業省）に基づき、電子署名法第2条第1項に定める電子署名に該当しうるものです。

署名プロセスの記録

署名の成立過程において、署名日時（サーバー時刻）、署名者のIPアドレス、User-Agent、操作履歴を監査証跡（Audit Trail）として自動的に記録します。これにより、「誰が」「いつ」「どの内容に合意したか」を事後的に立証することが可能です。

改変検知

署名済みの契約書PDFについてSHA-256ハッシュ値を算出・記録し、文書の同一性を検証可能にしています。加えて、監査証跡の各レコードにもハッシュ値を付与し、前のレコードのハッシュを次のレコードに連鎖させるハッシュチェーン構造を採用しています。過去の記録が1件でも改ざんされた場合、チェーン全体の整合性が崩れて即座に検知されます。

通信の暗号化

本サービスへのすべての通信はTLS（Transport Layer Security）により暗号化されています。これにより、ブラウザとサーバー間のデータ伝送時における盗聴・改ざん・なりすましを防止しています。全ページでHTTPS通信を強制適用しています。

保存データの保護

アップロードされた契約書PDF、署名データ、監査証跡等の重要データは、安全に管理されたストレージに保存されます。保存データへのアクセスはアプリケーション層で厳格に制御されており、テナント間のデータは完全に分離されています。ファイルアップロード時にはファイル形式およびサイズの検証を行い、不正なファイルの受け入れを防止しています。

ログイン認証

メールアドレスとパスワードによる標準認証に加え、Google OAuthによるシングルサインオンに対応しています。パスワードはbcryptによるハッシュ化を行い、平文での保存は一切行いません。

署名者の本人確認

署名者に対しては、メール認証（固有リンク）に加え、OTP（ワンタイムパスワード）による追加の本人確認を提供しています。OTPはメールアドレス宛に4桁のコードを送信し、正しいコードを入力した場合にのみ署名操作が可能となります。

ロールベースのアクセス制御

テナント内のユーザーには管理者（Admin）またはメンバー（Member）のロールが割り当てられます。請求管理・ユーザー管理・Webhook設定等の管理操作は管理者のみが実行可能であり、メンバーの操作範囲は業務上必要な範囲に限定されています。

契約書に対するすべての操作（閲覧・署名・辞退・転送・アーカイブ等）は、署名者のメールアドレス・IPアドレス・User-Agent・タイムスタンプとともに監査証跡として自動的に記録されます。この記録は管理者がいつでも参照でき、完了証明書としてPDF出力することも可能です。

真実性の要件

SHA-256ハッシュチェーンによる改ざん検知機能を実装し、電子データの真実性を担保しています。加えて、事務処理規程のテンプレートを提供し、組織的な運用体制の整備を支援しています。

検索要件

電子帳簿保存法が求める検索要件3項目（取引年月日・取引金額・取引先）に対応した検索機能を実装しています。範囲指定による検索や複合条件での検索も可能です。

保存要件

法定保存期間（7年）に対応した保存ポリシーを適用しています。Enterpriseプランでは10年保存に対応しています。保存期間内の契約書は意図しない削除から保護され、いつでもダウンロード・閲覧が可能な状態を維持しています。

本サービスは信頼性の高いクラウドインフラ上で運用されています。不審な通信の検知・遮断、および適切なファイアウォール設定により、外部からの攻撃を防御しています。データベースおよびファイルストレージの定期バックアップを実施し、障害発生時にもサービスの可用性とデータの完全性を確保できる体制を維持しています。

万が一、情報セキュリティに関する事故（情報漏洩、不正アクセス等）が発生した場合には、速やかに原因の調査と影響範囲の特定を行い、被害の拡大防止に努めます。影響を受けるお客様に対しては、判明した事実と対応状況を適時にお知らせします。

情報セキュリティの脅威は日々変化しています。当社は、定期的なシステムの点検・検証を実施するとともに、電子署名法・電子帳簿保存法・個人情報保護法等の関連法令の改正動向を注視し、必要に応じてセキュリティ対策を更新します。本方針についても、定期的に見直しを行い、改善を図ってまいります。