DONGRI
ACADEMY

お問い合わせ

サービス運用・セキュリティポリシー

最終改定日:2026年3月4日

適用範囲:イースト株式会社がEAST EDUCATIONブランドで提供するクラウドサービス全般(以下「本サービス」という)

本ポリシーは、学校・教育委員会の調達・監査における確認容易性を目的に、サービス運用およびセキュリティに関する原則・方針を公開するものです。法的拘束力を有する契約条件(責任制限、監査受入義務等)は 使用許諾契約 に従います。

1. サービスレベル(以下「SLA」)

目的:サービスの可用性・復旧目標を明確化し、継続的改善の基準とする。
方針:以下に定めるSLAは、当社の運用上の目標値(Service Level Objective:以下「SLO」)であり、SLA保証は個別契約で明示した場合を除き提供していません。

  • サービス稼働率の運用目標(SLO):99.0% 以上/月
    ※計画停止(事前告知によるメンテナンス)を除く。
  • 重大障害時の復旧開始目標:1営業日以内
    ※初動(状況把握・暫定回避策提示)を含む。
  • データ消失事故時の対応:可能な範囲でバックアップからの復旧を実施。
  • 通知:広範囲影響の障害・メンテナンスは、当サイトのお知らせ欄・管理者向けメール等で告知します。

2. データセンター

EAST EDUCATIONは、データセンタープロバイダーとして Amazon Web Services(以下「AWS」)、Microsoft Azure(以下「Azure」)を利用しています。
日本国内向けに提供するサービスについては、日本国内のリージョンを利用し、関連法令に留意して運用します。

3. データセンターのセキュリティおよびコンプライアンス体制

AWS および Azureは、情報セキュリティマネジメントに関する国際規格である ISO/IEC 27001 に基づく第三者認証を受けており、クラウドセキュリティの実践規範である ISO/IEC 27017、クラウド上の個人情報保護に関する ISO/IEC 27018 への準拠についても公開情報を提供しています。
詳細は各クラウド事業者のコンプライアンスページをご参照ください。
AWS の ISO および CSA STAR 認証とサービス
・Azure ISO/IEC 27001 / 27017 / 27018

4. ISMAP(政府情報システム向けセキュリティ評価)

採用しているクラウド基盤(AWSAzure)は、日本政府の「政府情報システムのためのセキュリティ評価制度(ISMAP)」において評価・登録されたクラウドサービスです(登録範囲・対象サービスは公式リストをご確認ください)。
ISMAPのクラウドサービスリストは、デジタル庁/ISMAPポータルにて公開されています。

5. バックアップ方針

目的:データ消失リスクに対する復旧可能性を確保する。
対象:サービス提供に必要なアプリケーションデータ・メタデータ(監査証跡や機微情報の扱いは契約・法令に従う)。

  • 取得頻度:1日1回以上の定期バックアップ。
  • 保存期間:直近7日分を保持。
  • 保管場所:データセンタープロバイダーが管理する専用ストレージ領域に保存。
  • 復旧優先順位:重大度(サービス全体>一部機能>個別テナント)に応じて順次実施。
  • 整合:クラウド活用時の安全管理・ログの取扱い等は、文部科学省ガイドライン (SaaS利用・運用に関する項目)の考え方を踏まえて運用。

6. 通信経路およびデータの暗号化

本サービスでは、通信経路はTLS等による暗号化を行い、保存データ(パスワードやその他の機微情報)についても、各クラウドの提供機能等を用いて暗号化を実施します。
暗号アルゴリズムや鍵管理の方法は、サービス特性およびクラウドプラットフォームの推奨事項に基づき運用します。

7. ソフトウェアの脆弱性対策

緊急性が高いと判断したセキュリティパッチが発行された場合には、早急に適応を行っています。緊急性の高くないものに関してはセキュリティパッチの月次更新にてに適応を行っています。また、アプリケーションフレームワークなどのソフトウェアの場合も、計画を立て継続的な更新を行なっています。

8. 障害対応(インシデント・メンテナンス)

目的:障害の早期検知・通知・復旧および再発防止を徹底する。

8.1 監視体制

  • 基盤の主要メトリクス・アラートを24時間自動監視(人的当番と連絡体制は営業時間帯を中心に運用)。
  • 障害受付窓口:サポートフォームを一次窓口とし、社内エスカレーション基準に沿って対応。

8.2 障害の分類と対応目標

  • 重大(P1):広範囲に影響/業務継続に支障 → 即時初動、復旧開始1営業日以内、暫定回避策を優先提示。
  • 高(P2):一部機能の停止・著しい性能劣化 → 初動同営業日、回避策/復旧見通しを告知。
  • 中・低(P3/P4):限定的影響・個別事象 → 個別対応、次回リリース計画と併せて改善。

8.3 連絡・告知

  • 影響が広い場合、「お知らせ」ページやメールで状況・範囲・暫定策・次報予定を通知。
  • 計画メンテナンスは原則事前告知。緊急メンテ時は実施後速やかに報告。

8.4 事後対応

  • 原因分析(RCA)と再発防止策を実施し、必要に応じて関係者に要点を共有。
  • ログ・記録類の保存・管理は、法令・契約および文部科学省ガイドラインに沿って適切に取り扱います。

9. 監査対応

9.1 依頼窓口

  • 受付窓口:サポートフォームを一次窓口とします。
  • ご提示事項:①依頼者名 ②目的 ③希望時期 ④希望範囲(資料・ヒアリング・現地確認)をご連絡ください。

9.2 実施の流れ(標準)

  1. 依頼受付
  2. 目的・範囲の事前擦り合わせ(提供可能情報の確認/必要に応じ秘密保持契約(NDA)の締結)
  3. 日程調整(書面・オンライン・必要に応じ現地)
  4. 実施(説明・資料提示・確認)
  5. 結果共有(要点メモ)

9.3 提供可能情報(例)

  • 運用の概要(構成の概略図、監視・障害対応プロセス)
  • 直近の運用トピックの要旨(例:重大障害の有無と再発防止の考え方)

機微情報・個人情報はマスキング/要旨化のうえ、原則としてNDAの下で提供します。公開済みの一般情報はNDAなしで提供する場合があります(個別協議)。

9.4 現地確認

必要性・合理性を個別に協議し、場所・時間・人数・撮影可否を事前合意のうえ実施します。クラウド事業者等の設備・情報については、公開情報または当社保有の説明資料の範囲で対応し、基盤の内部仕様など当社管理権限外の事項は対象外とします。

9.5 費用

通常の運用説明を超える対応(大量のカスタム抽出、特別な検証等)は、原則有償にて承ります。実施前に事前協議のうえ、お見積りをご提示します。

9.6 記録の取り扱い

監査で取得・生成したログ・記録類は、目的外利用を行わず、法令・契約および文部科学省ガイドラインに沿って適切に管理します。

付記(位置づけと見直し)

  • 本ポリシーは、EAST EDUCATION の理念(「今日の学びを明日へつなぐ」)に基づき、教育現場における安全・安心なICT活用を支えるための運用公開文書です。
  • 文部科学省「教育情報セキュリティポリシーに関するガイドライン」(令和7年3月改訂)および同ハンドブックの趣旨(運用・評価・外部委託・SaaS利用)に沿って定期的に見直します。