エンタープライズ
営業チームにお問合せ

なぜJotformは安全なのですか?

お客様のデータのプライバシーとセキュリティを確保することは、当社にとって最優先事項です。オンラインフォームのサービスには万全を期しておりますのでご安心ください。

256 Bit SSL
プランに関わらず、すべてのフォームはSHA256証明書を使用した256ビットSSL(Secure Socket Layer)接続で保護されています。これは業界標準の保護となります。 もっと読む
Encrypted Forms
フォームを簡単に暗号化し、投稿データを安全な形式で転送・保存することで、誰にも読み取られないようにします。投稿データは、ユーザーのコンピュータで高品位のRSA 2048で暗号化され、当社のサーバーに安全に転送、保存されます。
PCI Certification
Jotformは、PCI DSS Service Provider Level 1に準拠しています。これは、クレジットカードから支払いを収集したり、クレジットカードとの統合をおこなうビジネスとして、最も高いセキュリティを達成していることになります。 もっと読む
GDPR Compliance
Jotformは、EU市民から、またはEU市民に関する個人を特定できる情報を収集する企業を規制する、欧州連合の一般データ保護規則(GDPR)に準拠しています。 もっと読む
CCPA Compliance
Jotformはカリフォルニア州消費者プライバシー法(CCPA)を遵守しています。CCPAは特に、カリフォルニア州居住者の個人情報を本人の同意なしに販売することを禁止しています。 もっと読む
HIPAA-Friendly Forms
JotformのHIPAAコンプライアンス機能により、医療機関は患者情報を安全に収集でき、HIPAA コンプライアンスを容易に実現できます。エンタープライズプランのお客様には、Business Associate Agreement(BAA:ビジネスアソシエイト契約)にも対応しています。 続きを読む
GovRAMP Logo
Jotform 公共機関向けは、FedRAMPとGovRAMPの共通セキュリティ制御に基づいて構築され、NIST Special Publication 800-53 Revision 5に準拠して運用されています。現在、GovRAMPのProgressing Snapshot Programに参加しています。 続きを読む
SOC 2 Compliance
Jotformは、SOC2 Trust Service Principlesの5つの原則(セキュリティ、機密性、可用性、プライバシー、処理の完全性)の全てを守ることをお約束します。JotformエンタープライズはSOC 2に準拠したソリューションを提供しています。Jotformエンタープライズがお客様の組織のデータをどのように保護するか、詳しくはこちらをご覧ください。 続きを読む
FERPA Compliance
当社は、教育機関と連携し、当社のフォーム、アプリ、その他の製品における学生の個人情報の取り扱いや処理について透明性を提供し、FERPAの遵守を徹底しています。 続きを読む
General Legal Compliance
Jotformでは、個人のプライバシーやデータを保護する法律を含め、当社のビジネスやプラットフォームに適用されるすべての法律の遵守を真剣に考え、遵守を徹底するために多くの対策、実践、ポリシーを実施しています。詳しくは、このウェブページのコンプライアンスとプライバシーのリンクをご覧ください。
Spam Protection
フォームで使用できるCaptcha以外にも、スパムからフォームを守るためのオプションがいくつか用意されています。例えば、1つのIPやコンピュータにつき、1回の送信しか許可しないようにしたり、特定の時間、または特定の送信回数の後で、フォームを無効にすることができます。
Form Privacy
フォームのプライバシー設定では、選択したプライバシーのレベルに応じて、データへのアクセスを制限することができます。また、フォームの複製を無効にしたり、受信内容にアクセスするためにログインを要求することもできます。(デフォルトでは、固有のURLで保護されています)
HECVAT
Jotformでは、HECVAT(Higher Education Community Vendor Assessment Toolkit)を活用して、エンタープライズ製品の評価を行い、高等教育機関のお客様に対して、セキュリティと安全性を確保しています。 続きを読む
G-Cloud 14
Jotformエンタープライズは、Crown Commercial Service(英国政府商務省)の G-Cloud 14 フレームワークにおける認定サプライヤーとなりました。当プラットフォームは、公的機関向けに最高レベルのセキュリティを提供し、強化されたデータ保護、ローカルデータレジデンシー、高度なセキュリティ対策により、英国政府の厳格な基準に対応します。G-Cloud 14 の認定により、Jotformエンタープライズは政府機関や公共団体に対して、安全なデータ収集とデータ管理を確実に実現します。 続きを読む
How can you make your forms even safer?

フォームをより安全にするにはどうしたらいいですか?

Jotformでは、フォームデータのセキュリティオプションがいくつか用意されています。このため、フォームに必要なプライバシーとセキュリティのレベルを簡単に選択することができます。

Encrypt your forms
フォームを簡単に暗号化して、送信データを安全に保護できます。暗号化したいフォームを選択し、アカウントを確認したうえで、独自の暗号化パスワードを作成します。これにより、データにアクセスできるのはあなただけになります。自動生成されたデジタルキーではなく、自分で設定したパスワードを使用して保存できるため、暗号化データへのアクセス権を失う心配もありません。フォームの暗号化方法について詳しくはこちらをご覧ください。なお、この機能はファイルアップロードには対応していません。ファイルアップロードを安全に保つ方法についてもご確認ください。
Set the privacy of your forms and data
フォームの受信内容へのアクセスは保護されており、デフォルトでは、そのフォームを所有するアカウントへのログインが必要です。しかし、組織内の人にアクセスを許可したり、データを完全に公開したりすることができます。あなたは、あなたのフォームと受信内容に関わる完全な所有権を保有しているため、統合ウィジェットやアプリを使用する際には、あなたの許可を得てのみデータへのアクセスが許可されます。Jotformでは、あなたのデータを扱う際には、細心の注意の元、管理をおこなっています。
Two-factor Authentication (2FA)
二要素認証(2FA)機能で、Jotformアカウントのセキュリティを強化しましょう。2FAを有効にすると、パスワードの他に2つ目の認証が必要となり、アカウントの保護がさらに強化されます。この高度なセキュリティ対策でデータを保護し、不正アクセスを防止しましょう。
Keep your European user data in EU servers

アカウント設定の、データタブで該当オプションを有効にすると、データを欧州連合(EU)内に保存できます。確認後、フォームデータはGoogleが運営するドイツ・フランクフルトの欧州サーバーに移行されます。移行が完了すると、ログイン時に自動的に eu.jotform.comにリダイレクトされます。データの安全性についてはご安心ください。JotformはEU 一般データ保護規則(GDPR)に準拠しています。

Jotformエンタープライズでは、ジオローカリゼーションを利用して、世界中のほぼどの地域でもフォームデータをホストできます。オーストラリアをはじめ、多くの国ではデータの保管場所を国内に限定する法律があるため、これはグローバルに事業を展開する企業にとって非常に価値の高い機能です。

Back up your data

アカウント設定のデータタブから、ワンクリックでをバックアップできます。バックアップを実行すると、フォームのHTML コード、フォーム投稿のCSVエクスポート、アップロードされたファイルを含む、ZIPファイルが作成されます。

これらのバックアップはダウンロードまたはデータベースに保存することができます。フォームのみをバックアップしたい場合は、発行オプションからzip形式でソースコードをダウンロードし、ローカルストレージに保存することも可能です。

Keep your forms safe from spammers

Jotformは2種類のCAPTCHAを提供しており、ボットによるフォーム入力を難しくし、かつフォーム回答者には簡単に入力できるようにしています。基本的な、CAPTCHAを使用するか、Googleが提供するreCAPTCHAを使用するか、どちらかをお選びください。

当社では、送信プロセス内に 複数のコードチェック を実装し、送信が実際の人によるものかどうかを分析しています。万が一スパムが通過してしまった場合でも、年中無休対応のサポートチームが原因の特定を支援し、必要に応じてアカウントへのクレジット対応を行います。さらにスパム対策を強化するために、1 つの IP アドレスから 1 回のみ送信可能、1 台のコンピューターから 1 回のみ送信可能といった送信制限をフォームに設定することもできます。ご希望に応じて、これらを 両方同時に有効化 することで、より高い保護レベルを実現できます。また、特定の日時にフォームを無効化したり、指定した送信回数に達した時点でフォームを停止する設定も可能です。

Service level agreements
Jotformの稼働率は99.9%とほぼ完璧で、常にデータへアクセスできます。また、Jotformの稼働状況は、リアルタイムで確認することができます。Jotformエンタープライズでは、合意書に記載されたエラー応答率・解決時間・稼働率を必ず遵守することをお約束します。
What other measures do we take to protect your data?

ユーザーのデータを保護するために、他にどのような対策をとっているのですか?

フォームセキュリティ、高可用性、高パフォーマンスに関しては、Jotformは常に適切な対策をおこなっています。Jotformはサービスの安全性を保つために最適なソリューションを提供しています。

Data centers

Jotformのサーバーは、Google CloudとAmazon Web Services (AWS)のクラウドベースのアーキテクチャで同時に存在しています。Google Cloudのデータセンターは、アイオワ(米国)とフランクフルト(ドイツ、EU)でホストされています。AWSのデータセンターは、バージニア(米国)とフランクフルト(ドイツ、EU)に位置しています。

Google Cloudサーバーは、冗長化されたアプリケーションサーバーとデータサーバーをActive/Active構成でホストしており、すべてのデータはバックアップ目的で1時間ごとにAWSサーバーにもレプリケートされています。これにより、単一プラットフォーム内の複数サーバーで得られる冗長性に加え、プラットフォームレベルの冗長性を実現しています。プライマリープラットフォーム(Google Cloud)からセカンダリープラットフォーム(AWS)に切り替える必要がある場合、このアーキテクチャによってプラットフォームレベルの障害から回復することができます。すべてのデータは地域別で保持されるため、EUのデータは常にEUゾーンに存在します。

これらの主要なクラウドプラットフォームで、Jotformをホスティングすることで、ハードウェアのライフサイクル管理、物理的セキュリティ、ネットワークインフラなどの分野でセキュリティのベストプラクティスを実施することで、さらに多くのメリットを得ることができます。弊社のサーバーは定期的にアップデートされ、パッチが適用されています。

Local data residency center locations
Jotformエンタープライズをご利用の方は、ローカルクラウドのデータレジデンシーセンターを設置する物理的な地域を選択でき、世界中の任意の拠点にデータをホストできます。これは、オーストラリア、カナダ、英国、EUなど、地域ごとのデータプライバシー規制や保管要件に対応するうえでも非常に重要です。データサーバーを自社の所在地または利用者の近くに配置することで、セキュリティ、信頼性、サイトのレイテンシー(応答速度)が向上します。エンタープライズアカウント内のユーザーと管理者のみが、そのデータサーバーへアクセスできます。
Backup policy/business continuity
プライマリー・サービス・プロバイダーのGoogle Cloudがホストする複数のサーバー間で、お客様のデータを継続的に複製します(リアルタイムでバックアップ)さらに、全てのデータは1時間ごとのスナップショットによってAWS(当社の第二のプラットフォーム)に複製されます。各スナップショットはクラウド環境に30日間保存されます。全てのデータは地域内に留まるため、EUのデータは常にEUゾーンに存在します。
Single Sign-On (SSO)

エンタープライズアカウントでは、シングルサインオン(SSO)を有効化してセキュリティと業務効率を向上できます。複数のログイン方法を選択し、ユーザー操作を追跡しながら、アカウント全体の安全性を維持できます。

Jotformエンタープライズは SAMLユーザー認証や Active Directory、Okta、Google、OneLogin などの主要なSSO(シングルサインオン)ソリューションに対応しています。Multi SSOはGoogleやMicrosoftなど複数のIDプロバイダーでの同時認証を可能にし、多様な認証ニーズや分散型チームに柔軟性とセキュリティを提供します。

JotformエンタープライズのSSO(シングルサインオン)を使って、社内フォームを保護できます。SSOを有効にすると、ユーザーはフォームを閲覧・入力する前に認証を求められるため、機密性の高い従業員データを安全に収集できます。 

Encouraging best coding practices

セキュリティを高める機能を実装するだけでなく、お客様のアカウントが安全であり続けるよう、バックエンドでもベストプラクティスを維持しています。セッションを監視してアカウントへのアクセスを適切に制限し、すべてのアカウントが隔離されるようにJotformを構築しています。

当社では、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を検出するためのセーフガードを配置しています。最も重要なことは、(すべてのユーザーのフィードバックの評価をおこなうことに加えて)潜在的なセキュリティ上の懸念事項について常にコードのチェックをおこない、問題の確認ができた場合にすぐに対処できるよう取り組んでおります。当社のプライバシーステートメントは、お客様のデータが悪用されないようにするための当社のコミットメントのレベルを公開しています。

開発されたコードは、ステージングシステム上でのテスト実行など、一定の手順を経て初めてプロダクション環境にデプロイされます。当社の継続的なデプロイメントシステムと開発プロセスにより、必要に応じて迅速にシステムを更新し、パッチを適用することができます。

Security audits

PCIスキャンは、一般に公開されているインターフェイスのあらゆる種類の脆弱性を検出するために定期的に行われます。また、四半期ごとに内部および外部のASV(Approved Scanning Vendor)によるPCI検査を実施しています。これらのPCIスキャンに加えて、Jotformでは定期的にペンテストを実施しています。

また、脆弱性を報告してくれた外部の方に報酬を支払うバグバウンティプログラムを実施しており、これにより脆弱性に対してすばやく対応することができます。バグバウンティプログラムに報告された問題は、可能な限り最短時間で最優先に修正がおこなわれます。

Network security

CloudFlareが提供する外部ルーティングレイヤーにより、潜在的なDDoS(サービスの停止)攻撃を処理し、管理するための基本的なフィルタリングを提供しています。セキュリティスキャンは、監査/VA/PTの章で説明されているように定期的に実行されます。当社のサーバーは、管理に必要な最低限のアクセスしか許可しないように設定されています。

不要なユーザー、プロトコル、ポートはすべて無効化され、監視されています。当社の従業員は、秘密鍵を使用した2048ビットの暗号化された接続を使用して、仮想プライベートネットワークを介してのみサーバーにアクセスすることができます。サードパーティのセキュリティサービスに加えて、経験豊富な開発運用チームがシステム全体の不審な動作を継続的に監視しています。

Account security
すべてのアカウント情報は、転送時に自動的に暗号化されます。フォームや送信内容へのアクセス権はあなただけにあります。Jotformエンタープライズのアカウントには複数のユーザーを追加できます。
Customizable security options
業種に関わらず、お客様のニーズに最適なセキュリティ体制を構築できるよう、Jotformがサポートします。エンタープライズのユーザーであれば、地域のデータレジデンシーセンターにおける特定のセキュリティ設定の有効化、無効化、追加を簡単にリクエストできます。詳細については、エンタープライズチームまでお問い合わせください。

よくある質問 (FAQ)

  • フォームにセキュリティ機能はありますか?

    はい。フォームは保護された256ビットのSSL(Secure Sockets Layer)接続で保存されます。フォームを暗号化すると、投稿はカスタムパスワードで保護されます。さらに、"フォームをさらに安全にするには?" のセクションで説明したように、プライバシーとスパムの保護をさらに有効にすることができます。

  • 暗号化されたフォームデータをすべて保存していますか?暗号化されたフォームに対して通知メールを送信していますか?

    フォームの暗号化をご希望の場合、投稿データは暗号化されて転送、保存されます。これらのフォームの通知メールは暗号化されていないため、投稿データは含まれません。

  • 御社のシステムを使用した場合、私のデータは転送中も保管中も保護されますか?

    はい。フォームを暗号化すると、投稿データは弊社のサーバーに送信される間、256ビットSSL暗号化通信により暗号化されます。弊社サーバーに到着後、SSLは復号化され、お客様のデータは暗号化されて弊社サーバーに保存されます。暗号化パスワードをお持ちの方のみが、お客様のフォームデータにアクセスすることができます。

  • 検索エンジンは私のフォームデータをインデックス化できますか?

    Jotformでは、検索エンジンが投稿をインデックス化することを禁止しています。また、投稿へのアクセスを自分のアカウントだけに制限し、一般ユーザーが投稿にアクセスできないようにすることもできます。

  • アップロードしたファイルはどのように保存されますか?

    フォームにアップロードされたファイルには、非常に複雑なURLが割り当てられ、このURLを持つ人だけがこれらのファイルをダウンロードすることができます。しかし、ファイルアップロードのセキュリティを強化したい場合は、Jotformにログインしていることを条件に、アクセスを制限することができます。さらに詳しくはこちらをご覧ください。

  • あなたの会社では、クレジットカードの取引や情報を扱っていますか?また、PCI DSSには準拠していますか?

    Jotformは、クレジットカード決済の受付や連携を行う事業者として、Payment Card Industry Data Security Standard (PCI DSS) のサービスプロバイダ レベル I認証を取得しています。これは、決済を扱うビジネスが取得できる最高レベルのセキュリティ認証です。通常、支払いは決済プロセッサーのウェブサイト上で処理されますが、PayPal Payments Pro、Authorize.net、Worldpay US、PayJunctionの場合は、クレジットカードの情報がJotformのPCI準拠サーバー上で処理されます。ただし、情報が保存されることはありません。

  • Jotformのセキュリティ(HTTPS/暗号化)基準は何ですか?

    デフォルトでJotformでは、HTTPSのSHA256/RSA暗号化の上に、TLSv1.2接続標準を使用します。フォーム送信の暗号化には、Jotformは2048ビットのRSAキーを使用します。

  • クロスサイトスクリプティング(XSS)やSQLインジェクションを防ぐには?

    Jotformは、このような脆弱性を防ぐためにベストプラクティスを適用し、潜在的なセキュリティ上の問題がないか、常にコードを精査しています。さらに、ユーザーからのフィードバックやバグバウンティプログラムの報告を、可能な限り最短時間で確認しています。

  • 悪質な攻撃に対するセキュリティ対策として、何を使用していますか?

    スパム、フィッシング、DDOS攻撃対策にはCloudFlareを、侵入検知とサーバー監視にはOSSECを使用しています。

  • Jotformのデータベースに集められた情報には誰がアクセスできますか?

    Jotformのサーバーは、ネットワークと認証レベルによってアクセスが制限されています。ネットワークレベルでは、限られた数のVPNエントリーポイントのみが許可され、それ以外の接続要求はファイアウォールによって完全にブロックされます。認証レベルでは、開発オペレーションチームとCTOおよびCEOのみが、これらのサーバーにアクセスするための権限を持っています。

  • 内部または外部の脆弱性評価や侵入テストを実施していますか?

    社内外のPCIスキャンに加え、侵入テストも定期的に実施しています。また、外部からの脆弱性報告によるバグ報奨金プログラムも実施しています。詳しくはブログまたは上記のセキュリティ監査セクションをご覧ください。

  • パスワードの複雑性に関するポリシーはありますか?

    パスワードの複雑さに関するポリシーはありません。パスワードはsaltとSHA-256で暗号化されています。

  • あなたの会社には、侵入検知ポリシーがありますか?

    Jotformでは、アプリケーションサーバーにホスト侵入検知システム(HIDS)を、開発オフィスにネットワーク侵入検知システム(NIDS)を使用しています。さらに、PCI要件に従ってPCI侵入検知ポリシーが適用されます。

  • Jotformでは従業員に対してどのようなデューデリジェンスが行われていますか?

    Jotformのすべての社員は、採用時に厳格な審査を通過しなければなりません。また、全ての社員は秘密保持契約書(NDA)に署名し、これに従うものとします。

  • データセンターではどのようなデータセキュリティ対策を行っていますか?データセキュリティ、データの機密性、データの安全な送信に関連する証明書はありますか?データセンターはSOC 2に準拠していますか?

    当社のサーバーをホストするすべてのデータセンターは、最高のセキュリティ基準を満たしています。当社の主要プラットフォームはGoogle Cloudで、SSAE16/ISAE 3402 Type II、SOC 1、SOC 2、SOC 3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS v3.2に準拠しています。また、HIPAAへの準拠も可能です。Google Cloudのコンプライアンスに関する詳細は、https://cloud.google.com/security/complianceをご覧ください。

  • データセンターはどこにありますか?社内にサーバーはありますか?

    Jotformのデータセンターホスティングは、Google CloudとAWSを使用しており、自社内でサーバーを保持していません。最新のクラウドホスティング拠点については、セクションをご確認ください。

  • システムにセキュリティ上の欠陥がないかテストしていますか?

    はい、当社のシステムは、外部および内部の脅威に対して定期的にテストされています。