セキュリティ

Dropbox Sign では、お客様のデータの所有者はお客様自身という理念に基づき、プライバシーの保護に努めています。Dropbox Sign プライバシー ポリシーには、個人情報の取り扱いや保護対策が明確に定められています。また、独立した第三者監査機関により、プライバシー保護に関する管理体制の審査が毎年実施されており、お客様のご要望に応じて、同機関が作成した報告書と意見書を開示しています。

プライバシーに関してご不明な点がありましたら、privacy@dropbox.com までご連絡ください。

Dropbox は、Dropbox Sign サービスの提供支援のために、特定の復処理者に業務を再委託しています。また、Dropbox はお客様とお客様のエンド ユーザーに関する個人データを保管および処理することがあるサービス プロバイダに業務を委託しています。このページには、これらの重要な復処理者の身元、所在地、および役割に関する重要な情報が記載されています。このページで使用されているが、定義されていない用語の意味は、Dropbox Sign サービス規約に定めるとおりとします。

Dropbox Sign は、少なくとも年に 1 回、代理処理者の審査を実施しています。このような審査で、Dropbox Sign または Dropbox Sign のお客様にとって危険と判断される重大な発見がなされた場合、Dropbox Sign はサービス プロバイダと協力して、お客様データに対して影響が生じる可能性を把握し、問題が解決するまで、その是正措置について追跡調査します。

このリストが更新された際にメール通知をご希望のお客様は、こちらのフォームにご記入いただくことで、チームを代表して更新通知を受け取ることができます。

ドキュメントはファイアウォール内に保管され、このドキュメントへのリクエストが行われるたびに、送信者のセッションに照らして認証されます。Dropbox Sign は、自社プラットフォームへのデータ転送に、業界のベスト プラクティス（Transport Layer Security TLS）の使用を徹底しており、データは SOC 1 Type II、SOC 2 Type I、ISO 27001 で認定されたデータ センターに保管されます。お客様のドキュメントは、AES 256 ビット暗号化方式を利用して暗号化され、保管されます。

また、各ドキュメントはユニーク キーで暗号化されます。さらなる安全対策として、それぞれのキーが、定期的に更新されるマスター キーで暗号化されています。そのため、物理的なセキュリティを迂回してハード ドライブを取り外すことができたとしても、データを復号化することはできません。

ストレージの全ドキュメントは、AES-256 を使用して暗号化されます。

各ドキュメントは一意のキーを使用して暗号化され、そのキーはマスター キーによって暗号化されます。

マスター キーは定期的に更新されます。

ドキュメントのバックアップは暗号化されます。

転送中のドキュメントは、TLS 1.2 以上を使用して暗号化されます。

ウェブ アプリケーションには、セキュアな接続を確保する HSTS が設定されています。

契約上の署名はそれぞれドキュメントに記載され、押印されます。お客様が署名を依頼すると、Dropbox Sign によって監査証跡のページがそのドキュメント本体に添付されます。監査証跡には、全世界で一意の識別子（GUID）が含まれ、これを使って、ドキュメントに署名した人と日時を示す Dropbox Sign のデータベースで記録を検索することができます。このような記録には、PDF ドキュメントのハッシュが含まれており、Dropbox Sign はこれを疑わしい PDF ドキュメントのハッシュと比較して、変更または改ざんされたかどうかを判断することができます。Dropbox Sign の法令遵守の表明は、こちらをご覧ください。

編集不能の監査証跡により、ドキュメントに対するすべての操作は細かく記録され、タイム スタンプが付与されるため、アクセス、閲覧および署名の正当な証拠になります。

Dropbox Sign には、次のようなさまざまな監査追跡イベントがあります。

• ドキュメントの送信
• ドキュメントの閲覧
• ドキュメントへの署名
• 署名の辞退
• 署名者の名前/メール アドレスの更新
• 添付ファイルのアップロード
• 対面署名の有効化
• 署名者アクセスコードの認証
• 電子記録と署名の開示承認
• 署名依頼の委任
• 署名依頼の完了
• 完了した依頼の継続
• 有効期限の編集
• ドキュメントの編集と再送信

Dropbox Sign アプリケーション セキュリティは、Dropbox アプリケーション セキュリティ プログラムと完全に連携されています。Dropbox では、自社の取り込みプロセスを通じて新機能のデザインとアーキテクチャのレビューを実施します。すべての Dropbox Sign コードは、Semgrep や CodeScan などの静的コード解析ツールを使用してセキュリティ関連の問題がないかスキャンされます。Dropbox Sign は、Bugcrowd を通じて提供されるセキュリティおよび不正行為バグ報奨金プログラムの対象にもなっています。

システム内で誰が何を行えるかを制御できることが不可欠です。Dropbox Sign API でも Dropbox Sign のエンド ユーザーの製品でも、異なる役割には異なるアクセス権が付与されます。役割ベースのセキュリティ承認については、Dropbox Sign のセキュリティに関するホワイトペーパーをご覧ください。

Dropbox Sign は、サービスとしてのインフラストラクチャ（IaaS）プロバイダとして Amazon Web Services（AWS）を使用し、米国内の Amazon のデータ センターでデータをホスティングしています。EU、英国、日本、オーストラリア、およびカナダの AWS リージョンも利用しています。

Dropbox Sign では、Virtual Private Cloud（VPC）、セキュリティ グループ、ディスク レベルの暗号化など、Amazon のセキュリティ機能を使用してクラウド上にあるお客様データの機密性を確保しています。

セキュリティ チーム

Dropbox Sign は、情報およびリスク管理委員会を主導するセキュリティ責任者のもとで、正式な情報セキュリティ プログラムを実施しています。情報およびリスク管理委員会は、定期的に会合を開き、製品、インフラストラクチャ、企業のレベルでセキュリティ関連の取り組みを検討しています。

Dropbox Sign の従業員は、徹底的な身元調査を受け、セキュリティ意識研修を毎年受講しています。

さらに、HelloSign のエンド ユーザー向けに利用規約およびサービス規約を設け、HelloSign 製品がどのような目的で使用され、またどのような規約のもとに使用されるかを、お客様に十分に理解していただけるよう努めています。