本ドキュメントは、株式会社UPHASH（以下、「当社」といいます）が採用しているセキュリティ実装、インシデント対応、および脆弱性開示に関する方針を記述します。基本的なセキュリティ方針は Information Security Policy を参照してください。

This document describes the security practices, incident response procedures, and vulnerability disclosure policy adopted by UPHASH Inc. For the foundational security policy, see the Information Security Policy.

セキュリティガバナンスSecurity Governance

代表取締役を情報セキュリティの最高責任者とし、セキュリティ方針の策定、リスク評価、継続的改善を統括します。各ラボおよびプロジェクトには、実装レベルでのセキュリティを担当する責任者を配置します。

The Representative Director serves as the Chief Information Security Officer, overseeing policy formulation, risk assessment, and continuous improvement. Each Lab and project designates a security lead responsible for implementation-level security.

アクセス制御Access Control

情報資産へのアクセスは、業務上の必要に応じた最小権限の原則に基づき付与します。多要素認証（MFA）、役割ベースアクセス制御（RBAC）、定期的なアクセス権限レビューを実施します。退職・委託終了時には、速やかにアクセス権限を解除します。

Access to information assets is granted based on the principle of least privilege according to business necessity. We implement multi-factor authentication (MFA), role-based access control (RBAC), and periodic access reviews. Access is promptly revoked upon departure or contract termination.

暗号化Encryption

通信経路は、業界標準の暗号化プロトコル（TLS等）により保護します。保管データは、機密度に応じて適切な暗号化方式（AES等）を適用します。暗号鍵は、適切な管理手段により保護します。

Communication channels are protected by industry-standard encryption protocols (TLS, etc.). Stored data is encrypted using appropriate methods (AES, etc.) according to sensitivity. Encryption keys are protected by appropriate management mechanisms.

セキュアな開発Secure Development

ソフトウェア開発においては、OWASP Top 10等の標準的な脆弱性への対策を組み込みます。コードレビュー、依存ライブラリの脆弱性スキャン、静的解析を継続的に実施します。本番環境へのデプロイ前に、必要な検証プロセスを経ます。

In software development, we incorporate countermeasures against standard vulnerabilities (OWASP Top 10, etc.). We continuously perform code reviews, dependency vulnerability scans, and static analysis. Appropriate verification processes are applied before deployment to production.

ログ・監視Logging & Monitoring

重要なシステムについては、アクセスログおよび操作ログを取得し、異常検知のための監視体制を整備します。ログは、改ざん防止措置を講じたうえで、適切な期間保管します。

For critical systems, we capture access logs and operation logs, and maintain monitoring for anomaly detection. Logs are protected against tampering and retained for appropriate periods.

インシデント対応Incident Response

情報セキュリティインシデント発生時には、以下のプロセスに従って対応します。

• 検知・初動対応
• 影響範囲の特定と被害の封じ込め
• 影響を受ける関係者への通知
• 原因究明と根本対策の実施
• 再発防止策の策定と実装

In the event of an information security incident, we respond according to the following process: detection and initial response; identification of scope and containment; notification to affected parties; root cause analysis and remediation; and formulation and implementation of preventive measures.

重大インシデントについては、監督官庁および関係者への法令に基づく通知を、適切な期間内に行います。

For significant incidents, notification to regulatory authorities and affected parties will be made within appropriate timeframes as required by law.

従業員・パートナー教育Training

全ての従業員および業務委託先に対し、情報セキュリティに関する教育を実施します。リモートワーク環境下での情報管理、フィッシング対策、端末管理等について、継続的な啓発を行います。

We provide information security training to all employees and contractors. We continuously raise awareness regarding information management in remote work environments, phishing countermeasures, and device management.

業務委託先の管理Third-Party Management

業務委託先に対し、当社と同等以上の情報セキュリティ水準を要求します。契約時に秘密保持契約（NDA）を締結し、必要に応じて委託先のセキュリティ体制を評価します。

We require service providers to maintain information security standards equivalent to or exceeding our own. We enter into non-disclosure agreements (NDAs) upon contract formation and evaluate provider security postures as necessary.

認証・監査Certification & Audit

当社は、将来的な情報セキュリティマネジメントシステム（ISMS）認証、プライバシーマーク等の取得を視野に入れ、社内体制の整備を進めています。現時点で取得済みの認証および進捗については、個別の問い合わせに対応します。

The Company is developing internal systems with future certification (ISMS, Privacy Mark, etc.) in mind. Current certification status and progress are available upon individual inquiry.

脆弱性開示ポリシーVulnerability Disclosure Policy (VDP)

当社は、セキュリティ研究者および外部の善意ある報告者からの脆弱性情報の受領を歓迎します。以下のガイドラインに従って報告いただけます。

The Company welcomes vulnerability reports from security researchers and external good-faith reporters. Please follow the guidelines below.

対象範囲 / Scope

当社が運営する公開ウェブサイト、サービス、およびAPI。ただし、委託先事業者が管理するインフラ（AWS、GCP等のクラウド事業者）については、各事業者のVDPに従って報告してください。

Public websites, services, and APIs operated by the Company. For infrastructure managed by third parties (AWS, GCP, etc.), please follow the VDP of the respective provider.

報告方法 / Reporting

脆弱性情報は、security@uphash.network 宛に報告してください。可能な限り、以下の情報を含めてください。

• 脆弱性の概要と想定される影響
• 再現手順
• 影響を受けるURL、エンドポイント、バージョン等
• 報告者の連絡先（匿名報告も受け付けます）

Report to security@uphash.network. Please include, where possible: summary and expected impact; reproduction steps; affected URLs, endpoints, or versions; and reporter contact (anonymous reports accepted).

善意の報告者保護 / Safe Harbor

以下を遵守した善意の脆弱性調査および報告に対しては、当社は法的措置を取りません。

• 本方針および関連法令を遵守すること
• データの窃取、改ざん、破壊を行わないこと
• 他の利用者への影響を最小化すること
• 脆弱性情報を、当社が対応する合理的な期間、非公開とすること
• サービスの可用性を損なう行為（DoS攻撃等）を行わないこと

We will not pursue legal action against good-faith security research and reporting that adheres to the following: compliance with this policy and applicable law; no data theft, tampering, or destruction; minimization of impact on other users; non-disclosure of vulnerabilities for a reasonable response period; and no actions that impair service availability (DoS, etc.).

対応 / Our Response

報告受領後、速やかに確認し、適切な修正を行います。重要な報告に対しては、可能な範囲で対応状況をお知らせします。なお、現時点で金銭的報奨金（バグバウンティ）制度は設けていません。

We will promptly acknowledge reports and implement appropriate fixes. For significant reports, we will share progress updates to the extent possible. We do not currently operate a monetary bug bounty program.

セキュリティ問い合わせSecurity Contact

セキュリティに関する一般的なお問い合わせ: security@uphash.network

General security inquiries: security@uphash.network