Amazon サービス API に PII が含まれている場合について下記のとおり取り扱います。

1.データの破棄と保持
EC店長は、注文の配送後 30 日を超えない範囲で、(i) 注文の履行、(ii) 税金の計算と納付、(iii) 税金の請求書およびその他の合法的な作成を目的として、必要な期間のみ PII を保持します。必要な書類、および (iv) 税または規制要件を含む法的要件を満たす。EC店長は、法律で義務付けられている場合にのみ、その法律を遵守する目的でのみ、注文の配送後 30 日を超えてデータを保持する場合があります。

2.データ保護方針
個人情報保護方針（https://solution.brangista.com/privacy/）に基づき管理すると共に、EC店長はAES-256でPIIを暗号化して保存します。 また暗号鍵は毎年定期的に変更します。

3.インシデント対応計画

3.1　情報セキュリティ事象の評価
　報告を受けた情報セキュリティ管理者またはネットワーク管理者・システム管理者は、連絡を受けた情報セキュリティ事象について速やかに、以下のどのインシデントレベルに分類するかを協議して決定する。
また、レベル2以上に分類されたインシデントは社長に報告のうえ、インシデント管理表に履歴として残す。

レベル    内容
レベル3インシデント    事業継続に影響する損害が見込まれるレベルのインシデント
レベル2インシデント    少なからずの損害が見込まれるレベルのインシデント
レベル1インシデント    経営・業務へ若干の影響はでるが、対応方法が決まっているレベルのインシデント
レベル0    経営・業務への影響はなく、インシデントとして扱わない

3.2　インシデントへの対応
①    インシデントレベルに応じた当社の対応は以下のとおりとする。
②    レベル    内容
レベル3インシデント    インシデント報告書を提出のうえ、社長は、通常業務体制を解き、「緊急対策本部」を設置して、全社でインシデントへの対応を優先させる。すべての従業員は、インシデントが収束するまでは「緊急対策本部」の指揮命令に従い、インシデント対応、業務再開へ向けた必要な活動を行う。
レベル2インシデント    インシデント報告書を提出のうえ、情報セキュリティ管理者・ネットワーク管理者・システム管理者及び当事者で対応し、原則、他の従業員は通常業務体制を維持する。
レベル1インシデント    情報セキュリティ管理者・ネットワーク管理者・システム管理者及び当事者で対応する。
レベル0    当事者は情報セキュリティ管理者・ネットワーク管理者・システム管理者に報告することによって完了扱いとする。

③    情報セキュリティ委員会では、レベル1・レベル0においての報告も、必要に応じて履歴を残す。

3.3　応急措置の実施
①    情報セキュリティ管理者またはシステム／ネットワーク管理者は、報告された事象に対する適切な応急措置を関係者に指示し、実行すること。
②    問題の拡大または原因調査の機会損失の恐れがあるため、原則、発見者は自身の判断のみで応急措置を行ってはならない。ただし事態の放置が状況の悪化を招くことが明らかな場合にはこの限りではない。