TOP

1. 目的

当社は、お客様からお預かりした情報資産および当社の情報資産を各種脅威から保護し、事業の継続性を確保するとともに、お客様および社会からの信頼に応えるため、ここに情報セキュリティ基本方針を定め、実践することを宣言します。

2. 適用範囲

本方針は、当社の全ての業務活動および当社が保有・管理する全ての情報資産に適用します。また、業務委託先等の関係者に対しても、本方針の理解と協力を求めます。

3. 情報セキュリティの定義

当社における情報セキュリティとは、情報資産の「機密性」「完全性」「可用性」を確保・維持することと定義します。

機密性

許可された者だけが情報にアクセスできることを確実にすること

完全性

情報および処理方法が正確かつ完全であることを保護すること

可用性

許可された者が必要な時に情報および関連する資産にアクセスできることを確実にすること

4. 基本方針

4.1 情報セキュリティ管理体制の確立

代表取締役を情報セキュリティ責任者とし、情報セキュリティの維持・向上に関する責任を負います。定期的に情報セキュリティ対策の実施状況を確認し、継続的な改善を行います。

4.2 情報資産の適切な管理

当社が保有する全ての情報資産を適切に分類し、その重要度に応じた管理策を実施します。特に、お客様情報および個人情報については、最重要情報資産として厳格に管理します。

4.3 リスクアセスメントの実施

情報セキュリティに関するリスクを定期的に評価し、受容できないリスクに対しては適切な対策を実施します。年1回以上、リスクアセスメントを実施し、必要に応じて対策の見直しを行います。

4.4 情報セキュリティ対策の実施

以下の情報セキュリティ対策を確実に実施します。

物理的・環境的セキュリティ

• 重要な情報機器および記録媒体の適切な管理
• クリアデスク・クリアスクリーンの徹底
• 施錠管理等による不正侵入の防止

技術的セキュリティ

• ウイルス対策ソフトウェアの導入と定期更新
• OSおよびソフトウェアの定期的な更新
• アクセス権限の適切な設定と管理
• パスワードの適切な設定と定期的な変更
• 重要データの暗号化
• 定期的なバックアップの実施

人的セキュリティ

• 情報セキュリティに関する定期的な自己点検
• 業務委託先との機密保持契約の締結
• 情報セキュリティに関する最新情報の収集と対策への反映

4.5 インシデント対応

情報セキュリティインシデント（事故・事象）が発生した場合は、迅速かつ適切に対応し、被害の最小化と早期復旧を図ります。また、原因を分析し、再発防止策を実施します。

4.6 事業継続管理

災害やシステム障害等により事業活動が中断した場合でも、重要な業務を継続または早期に復旧できるよう、事業継続計画を策定し、定期的に見直しを行います。

4.7 法令等の遵守

情報セキュリティに関連する法令、規制、契約上の義務、およびその他の社会的規範を遵守します。特に以下については確実に遵守します。

• 個人情報保護法
• 不正アクセス禁止法
• 著作権法
• その他関連法規制

4.8 教育・訓練

情報セキュリティに関する意識向上のため、定期的に自己学習を行い、最新の脅威や対策について知識を更新します。

4.9 委託先管理

業務委託先やクラウドサービス事業者等に対して、当社と同等以上の情報セキュリティ対策の実施を求め、定期的にその実施状況を確認します。

5. 継続的改善

本方針および情報セキュリティ対策の有効性を定期的に評価し、事業環境の変化、新たな脅威の出現、技術の進歩等に応じて、継続的に見直しと改善を行います。

6. 罰則

本方針に違反した場合は、その重大性に応じて、法的措置を含む厳正な対処を行います。

7. 見直し

本方針は、年1回以上見直しを行い、必要に応じて改訂します。また、重大な変化や事象が発生した場合は、都度見直しを実施します。

8. 公開

本方針は、当社ウェブサイトにて公開し、お客様、取引先、その他の関係者に周知します。