情報セキュリティ方針

当社は、情報セキュリティを推進するための管理体制を整備します。

• 情報セキュリティ管理責任者を任命し、全社的な情報セキュリティ対策を統括します
• 情報セキュリティに関する規程・ガイドラインを策定し、全従業者に周知徹底します
• 定期的に情報セキュリティ委員会を開催し、施策の検討および実施状況の確認を行います
• 各部門に情報セキュリティ担当者を配置し、日常的な管理体制を構築します

当社が保有する情報資産を適切に管理し、機密性・完全性・可用性を確保します。

• 情報資産を重要度に応じて分類し、適切な管理レベルを設定します
• 情報資産の台帳を作成し、保管場所・管理責任者を明確にします
• 機密情報へのアクセスは、必要最小限の権限に限定します
• 情報資産の廃棄時には、情報漏洩を防止するための適切な措置を講じます
• 定期的に情報資産の棚卸しを実施し、管理状況を確認します

情報資産を物理的な脅威から保護するため、以下の対策を実施します。

• 重要情報を取り扱う区域への入退室管理を実施します
• 機密文書は施錠可能な書庫に保管します
• パソコン、記録媒体等の持ち出し・持ち込みを適切に管理します
• 離席時はパソコンをロックし、機密情報の覗き見を防止します
• 不要な文書は適切にシュレッダー処理します
• 災害や事故に備え、重要データのバックアップを実施します

情報システムおよびネットワークに対して、技術的な安全対策を実施します。

• ファイアウォール、ウイルス対策ソフト等のセキュリティ対策ツールを導入し、常に最新の状態に保ちます
• 不正アクセスを防止するため、適切なアクセス制御を実施します
• 重要な情報の送受信時には、暗号化技術を利用します
• OSおよびアプリケーションのセキュリティパッチを速やかに適用します
• パスワードは定期的に変更し、推測困難な文字列を設定します
• ログを記録・保管し、定期的に監視・分析を実施します
• 不正プログラムの侵入を防止するため、電子メールの添付ファイルやWebサイトのダウンロードに注意します

全従業者の情報セキュリティ意識を向上させ、適切な行動を徹底します。

• 全従業者に対して、定期的に情報セキュリティ教育・研修を実施します
• 新規採用時には、情報セキュリティに関する誓約書を提出させます
• 退職時には、秘密保持義務の継続について確認します
• 情報セキュリティインシデント発生時の報告ルートを明確化し、周知徹底します
• ソーシャルエンジニアリング等の手口について注意喚起を行います

業務委託先に対しても、適切な情報セキュリティ対策を求めます。

• 委託先選定時には、情報セキュリティ対策の実施状況を確認します
• 委託契約に秘密保持条項を盛り込み、情報管理の徹底を求めます
• 委託先における情報セキュリティ対策の実施状況を定期的に確認します
• 再委託を行う場合は、事前承認制とし、同等の情報セキュリティレベルを求めます

情報セキュリティインシデント発生時には、迅速かつ適切に対応します。

• インシデント対応手順を策定し、全従業者に周知します
• インシデント発生時には、速やかに情報セキュリティ管理責任者へ報告します
• 被害の拡大防止および原因究明を行い、再発防止策を講じます
• 必要に応じて、お客様、関係機関への報告を行います
• インシデント対応の記録を保管し、今後の対策に活用します

災害や重大な事故が発生した場合でも、事業を継続できる体制を整備します。

• 事業継続計画（BCP）を策定し、定期的に見直しを行います
• 重要データのバックアップを定期的に実施し、遠隔地に保管します
• 緊急時の連絡体制を整備し、従業者に周知します
• 定期的に訓練を実施し、計画の実効性を確認します

情報セキュリティに関連する法令、規制、契約上の義務を遵守します。

• 個人情報保護法、不正アクセス禁止法等の関連法令を遵守します
• お客様との契約において定められた情報管理義務を履行します
• 知的財産権を尊重し、違法なソフトウェアの使用を禁止します
• 法令や社会情勢の変化に応じて、情報セキュリティ対策を見直します

情報セキュリティマネジメントシステムを継続的に改善します。

• 定期的に情報セキュリティ対策の実施状況を点検・評価します
• 内部監査を実施し、問題点の早期発見と是正を行います
• 最新の脅威や技術動向を把握し、対策に反映します
• 経営層による見直しを定期的に実施し、継続的な改善を推進します