セキュリティポリシー

1. 基本方針

当社は、情報セキュリティを事業継続の重要な基盤と位置付け、 情報漏えい、不正アクセス、改ざん、紛失、破壊、サービス停止等のリスクを 低減するために、組織的・技術的・物理的・人的な観点から 必要な対策を講じます。

2. 適用範囲

本ポリシーは、当社が保有または業務上取り扱う情報資産、 システム、ネットワーク、クラウド環境、アカウント、ドキュメント、 ソースコード、顧客関連情報、業務上取得した各種データ等を対象とします。

3. 情報資産の管理

当社は、業務上取り扱う情報資産について、その重要性に応じて適切に分類し、 保管、利用、共有、廃棄の各段階において必要な管理を行います。

• アクセス権限の設定および不要権限の見直し
• 機密情報・個人情報・取引情報の適切な保管
• 不要となった情報の適切な削除・廃棄
• 業務上必要な範囲に限定した情報共有

4. アクセス制御および認証管理

情報システムおよびクラウドサービスへのアクセスについては、 業務上必要な者のみが必要な範囲で利用できるよう制御します。

• アカウント・パスワードの適切な管理
• 権限管理および定期的な見直し
• 必要に応じた多要素認証の利用
• 退職・異動・契約終了時のアカウント整理

5. システムおよびネットワークの保護

当社は、提供サービスおよび社内利用環境に対して、 不正アクセスや脆弱性悪用、障害等のリスクを低減するための対策を行います。

• 必要に応じたSSL/TLS等による通信保護
• バックアップ取得および復旧を意識した運用
• ログ管理および監視体制の整備
• 脆弱性情報の確認と適切な更新・パッチ適用
• クラウド環境・サーバ・外部連携設定の適切な管理

6. 開発・テスト・運用における配慮

当社は、システム開発・改修・保守・テストの各工程において、 セキュリティを考慮した設計と運用を重視します。

• 要件定義・設計段階でのセキュリティ観点の確認
• テスト環境・本番環境の適切な分離
• 不要な権限や不要な公開設定の抑制
• リリース後の継続的な監視・保守・改善

7. 外部委託先・外部サービスの管理

当社は、外部委託先、クラウドサービス、外部ツール等を利用する場合、 業務上の必要性、信頼性、契約条件、セキュリティ面を踏まえて適切に選定し、 必要に応じて利用状況や権限設定の見直しを行います。

8. インシデント対応

情報漏えい、不正アクセス、システム障害、マルウェア感染等の セキュリティインシデントが発生、またはその恐れがある場合には、 影響範囲の把握、被害拡大の防止、原因調査、再発防止に努めます。

必要に応じて、関係者への連絡、対象システムの遮断・制限、 運用手順の見直し等を行います。

9. 教育・意識向上

当社は、役員・従業員・関係者に対し、 情報セキュリティに関する意識向上と適切な行動を促すため、 必要に応じて教育、共有、運用ルールの整備を行います。

10. 法令・規範等の遵守

当社は、情報セキュリティおよび個人情報保護に関連する法令、 ガイドライン、契約上の義務、その他の社会的規範を尊重し、 誠実に対応します。

11. 継続的改善

当社は、技術環境、事業内容、脅威動向、運用状況の変化に応じて、 本ポリシーおよび関連する管理体制・実施内容を継続的に見直し、 改善に努めます。