Corporate website

情報セキュリティ基本方針

  • HOME »
  • 情報セキュリティ基本方針

基本理念

弊社は、事業活動を通じてお客様および社会から信頼を得ることが弊社の基盤であり、そのためには情報セキュリティの確保が不可欠です。当社が取り扱う機密情報や個人情報を適切に保護することは、社会的責務であるとともに事業継続の要と認識しております。

弊社は、社内外の情報資産をあらゆる脅威から守り、情報漏えいなどの事故を起こさないよう万全を期すため、本基本方針を定めます。全従業者に本方針を周知徹底し、安全で信頼される企業活動を推進することで、顧客満足の向上と企業価値の維持・向上に努めます。

1.適用範囲

本基本方針は、弊社の全ての事業領域に適用されます。当社の役員、社員、契約社員、派遣スタッフ、協力会社従事者など、当社業務に従事するすべての者が遵守すべきものとします。また、本方針は当社が管理・保有する全ての情報資産に適用されます。

2.情報資産の定義と保護

情報資産とは、弊社が業務上取得・利用・管理するあらゆる情報およびそれを保持・処理するための資源(システム、設備、データベース、記録媒体など)の総称です。これには、お客様からお預かりした機密情報、取引先情報、当社が収集した個人情報(従業員や求職者の個人データ等)、業務上生成・取得した各種文書やデータ、ならびに当社のノウハウや営業秘密を含みます。

弊社は、これら情報資産の機密性(許可されていない者への開示や漏えいを防ぐこと)、完全性(情報が正確かつ完全に維持され改ざんされないこと)、可用性(必要なときに情報資産を利用できること)の確保を基本とし、適切な管理策を講じて保護します。情報資産は電子データだけでなく、紙媒体、映像・音声、端末画面上の情報や会話に至るまで含まれます。

3.組織体制と責任

弊社は、情報セキュリティ管理の責任者として情報セキュリティ統括責任者を設置し、全社的な情報セキュリティ対策を統括します。経営陣は率先して情報セキュリティ確保のための必要な経営資源を投入し、社内体制を整備します。重要事項の審議・決定のために情報セキュリティ委員会等の体制を整え、リスクアセスメントや対策の検討を継続的に実施します。

経営者および管理職は、本基本方針に基づく情報セキュリティマネジメントシステムの構築・運用に主体的に取り組み、その有効性を定期的に評価・見直します。万一セキュリティ上の問題が発見された場合には、経営陣の責任において速やかな是正措置を講じます。

4.法令遵守とセキュリティ規程

弊社は、情報セキュリティに関する法令・規制、国が定める指針、業界のガイドラインおよび契約上のセキュリティ条項を遵守します。特に個人情報については「個人情報の保護に関する法律(個人情報保護法)」や関連法令を厳格に遵守し、適切に取り扱います。また、不正競争防止法や労働者派遣法など、当社事業に関連する法規も踏まえて機密情報を管理します。

弊社は、情報セキュリティに関する社内規程および手順を整備し、継続的に見直します。全従業者に対しこれら規程・ルールの周知徹底を図り、遵守状況を内部監査などにより確認します。万が一法令違反や契約違反となる事態が発生した場合には、関係各所に適切に報告するとともに、速やかに是正措置と再発防止策を講じます。

5.情報資産の安全管理措置

弊社は、情報資産を様々な脅威(漏えい、紛失、盗難、改ざん、不正アクセス、破壊等)から守るため、以下の安全管理措置を講じます。

5. 情報資産の安全管理措置

  • アクセス制御の徹底:情報資産へアクセスできる権限は、業務上必要と認められた者に限り最小限付与します。不必要な権限付与や共有を禁止し、アクセス権限の定期的な見直しを行います。
  • 情報資産の分類と管理:取扱う情報資産をその重要性や機密度に応じて適切に分類し、それぞれに応じた管理基準を適用します。機密情報や個人情報には厳格な取り扱い基準を設け、社外持ち出しや送信時の暗号化など必要な措置を講じます
  • 物理・技術的対策:オフィスへの入退館管理、機器・サーバー室の施錠管理、ウイルス対策ソフトウェアの導入、ファイアウォールやアクセスログ監視の実施など、物理的・技術的な安全対策を講じます。従業者が利用するPCやモバイル端末についても適切なセキュリティ設定と管理を徹底します。
  • 私物機器の制限: 私物端末や外部クラウドへの保存を原則禁止します。
  • 委託先管理: 委託先にも同等のセキュリティ義務を課し、監査を行います。

6.教育・啓発の推進

弊社は、情報セキュリティ確保には人材の意識向上が重要であると考えます。全ての役員および従業者(契約社員、アルバイトを含む)に対し、定期的に情報セキュリティ教育・訓練を実施します。新入社員や新たにプロジェクトに参画するメンバーに対しては、入社時研修や都度のセキュリティオリエンテーションを行い、基本方針や関連規程、具体的な遵守事項を周知徹底します。

日常的にもeラーニング、啓発ポスター、社内報などを活用し、情報セキュリティに関する意識啓発活動を継続します。お客様先に常駐する技術者や協力会社従事者対しても同様に教育を行い、機密情報・個人情報の適切な取り扱いを徹底します。従業者は学んだ知識を日々の業務で実践し、疑問点や問題があれば直ちに管理者に報告・相談する文化を育みます。

7.インシデント対応

弊社は、情報セキュリティ上のインシデント(事故や侵害事案)が発生した場合の対応手順を定めています。万一、情報漏えい事故や不正アクセス、紛失事故等のインシデントが発生または兆候を検知した場合には、速やかに関係者へ報告し、被害の拡大防止と早期収束に努めます。発見者はただちに上長および情報セキュリティ統括責任者へ報告し、指示を仰ぎます。

インシデント発生時には被害状況の把握と二次被害の防止を最優先に対応します。同時に原因を調査し、必要に応じ関係機関やお客様への報告・連絡を適切に行います。事故の原因分析結果に基づき、再発防止策を速やかに策定・実施します。事業の継続性にも配慮し、重要業務への影響を最小限に抑えるとともに、災害や重大事故に備えた事業継続計画(BCP)の整備にも努めます。

8.継続的改善

弊社は、情報セキュリティ対策およびマネジメント体制を継続的に改善していきます。定期的に情報セキュリティの実施状況を評価・監査し、本基本方針や関連する社内規程類の有効性を検証します。事業内容の拡大や新たな脅威の出現、技術の進歩など環境の変化に応じて、情報セキュリティの取り組みを見直し、必要な措置を適宜更新します。

情報セキュリティマネジメントの国際規格であるISO/IEC 27001(ISMS)への適合も視野に入れ、PDCAサイクルに基づく管理を徹底します。これにより、常に最新かつ適切な情報セキュリティ水準を維持し、お客様に安心してサービスをご利用いただけるよう努めます。全従業者が一丸となって本基本方針の実践と改善に取り組み、情報セキュリティレベルの向上を継続して図ります。

PAGETOP

Copyright © ZEAL HOLDINGS All Rights Reserved.