情報セキュリティポリシー

最終更新日：2025年4月1日

1. 基本方針

• 情報資産を適切に特定・管理し、機密性・完全性・可用性を確保します
• 情報セキュリティに関する法令・規制・契約上の要求事項を遵守します
• 全役員・従業員・委託先がセキュリティポリシーを理解・遵守します
• インシデントの予防と迅速な対応・復旧体制を整備します
• 定期的な見直しと継続的改善を実施します

2. 組織体制

当社は、情報セキュリティ部署を設置し、全社横断的なセキュリティガバナンスを実施しています。

• 情報セキュリティ部署による統括管理
• インシデント対応チームの設置
• 定期的な内部監査および外部監査の実施

3. 技術的対策

• アクセス管理：最小権限の原則に基づくアクセス制御
• 暗号化：保存データおよび通信データの暗号化（AES-256、TLS 1.2以上）
• 多要素認証（MFA）の全社適用
• エンドポイント保護：EDRによる全端末監視
• ネットワーク分離：ゼロトラストアーキテクチャに基づく設計
• 脆弱性管理：定期的な自社システムへの脆弱性診断の実施

4. 物理的・環境的対策

• 入退室管理：オフィス・サーバールームの入退室管理
• クリアデスク・クリアスクリーンポリシーの徹底
• 紙媒体の安全な廃棄

5. 人的対策

• 入社時・年次のセキュリティ教育の実施
• 標的型メール訓練の定期実施
• 秘密保持契約（NDA）の全従業員・委託先との締結
• 退職時の情報返却・アクセス権抹消の徹底

6. インシデント対応

情報セキュリティインシデントが発生した場合、以下の手順で対応します。

1. 発見・報告：インシデントの発見者は直ちに担当部署へ報告
2. 初動対応：影響範囲の特定と被害の局限化
3. 通知：必要に応じてお客様・監督官庁への通知
4. 復旧：業務復旧とシステム正常化
5. 再発防止：原因究明と再発防止策の実施

7. サプライチェーンセキュリティ

業務委託先・クラウドサービス事業者に対して、当社のセキュリティ要件への準拠を求め、定期的な評価を実施します。

8. 本ポリシーの改定

本ポリシーは、法令・技術・ビジネス環境の変化に応じて定期的に見直し、継続的改善を図ります。