情報セキュリティ方針

1. 基本方針

• 機密性の確保： 情報へのアクセスを権限のある者に限定し、不正なアクセス・漏洩を防止します。
• 完全性の維持： 情報の正確性・完全性を維持し、不正な改ざんや破壊から情報を保護します。
• 可用性の確保： 業務上必要な情報に対し、必要なときにアクセスできる環境を維持します。

2. 適用範囲

本方針は、当社の全役員・従業員（正社員・契約社員・アルバイト・業務委託先を含む）、 および当社が管理・運用するすべての情報システム・情報資産に適用します。

3. 情報セキュリティへの取り組み

（1）組織体制

当社は情報セキュリティ責任者を設置し、情報セキュリティに関する組織横断的な管理体制を整備します。 インシデント発生時は速やかに対応できるよう、対応手順・連絡体制を整備します。

（2）リスク管理

情報資産に対するリスクを定期的に評価し、リスクの大きさに応じた適切な管理策を実施します。 また、リスク評価の結果を経営層に報告し、組織全体での意思決定につなげます。

（3）アクセス管理

情報システムへのアクセスは、業務上必要な最小限の権限のみを付与します。 パスワードポリシーの徹底・多要素認証の導入・定期的な権限見直しを実施します。

（4）技術的対策

ウイルス対策・不正アクセス対策・暗号化・ログ監視など、 適切な技術的セキュリティ対策を継続的に実施します。 使用するソフトウェア・システムは常に最新のセキュリティパッチを適用します。

（5）教育・訓練

全役員・従業員に対し、情報セキュリティに関する定期的な教育・訓練を実施します。 特にソーシャルエンジニアリング・フィッシング詐欺への対応訓練を年1回以上実施します。

（6）委託先管理

情報処理を外部委託する場合は、委託先のセキュリティ水準を評価した上で選定し、 契約において適切なセキュリティ要件を定めます。また、委託先を定期的に監査します。

4. 法令・規範の遵守

当社は、個人情報の保護に関する法律・不正アクセス禁止法・その他関連する法令・規制、 および業界団体のガイドラインを遵守します。

5. 継続的改善

当社は、情報セキュリティマネジメントシステム（ISMS）に基づくPDCAサイクルを運用し、 情報セキュリティ対策を継続的に改善します。 定期的な内部監査および経営レビューを実施し、方針・目的・管理策の有効性を確認します。

6. インシデント対応

情報セキュリティインシデントが発生した場合は、速やかに影響範囲を特定し、 被害の拡大防止・復旧・再発防止策の実施、および必要に応じて関係者への報告を行います。

7. お問い合わせ

本方針に関するご質問は、以下の窓口までご連絡ください。