1. 基本方針
当社は、IT開発事業を行う法人として、業務上取り扱う情報資産(個人情報、顧客情報、業務情報、技術情報等)を重要な資産と認識し、その機密性・完全性・可用性を適切に保護することを社会的責務と考えます。
当社は、本情報セキュリティポリシーを定め、情報セキュリティの維持および向上に継続的に取り組みます。
2. 適用範囲
本ポリシーは、当社が保有・管理・利用するすべての情報資産、および当社の役員・従業員(業務委託者を含む)が業務上取り扱う情報に適用されます。
3. 法令・規範の遵守
当社は、個人情報保護法および関連する法令・ガイドライン、契約上のセキュリティ要求事項を遵守します。
4. 情報資産の管理
当社は、情報資産の重要性に応じて適切な管理区分を設け、不正アクセス、漏えい、改ざん、紛失、破壊等のリスクを防止するための対策を講じます。
5. 技術的対策
当社は、以下の技術的対策を講じます。
- OS・ミドルウェア・ソフトウェアの適切な更新および脆弱性対策
- ID・パスワードの適切な管理、多要素認証の活用
- ウイルス対策ソフト、ファイアウォール等による不正アクセス対策
- データの暗号化およびバックアップの実施
6. 物理的対策
当社は、情報機器および記録媒体の盗難・紛失を防止するため、以下の対策を実施します。
- 業務用端末の適切な保管・施錠管理
- 不要となった媒体・書類の確実な廃棄
7. 人的対策
当社は、情報セキュリティの重要性を認識し、以下の取り組みを行います。
- 情報セキュリティに関する意識向上
- 業務上必要最小限の情報アクセス権限の付与
- 業務委託先に対する適切な監督
8. 外部委託・クラウドサービスの利用
当社は、業務の一部を外部に委託する場合やクラウドサービスを利用する場合、委託先・サービス提供事業者のセキュリティ体制を確認し、適切な管理を行います。
9. インシデント対応
情報セキュリティに関する事故が発生、または発生するおそれがある場合には、速やかに原因究明および被害拡大防止に努め、必要に応じて関係機関および関係者へ適切に対応します。
10. 継続的改善
当社は、情報セキュリティ対策の有効性を定期的に見直し、必要に応じて本ポリシーおよび関連する対策を継続的に改善します。
11. 制定日・改定日
制定日:2023年1月18日 最終改定日:2023年1月18日