Security Policy情報セキュリティポリシー

1. 経営者の責任

当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。経営層は、情報セキュリティが経営上の重要課題であることを認識し、必要な資源を配分します。

2. 社内体制の整備

当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。また、CISO（最高情報セキュリティ責任者）を設置し、セキュリティインシデントの予防および緊急時の対応体制を確立します。

3. 従業員の取組み

当社の従業員（正社員、契約社員、パート・アルバイト、業務委託先を含む）は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。定期的なセキュリティ教育を実施し、違反者に対しては就業規則に基づき厳正に対処します。

4. 法令及び契約上の要求事項の遵守

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守します。特にお客様からお預かりする機密情報（秘密情報）については、契約に基づき厳重な管理を行います。

5. 情報資産の管理と保護

当社は、保有する情報資産を機密性・完全性・可用性の観点から分類し、リスク評価を行った上で、適切な物理的・技術的・人的・組織的対策を講じます。

• アクセス制御: 業務遂行上必要な者のみが情報にアクセスできるよう権限を最小化します。
• AI・クラウドサービスの利用: 生成AIやクラウドサービスを利用する際は、入力データの取扱いに関するガイドラインを策定し、情報漏洩を防止します。
• 脆弱性対策: 開発・運用するWebサイトやシステムに対し、継続的な脆弱性診断や修正パッチの適用を行います。

6. 違反及び事故への対応

情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。万が一、インシデントが発生した際には、被害を最小限に留めるとともに、迅速な原因究明と情報の開示を行います。