情報セキュリティ方針

2. 情報セキュリティ管理組織

当社は、情報セキュリティの管理責任者(CISO:Chief Information Security Officer)を置き、組織全体の情報セキュリティ管理体制を構築・運営しております。各部署には情報セキュリティ担当者を配置し、日々のセキュリティ運用を徹底しています。

• CISO:情報セキュリティ戦略の策定および全社的な統括管理
• セキュリティ担当チーム:日々の監視、インシデント対応、脆弱性診断
• 各部門セキュリティ担当:部門内のセキュリティ教育、ポリシー遵守の確認
• 認定プロ(サービス提供者)へのセキュリティ指導および監査

3. リスク管理体制

当社は、情報セキュリティリスクを継続的に評価し、適切な対策を講じています。

• 年1回以上の情報セキュリティリスクアセスメントの実施
• 重要情報(個人情報、決済情報、システム情報)の分類と保護レベルの設定
• 脅威インテリジェンスの収集および最新脅威への対応
• インシデント発生時の対応手順(IRP:Incident Response Plan)の策定
• 事業継続計画(BCP)の策定および定期的な見直し

4. 技術的安全管理措置

当社は、以下の技術的安全管理措置を講じ、情報資産を保護しています。

• SSL/TLS暗号化通信による全データ転送の保護
• AES-256によるデータベース保存データの暗号化
• 多要素認証(MFA)による管理画面および重要システムへのアクセス制御
• Webアプリケーションファイアウォール(WAF)による不正アクセス防御
• DDoS攻撃対策および不正アクセス検知システムの導入
• 定期的な脆弱性診断およびペネトレーションテストの実施
• 開発環境・本番環境の分離および本番データの厳格なアクセス制限
• ソースコードのセキュリティレビューおよび自動脆弱性スキャン

5. 人的安全管理措置

当社は、社員および認定プロに対して、以下の人的安全管理措置を実施しています。

• 入社時および年1回以上の情報セキュリティ教育の実施
• 守秘義務契約の締結
• 情報セキュリティポリシーの周知徹底および遵守状況の確認
• 最小権限の原則に基づくアクセス権限の管理
• 退職・契約終了時のアカウント削除および機密情報返却の徹底

6. 物理的安全管理措置

当社は、オフィスおよびサーバー設備に対して以下の物理的安全管理措置を講じています。

• オフィスへの入退室管理(ICカード認証、来訪者登録)
• サーバールームへの物理的アクセス制限(生体認証、監視カメラ)
• 文書等の機密情報の管理および廃棄時の完全消去
• 持ち出し機器の暗号化およびリモートワイプ機能の導入
• 備品の管理台帳の整備および定期的な棚卸

7. 委託先管理

当社は、個人情報等の取り扱いを委託する場合、委託先との間で秘密保持契約を締結し、適切な監督を行います。委託先に対しては、以下の管理を実施しています。

• 委託先の情報セキュリティ体制の事前審査
• 委託契約におけるセキュリティ要件の明確化
• 委託先への定期的な監査および報告義務の設定
• 委託関係終了時のデータ返却・削除確認

8. インシデント対応

当社は、情報セキュリティインシデントが発生した場合、以下の対応を取ります。

• インシデント検知後、即座にCISOおよびセキュリティ担当チームへ報告
• 影響範囲の特定および被害の最小化に向けた緊急対応
• 個人情報の漏洩等の事故が発生した場合、関係者への通知および監督官庁への報告
• インシデントの原因分析および再発防止策の策定・実施
• インシデント記録の整備および定期的な見直し

9. コンプライアンス

当社は、情報セキュリティに関する法令、国が定める指針、その他の規範を遵守します。具体的には以下の法令・規格に準拠しています。

• 個人情報保護法および関連ガイドライン
• 電子署名法
• 不正アクセス禁止法
• 情報セキュリティマネジメントシステム(ISO/IEC 27001)の取得・維持
• PCI DSS(決済業界のデータセキュリティ基準)への準拠

10. 継続的改善

当社は、情報セキュリティ管理体制を継続的に見直し、改善していきます。

• 年1回以上の情報セキュリティマネジメントレビューの実施
• 社内外のセキュリティインシデントからの教訓の反映
• 最新の技術動向および脅威情報に基づく対策の更新
• 情報セキュリティポリシーの年1回以上の見直しおよび改訂

11. お問い合わせ

本情報セキュリティ方針に関するお問い合わせは、以下の窓口までご連絡ください。