情報セキュリティ基本方針

当社は、取引先および社会からの信頼に応えるため、情報資産をあらゆる脅威から保護し、適正に管理することを宣言します。

1. 目的・適用範囲

本方針は、当社が保有・管理する全ての情報資産（紙・電子・クラウド等）と、それを利用する役員・従業員・委託先に適用します。

2. 役割と責任

• 経営者は情報セキュリティの最終責任を負い、必要な資源を提供します。
• 情報セキュリティ管理責任者（ISMS責任者）を置き、運用・監査・教育を統括します。

3. 管理策の基本

• アクセス制御（最小権限・多要素認証・定期的棚卸）
• 端末管理（資産台帳、パッチ適用、ウイルス対策、紛失時のリモートワイプ）
• 暗号化（保存・送信時の暗号化、パスワード管理規程）
• ログ・監査（操作ログの取得・保管・点検）
• バックアップとBCP（定期バックアップ、復旧訓練、災害対策）
• 脆弱性管理（定期スキャン、アップデート、是正措置）
• メール/Webセキュリティ（フィルタリング、添付ファイルの取り扱い基準）
• 物理的安全（入退室管理、施錠、保管庫管理、来訪者記録）
• 在宅勤務時のルール（VPN利用、画面覗き見防止、私物端末の制限）

4. 委託先・クラウドの管理

委託先・クラウドサービスはセキュリティ要件を満たすものを選定し、契約に機密保持・再委託管理・事故報告義務等を定め、適切に監督します。

5. 教育・訓練

全従業者に対し入社時および定期的に教育を実施し、規程遵守を徹底します。

6. インシデント対応

事故発生時は速やかに報告・エスカレーションを行い、影響最小化・原因究明・再発防止策を講じます。

7. 法令遵守と継続的改善

関連法令・契約を遵守し、監査・レビューを通じて本方針と各規程を継続的に改善します。

制定日：［2019年10月16日］／最終改定日：［2024年10月11日］