1. 目的
当社は、開発事業を通じてお客様の大切な情報資産を取り扱っています。
お客様からお預かりする情報資産を適切に保護し、安心して業務を任せていただける体制を構築するため、情報セキュリティ基本方針を定めます。
2. 適用範囲
本方針は、当社のすべての役員・社員・契約社員・派遣社員および業務委託先に適用されます。
3. 情報資産の保護
お客様から受託した情報資産は、契約および法令に基づき、厳格に管理します。
外部記憶媒体(USB、外付けHDD 等)や私物端末への保存を原則禁止します。
不要になった情報資産は、安全な方法で消去・廃棄します。
4. アクセス管理
作業担当者は名簿で管理し、業務に必要な者に限定して権限を付与します。
ID/パスワードは適切に管理し、他者との共有を禁止します。
VPN・多要素認証等を用い、外部からの不正アクセスを防止します。
5. 物理的セキュリティ
情報を取り扱う区域は施錠管理し、第三者の立ち入りを制限します。
やむを得ず第三者を入室させる場合は、許可書を必須とし、入退室記録を管理します。
6. リモートワーク
リモートワーク時には、VPN、セキュリティソフトの利用を義務付けます。
個人所有PCでの作業は禁止し、会社付与PCを必ず使用します。
「リモートワークポリシー」に従い、情報の漏洩防止を徹底します。
7. 教育・訓練
入社時および定期的に、情報セキュリティや個人情報の取り扱いに関する教育を行います。
研修後は理解度テスト等を実施し、周知徹底を図ります。
8. インシデント対応
情報セキュリティインシデント(情報漏えい、改ざん、消失等)が発生、または疑われる場合は、直ちに CTO に報告します。
CTO は状況を確認し、顧客に速やかに連絡するとともに、原因究明および再発防止策を講じます。
9. 継続的改善
本方針に基づく体制を定期的に見直し、必要に応じて改善します。
内部監査・自己点検・外部診断を通じて、セキュリティレベルを維持・向上します。
10. 責任体制
情報セキュリティに関する責任者は CTO が統括します。
将来的には、専任の「情報セキュリティ管理責任者」を設置し、役割と責任を明確化します。