情報セキュリティ方針 | システムメイク

基本方針

当社は事業活動の実施に伴って取り扱う情報資産を、あらゆる脅威から守り、機密性、完全性、可用性を確保し、事業継続を確実なものとする為、社内に情報セキュリティマネジメントシステム（以下、ＩＳＭＳと言う）を確立し、その運用と維持並びに継続的改善を、以下の具体的な指針に沿って推進します。

１．目標設定の枠組み

当社は、事業活動を行うにあたり、年度毎に各部門が、人的、ソフト、ハード、事業継続、ＩＳＭＳという五つの観点について具体的な目標を設定し、設定された目標に対しては定量化した達成度の判定を実施します。

２．法令及び規制等の遵守

当社のすべての役員及び従業者は、個人情報保護法及び情報セキュリティに関連する法令、規制及び契約上のセキュリティ義務を遵守します。

３．情報セキュリティ体制

当社は、これらの基でＩＳＭＳの確立と維持を行う為、セキュリティ委員会、セキュリティ管理室、並びに各部門にはセュリティ責任者を配置し、情報資産の適正な管理と運用を実施します。

４．リスク評価

当社の事業活動の実施に伴って取り扱う全ての情報資産は、その資産価値の評価を、機密性・完全性・可用性、並びに脅威と脆弱性から分析し、確立されたリスクアセスメントの手順に従い実施します。

５．セキュリティ事故の予防と対応

当社は、セキュリティ事故の発生の予防に努めます。万一、発生した場合には、再発防止策を含む適切な対策を速やかに講じます。また事業継続を確実にする為、災害なども含めた緊急事態を想定した事業継続計画の策定とその点検を推進します。

６．情報セキュリティ教育

当社のすべての役員及び従業者には、必要な情報セキュリティに関する教育・訓練を実施し、企業活動においての情報セキュリティの重要性を認識させるとともに、意識レベルの向上とＩＳＭＳ諸規定の周知徹底を図ります。

個別方針

１．利用機器に関する方針

(1)モバイル機器は暗号化ソフトウェアにより、情報を保護します。

(2)社外への持ち出しは記録を取り、返却時にはデータの削除を確認します。

(3)社有のエンドポイント機器を利用するものとし、社内の機密情報や業務関連データを個人所有のエンドポイント機器ので取り扱うことを禁止する。

２．アクセス制御方針

(1)情報システム及びサービスへのアクセス権限は、個別ユーザー単位に設定し、定期的な見直しを実施します。

(2)セキュリティ情報取扱箇所への入退出は、「テンキー錠」または「監視カメラ」で管理することにより、情報資産の安全を確保します。

３．ネットワークサービスの利用方針

(1)外部ネットワークとの接続にあたって、ネットワーク、情報システム及び情報資産に影響が生じないことを事前に確認します。

(2)外部からの一時的な内部ネットワークへのアクセスは、利用者の真正性の確保が確定出来る方法により認証を行います。

４．暗号による管理策及び暗号鍵の利用方針

(1)個人情報又は重要な秘密情報（以下「重要情報」という）を社外へ持ち出す場合、又は送信・移送する場合、保管する場合、及び社外から取得する場合には暗号化により情報を保護します。

(2)暗号鍵は、業務担当者とプロジェクトの外部の関係者及び顧客間で秘密に処理し、当事者以外がアクセス出来ないように管理します。

５．クリアデスク・クリアスクリーン方針

(1)業務で使用する全てのデータはサーバー保管します。デスクトップは常に整理し、不要なデータはＰＣ端末のハードディスク内に保存しません。

(2)ＰＣ端末はパスワード付きのスクリーンセーバーを設定します。

(3)事務室が無人になる場合、ＰＣ端末はログオフするか電源を切る。情報媒体（書類、電子媒体等）は所定の場所に厳重に収納保管します。

(4)プリンターで出力した帳票類等は、速やかに回収し放置しません。

(5)ハードディスク、情報媒体等は、情報の復元が不能な状態にしてから廃棄します。

６．バックアップ方針

(1)サーバー内のデータを定期的にバックアップし、データ損失時には必要に応じて速やかな復旧が行えるようにバックアップ手順を規定します。

(2)バックアップ媒体の保管場所は、防火区画であり、防犯措置が施されたデータ保管庫とし、個別の保管庫は常に施錠した状態にします。

(3)バックアップ機器が正常に動作しているか定期的に確認します。

７．情報の転送に関する方針

(1)手渡しで授受する場合は、搬送途上の紛失・盗難から保護するため、事業所へ直接帰社します。出来ない場合は郵送等の措置を取ります。

(2)貸し出す又は預かる場合は、情報の内容を記載した貸出証又は預り証を発行します。

(3)ＦＡＸにより重要情報を送信する場合は、送付先への到着確認、送付物及び送付先の当人以外の立会い者による確認を行います。

(4)メール、チャット、クラウドストレージにより重要情報を送信する場合は、暗号化されているツールを使用します。

８．セキュリティに配慮した開発のための方針

セキュリティに配慮した開発を、プロジェクト毎の開発規程に従い遵守します。

９．供給者関係のための情報セキュリティの方針

協力会社や業務委託先など外部の関係者が当社の情報資産を利用又はアクセスする場合は、当社のＩＳＭＳ基本方針等に従うことに合意し、秘密保持契約書等を締結します。

制定　2006年11月10日
改定　2025年03月31日

株式会社システムメイク