[会社名](以下「当社」)は、当社の事業活動において取り扱う情報資産(取引先情報、業務上知り得た情報、各種資料・データ等)を適切に保護し、情報セキュリティの維持・向上に継続的に取り組むため、本方針を定めます。
1. 目的
当社は、情報資産の機密性・完全性・可用性を確保し、不正アクセス、漏えい、改ざん、滅失、毀損等のリスクを低減することを目的として、適切な管理を行います。
2. 適用範囲
本方針は、当社の役員・従業員ならびに当社業務に従事する関係者に適用し、当社が管理する情報資産全般を対象とします。
3. 個人情報および機密情報の取扱い
当社は、法令に基づく場合を除き、ご本人の同意なく個人情報を第三者に提供しません。
- 原則として取引先の個人情報はお預かりしない体制で業務を設計します(必要となる場合は事前に範囲と取扱いを合意します)。
- 機密情報はNDA等の契約に基づき適切に管理します。
4. 管理体制
当社は、情報資産へのアクセス権限を必要最小限に限定し、アカウント・パスワード等を適切に管理します。利用するサービスや端末において、可能な範囲で多要素認証等の安全対策を講じます。
5. アクセス管理
当社は、個人情報への不正アクセス、漏えい等を防止するため、適切な安全管理措置を講じます。
6. 技術的対策
当社は、保有する機器・システムについて、以下を含む合理的な対策を講じます。
- OS/ソフトウェアの適切な更新
- ウイルス対策・不正アクセス対策
- 通信の保護(暗号化等、必要に応じた措置)
7. 物理的対策
当社は、端末・記録媒体・書類等の紛失、盗難、持ち出しに伴うリスク低減のため、保管方法や取扱いルールを定め、適切に管理します。
8. 委託先・外部サービスの管理
当社は、外部サービスや委託先を利用する場合、委託先を適切に選定し、必要に応じて契約等により情報セキュリティ上の義務を明確化し、適切に管理します。
9. インシデント対応
情報セキュリティ上の問題(漏えい等の疑いを含む)が発生した場合、当社は被害拡大の防止、原因調査、再発防止策の実施に努めます。また、必要に応じて取引先等へ適切に連絡します。
10. 法令等の遵守
当社は、情報セキュリティおよび個人情報保護に関する法令・規範・契約上の義務を遵守します。
11. 継続的改善
当社は、情報セキュリティの取組み状況を必要に応じて見直し、継続的な改善に努めます。
12. お問い合わせ窓口
本方針に関するお問い合わせは、以下までご連絡ください。
- 会社名
- 所在地
- 窓口メールアドレス