情報セキュリティ方針

1. 目的と範囲

当社は、当社業務において顧客からお預かりしたデータおよび取得したデータ（以下「データ」という）を保護し、適切に取り扱います。
この情報セキュリティ方針の目的は、顧客の信頼性を維持し、データの機密性、完全性、可用性を確保し、関連法規制および規制要件に準拠することです。

2. 責任と役割

• 情報セキュリティ責任者（CISO）は情報セキュリティに責任を持ち、ポリシーの実施を監督します。
• すべての従業員は情報セキュリティの基本原則を理解し、守る責任を有しています。

3. データ保護

• すべてのデータは機密情報として扱われ、アクセスは必要最小限に限定されます。
• データの収集、転送、保管、および破棄はセキュアな方法で行われ、データの完全性と可用性が確保されます。

4. アクセス制御

• データへのアクセスは役割ベースのアクセス制御に基づいて設定され、必要な権限のみが与えられます。
• アクセス権限の変更は文書化され、監査可能な形で追跡されます。

5. リスク管理

• データのセキュリティリスクは定期的に評価され、リスク対策が実施されます。
• インシデントが発生した場合、適切な対応手順が迅速に実行され、関係者に通知されます。

6. 教育と訓練

• 従業員は情報セキュリティに関する教育と訓練を受け、セキュリティ意識を高めていきます。

7. 監査と評価

• 情報セキュリティプログラムは定期的に監査され、改善策が実施されます。

8. コンプライアンス

• 適用される法規制および規制要件を遵守し、適切な対応を心がけます。
• 本情報セキュリティ方針を、当社従業員のみならず関係者にも遵守されるよう努めてまいります。

9. 所有権

• データの所有権を明確にし、必要に応じて適切に保護・管理・廃棄します。