情報セキュリティ基本方針

1. 目的

当社の重要な情報資産を安全かつ効率良く活用・維持するためには、適切で十分な情報セキュリティ対策を実施することにより高度な情報セキュリティ水準を達成することが必要不可欠である。

このため、情報セキュリティの包括的な対策として、情報セキュリティ管理システム(Information Security Management System)を構築し、当社の経営資産である情報資産をあらゆる脅威から保護するために必要な情報セキュリティの確保を目的としてシステムとマネジメントの両面から防衛に取り組むこととする。

本情報セキュリティ基本方針は、当社の情報資産を利用する全ての者が、情報セキュリティを確保するにあたって遵守すべき基本的な指針を定めたものである。

2. 目標

当社は、情報セキュリティのリスクアセスメントに基づく対策を実施し、かつ情報セキュリティの水準を維持するとともに継続的に改善し、向上することを目標とする。

3. 適用範囲

本情報セキュリティ基本方針は、当社のシステム開発部の情報資産を対象とし、それらを取扱うすべての役員及び従業員に適用される。

4. 情報セキュリティの範囲

当社は、情報セキュリティ維持のため、実質的な情報セキュリティ事項を総括する情報セキュリティ対策室を設ける。

対策室は対策室長と各部門の情報セキュリティ責任者から構成される。

情報セキュリティ対策室は、情報セキュリティ関連文書の作成、改訂、廃棄の審議並びにそれらに関連する重要事項の決定等を行い、関係部署への通達、調整を行う。

また、各部門における遵守状況の監視を行う。

5. 情報資産の管理と分類

各役員及び従業員は、当社で取り扱う全ての情報資産を適切に取り扱わなければならず、各部門の情報セキュリティ責任者は、それらの情報資産を適切に管理しなければならない。

また、情報資産はその内容により分類され、重要度に応じて適切に管理される。

6. 情報資産の取扱い

当社は、情報資産に対する閲覧権限を与えられた者のみが、その情報資産の内容を閲覧することを認め、情報資産に対する変更権限を与えられた者のみが、その情報資産の内容を変更することを認める。

また、各情報セキュリティ責任者は、適切に権限を与えられた者が、いつでも閲覧もしくは変更を行えるよう、情報資産を適切に管理する。

7. 個人情報の取扱い

当社は、個人情報の収集・利用・預託・提供する場合は、個人情報保護に関する法令を遵守し適切に管理を行い、不正アクセス、紛失、破壊、改竄、漏洩等の防止に努める。

また個人情報に対する閲覧権限を与えられた者のみが、その個人情報の内容を閲覧することを認め、個人情報に対する変更権限を与えられた者のみが、その個人情報の内容を変更することを認める。

また、お客様(個人情報所有者)による開示、訂正等の要求、お問い合わせに直ちに対応できる体制を整備する。

8. 監視・監査

各情報セキュリティ責任者は、情報資産が適切に管理されているかどうかを常に監視する。

また、情報セキュリティ関連ガイドライン等に基づき情報資産の管理が適切に行われているかについて、内部監査又は第三者による監査を定期的に受ける必要がある。

9. 事故報告

情報セキュリティに関連する事故が発生した場合又は発生するおそれが生じた場合には、発見者は速やかに情報セキュリティ対策室及び情報セキュリティ責任者にその内容を報告しなければならない。

情報セキュリティ対策室は、事故原因の分析を実施し、必要があると判断した場合は、事業継続計画等に沿って速やかに対策を講じる。

情報セキュリティ対策室長が重大事故と判断した場合には、経営者に報告し対策を講ずる。

10. 教育・訓練

情報セキュリティ対策室は、当社のすべての従業員に、職務に応じて必要な情報セキュリティの教育・訓練を定期的に計画し実施する。

11. リスクマネジメント及びリスクアセスメント

情報セキュリティ対策室は、情報資産に対するリスクの分析・評価の一定の基準を設ける。各部門は、その基準に従って運用を行う。

12. 法的事項

当社の役員及び従業員は、「個人情報保護法」、「不正競争防止法」、「不正アクセス防止法」などの情報セキュリティに係わる法的要求事項及び経済産業省個人情報の保護ガイドラインを遵守する。

13. 罰則

情報システムを利用する全ての従業員は、当社情報セキュリティ管理システムを遵守しなければならない。

当社情報セキュリティ管理システムの違反者に対しては、情報システムの使用禁止、及び就業規則に基づく処罰等の処置がとられる場合がある。

署名

制定:2015年7月1日

株式会社okicom
代表取締役社長 小渡 玠