情報セキュリティ方針
株式会社グランヴィア(以下「当社」といいます)は、お客様からお預かりする重要な情報資産を守り、安全かつ安心してご利用いただけるサービスを提供するため、以下の情報セキュリティ方針を定め、全社を挙げて情報セキュリティの確保に取り組みます。
基本方針
当社は、お客様の重要な情報資産を保護することが経営の最重要課題の一つであると認識し、情報セキュリティマネジメントシステムを構築・運用し、継続的に改善してまいります。
機密性の確保
認可されていない個人、エンティティ、プロセスに対して情報を使用させず、また、開示しない特性を確保します。
完全性の確保
情報及び処理方法が正確である、また完全である特性を確保します。
可用性の確保
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性を確保します。
情報資産の保護
1. 情報資産の定義
当社は、以下を情報資産と定義し、適切に保護します:
- お客様の個人情報及び機密情報
- 当社の業務情報及び営業秘密
- 情報システム及びネットワーク機器
- ソフトウェア及びライセンス
- 文書、契約書、資料等の紙媒体
- その他、事業活動に必要な全ての情報及び情報資産
2. 情報資産の分類と管理
当社は、情報資産を重要度・機密度に応じて分類し、それぞれに適切な管理策を適用します:
| 分類 | 定義 | 取扱い |
|---|---|---|
| 極秘 | 漏洩した場合、重大な損害が発生する情報 | 厳格なアクセス制限、暗号化必須 |
| 秘 | 漏洩した場合、相当な損害が発生する情報 | アクセス制限、適切な保管 |
| 社外秘 | 社外への開示に制限がある情報 | 社内メンバーのみアクセス可能 |
| 公開 | 公開しても問題ない情報 | 特別な制限なし |
3. アクセス制御
情報資産へのアクセスは、業務上の必要性に基づき、適切な権限管理を行います:
- 最小権限の原則に基づくアクセス権限の付与
- 定期的な権限の見直しと不要な権限の削除
- 多要素認証の導入
- アクセスログの記録と定期的な監視
法令遵守
当社は、情報セキュリティに関する以下の法令、規制、契約上の要求事項を遵守します:
- 個人情報の保護に関する法律(個人情報保護法)
- 不正アクセス行為の禁止等に関する法律
- 電子署名及び認証業務に関する法律
- 特定商取引に関する法律
- その他、情報セキュリティに関連する法令及びガイドライン
法令違反が発生しないよう、従業員に対する定期的な教育・訓練を実施し、コンプライアンス意識の向上に努めます。
セキュリティ対策
1. 物理的セキュリティ対策
- オフィスへの入退室管理システムの導入
- 重要情報を取り扱うエリアへのアクセス制限
- 監視カメラの設置
- 機器及び媒体の盗難・紛失防止対策
- クリアデスク・クリアスクリーンポリシーの実施
2. 技術的セキュリティ対策
- ファイアウォールによるネットワーク保護
- 侵入検知・防御システム(IDS/IPS)の導入
- ウイルス対策ソフトウェアの導入と定期更新
- 通信の暗号化(SSL/TLS等)
- データの暗号化(保存データ及び伝送データ)
- 脆弱性管理とセキュリティパッチの適時適用
- 定期的なバックアップの実施
- セキュリティ監視とログ管理
3. 人的セキュリティ対策
- 全従業員に対する情報セキュリティ教育の実施(入社時及び年1回以上)
- 秘密保持契約の締結
- セキュリティインシデント報告体制の整備
- 退職時の情報資産返却手続きの徹底
4. 運用管理
- 情報セキュリティポリシー及び関連規程の整備
- 情報セキュリティ管理責任者の任命
- 定期的なリスクアセスメントの実施
- 内部監査の実施
- 第三者による外部監査の受審
セキュリティインシデント対応
1. インシデント対応体制
当社は、情報セキュリティインシデントに迅速かつ適切に対応するため、以下の体制を整備しています:
- セキュリティインシデント対応チーム(CSIRT)の設置
- 24時間365日の監視体制
- インシデント対応手順書の整備
- 定期的なインシデント対応訓練の実施
2. インシデント発生時の対応
情報セキュリティインシデントが発生した場合、以下の手順で対応します:
- 検知・報告:インシデントを検知次第、直ちに管理責任者へ報告
- 初動対応:被害の拡大防止措置を実施
- 原因調査:インシデントの原因を特定し、影響範囲を調査
- 復旧対応:システムの復旧及び正常化を実施
- 再発防止:原因分析に基づく再発防止策を策定・実施
- 報告・開示:法令に基づき、必要に応じて関係機関及びお客様への報告
3. 個人情報漏洩時の対応
万が一、個人情報の漏洩等が発生した場合は、以下の対応を行います:
- 個人情報保護委員会への報告
- 本人への通知
- 事実関係の調査と原因究明
- 二次被害防止のための措置
- 再発防止策の策定と実施
継続的改善
当社は、情報セキュリティマネジメントシステムの有効性を維持・向上させるため、以下の活動を継続的に実施します:
PDCAサイクルの実践
Plan(計画)
リスクアセスメントに基づくセキュリティ対策の立案
Do(実行)
計画に基づくセキュリティ対策の実施
Check(評価)
内部監査、外部監査による有効性の評価
Act(改善)
評価結果に基づく是正措置と予防措置の実施
定期的な見直し
- 年1回以上のマネジメントレビューの実施
- 情報セキュリティ方針及び関連規程の定期的な見直し
- 新たな脅威や技術動向を踏まえた対策の強化
- 法令改正への適時対応
教育と訓練
当社は、全従業員の情報セキュリティ意識を高め、適切な対応ができるよう、以下の教育・訓練を実施します:
定期教育
- 新入社員研修における情報セキュリティ教育
- 全従業員を対象とした年1回以上の定期教育
- 部門別・職種別の専門教育
- eラーニングによる継続的な学習機会の提供
訓練・演習
- 標的型攻撃メール訓練
- インシデント対応訓練
- BCP(事業継続計画)訓練
啓発活動
- 情報セキュリティニュースの定期配信
- 最新の脅威情報の共有
- セキュリティ月間の実施
委託先管理
当社は、業務を外部に委託する場合、委託先における情報セキュリティが適切に確保されるよう、以下の管理を行います:
- 委託先選定時のセキュリティ評価
- 秘密保持契約及び情報セキュリティに関する契約の締結
- 委託先への定期的な監査及び評価
- 委託先におけるインシデント発生時の報告義務
- 委託業務終了時の情報資産の返却・消去の確認
適用範囲
本方針は、株式会社グランヴィアの全ての役員及び従業員(正社員、契約社員、派遣社員、アルバイト等を含む)に適用されます。また、当社の情報資産を取り扱う業務委託先についても、本方針に準じた情報セキュリティ対策を求めます。
方針の見直し
本方針は、法令の改正、技術の進展、事業環境の変化等に応じて、適宜見直しを行います。重要な変更がある場合は、本ウェブサイト上で公表いたします。
お問い合わせ
本方針に関するお問い合わせは、以下までご連絡ください。
株式会社グランヴィア 情報セキュリティ管理責任者
〒460-0003
愛知県名古屋市中区錦二丁目5-5 八木兵伝馬町ビル3F
10:00〜18:00(土日祝を除く)
制定日:2024年11月8日
最終更新日:2024年11月8日