情報セキュリティ方針

当社は、お客様から信頼いただいている企業として、お預かりした情報資産を適切に保護することが重要な責務であることを認識し、情報セキュリティの確保を経営の最重要課題の一つとして位置付けます。

情報セキュリティの目的

• お客様の個人情報および企業秘密の保護
• サービスの継続的な提供と安定性の確保
• 情報資産の機密性、完全性、可用性の維持
• 法令及び契約上のセキュリティ要求事項の遵守

本方針は、当社が管理・運営するすべての情報システム、情報資産、および当社の役員・従業員・業務委託先に適用されます。

対象となる情報資産

• お客様の個人情報（氏名、連絡先、決済情報など）
• お客様の事業情報（在庫データ、売上データなど）
• システムの設計情報および技術情報
• 当社の企業秘密および営業秘密
• その他の業務上重要な情報

組織体制

施設・設備のセキュリティ

• オフィスセキュリティ：執務室への入退室管理、外部者の入室制限
• サーバー室管理：データセンターでの厳格な入退室管理
• 機器管理：重要機器の施錠保管、盗難防止対策
• 廃棄管理：機密情報を含む媒体の確実な廃棄・消去

データセンターセキュリティ

• 24時間365日の有人監視体制
• 生体認証による入退室管理
• 無停電電源装置（UPS）による電力供給保証
• 火災・地震・洪水等に対する防災対策

ネットワークセキュリティ

• 暗号化通信：すべての通信でSSL/TLS暗号化を実装
• ファイアウォール：不正アクセスを防止する多層防御システム
• 侵入検知・防御：IDS/IPSによる24時間監視
• アクセス制御：最小権限の原則に基づく厳格な権限管理

データ保護

• データ暗号化：保存データ・伝送データの暗号化
• バックアップ：定期的なデータバックアップと復旧テスト
• データ分離：お客様データの論理的・物理的分離
• データ削除：安全で確実なデータ削除手順の実装

脆弱性管理

• 定期的なセキュリティパッチの適用
• 第三者機関によるペネトレーションテストの実施
• 脆弱性スキャンの定期実行
• セキュリティ関連情報の継続的な収集・分析

教育・研修

• 全従業員に対する定期的な情報セキュリティ教育の実施
• 最新の脅威情報とその対策に関する研修
• フィッシング攻撃等の実践的な訓練の実施
• 情報セキュリティ意識の向上を図る啓発活動

アクセス管理

• 従業員の入退職時における適切な権限付与・削除
• 定期的なアクセス権限の見直しと最適化
• 多要素認証（MFA）の導入
• 特権アクセスの厳格な管理と監視

インシデント対応体制

セキュリティインシデントが発生した場合、以下の体制で迅速に対応します：

• 初動対応：インシデントの検知から30分以内の初動対応
• 影響範囲調査：被害範囲の特定と影響度の評価
• 復旧対応：サービス復旧とセキュリティ強化対策の実施
• 報告・通知：関係者への適切な報告と必要に応じた公表

インシデント連絡先

業務委託先に対しても当社と同等のセキュリティレベルを要求し、適切な管理を行います：

• 選定基準：セキュリティ対策状況の事前評価
• 契約管理：秘密保持契約とセキュリティ要件の明記
• 定期監査：委託先のセキュリティ状況の定期的な確認
• 事故対応：委託先でのインシデント発生時の連携体制

当社は以下の法令および基準を遵守し、適切な情報管理を行います：

• 個人情報保護法
• 不正アクセス行為の禁止等に関する法律
• 特定商取引法
• 電子帳簿保存法
• その他関連する法令・ガイドライン

PDCA サイクル

情報セキュリティ管理を継続的に改善するため、以下のサイクルを実施します：

• Plan（計画）：セキュリティ方針・手順の策定・見直し
• Do（実行）：セキュリティ対策の実装・運用
• Check（評価）：定期的なセキュリティ監査・評価
• Act（改善）：問題点の改善と対策の強化

定期見直し

本方針は年1回以上の定期的な見直しを行い、技術の進歩や脅威の変化に対応して適切に更新します。

セキュリティ確保のため、お客様にも以下のご協力をお願いしています：

• パスワード管理：強固なパスワードの設定と適切な管理
• ソフトウェア更新：ブラウザやOSの最新版への更新
• 怪しいメール：フィッシングメール等の不審なメールへの注意
• セキュリティ情報：当社からのセキュリティに関するお知らせの確認

情報セキュリティに関するお問い合わせは、以下までご連絡ください：