SECURITY
‐情報セキュリティに関する当社の取り組み‐
| 情報セキュリティ方針 |
当社は、お客様からお預かりした情報資産をあらゆる脅威から保護し、日々情報セキュリティ対策の強化に務めることで安全で信頼される企業であることを目指しています。 ここに情報セキュリティに関する方針を定め、その推進に尽力することを宣言します。 制定日2017年3月31日 (最終改定日2024年3月29日) |
|---|
| 1. 目的 |
株式会社エクシーマ(以下「当社」といいます。)は、ソフトウェア開発事業を通じて取り扱う情報資産を適切に保護することが、当社の社会的責任であり、顧客の信頼を維持するために不可欠であると認識しております。 当社は情報セキュリティの確保と継続的な向上を目的として、本ポリシーを定め、組織的な情報セキュリティ管理を推進してまいります。 |
|---|---|
| 2. 適用範囲 |
本ポリシーは、当社の全役員および従業員(正社員、契約社員、派遣社員、パートタイマーを含みます。)に適用いたします。 また、当社の業務に関与する業務委託先、協力会社等に対しても、本ポリシーの趣旨を理解させ、必要に応じて契約等により遵守を求めてまいります。 |
| 3. 組織体制 |
当社は、情報セキュリティ管理体制を整備するため、代表取締役を中心とした情報セキュリティ管理チームを結成し、情報セキュリティ対策全般の統括管理を行っております。 情報セキュリティ管理チームは、情報セキュリティに関する施策の企画、推進および改善を実施するとともに、法令遵守状況およびリスク状況を定期的に確認し、必要に応じて外部機関による監査や評価を実施します。 また、全従業員に対して情報セキュリティ意識の向上を目的とした教育・啓発活動を実施しております。 |
| 4. 法令・契約の遵守 |
当社は、情報セキュリティに関する法令、規制、ガイドラインおよび業界標準を遵守いたします。 また、顧客との契約に定められた情報管理義務を誠実に履行し、契約に反する行為は一切行わないことを徹底しております。 法令や規制の改正が行われた場合には、速やかに内容を把握し、必要な対応を講じてまいります。 |
| 5. 情報資産の管理 |
当社は、ソフトウェア開発業務において取り扱うすべての情報資産(ソースコード、設計書、業務データ、顧客から提供を受けた情報を含みます。)を重要な経営資産と位置付け、適切な分類および管理を実施いたします。 情報資産に対するリスク評価を実施し、機密性、完全性、可用性の観点から必要な管理策を講じます。 情報資産の保存、送信、廃棄の各段階において、社内手順を整備し、関係者に対して周知徹底しております。 |
| 6. アクセス管理 |
当社は、情報資産への不正なアクセスを防止するため、適切なアクセス制御を実施しております。 業務に必要な最小限の権限付与(最小権限の原則)を基本方針とし、役割や職務に応じたアクセス権限を設定いたします。 また、従業員の入社、異動、退職時には、アクセス権限の付与、変更、削除を速やかに行い、不要なアクセス権限が残存しないよう管理しております。 |
| 7. ネットワークセキュリティ |
当社は、業務に利用する情報システムおよびネットワークに対し、不正アクセス、マルウェア感染、情報漏洩等の脅威から保護するための対策を講じております。 ファイアウォールや侵入検知・防御機能を活用し、社内ネットワークの安全性を確保するとともに、リモートアクセスに際してはVPNなどの安全な通信手段を採用し、通信の暗号化を徹底しております。 加えて、脆弱性情報を定期的に確認し、必要なセキュリティパッチを速やかに適用する運用を実施しております。 |
| 8. 物理的セキュリティ |
当社は、情報資産および情報システムが設置されている施設に対して、物理的なセキュリティ対策を講じております。 執務室への入退館については、管理者のもとで許可制とし、入退館日時を電子データにより記録しております。 また、個人情報を含む文書類の印刷、コピー、外部への持ち出し、廃棄については、管理者の承認を経たうえで実施し、実施日時・内容を記録しております。 業務用PC、スマートフォン、USBメモリ等の備品の社外持ち出しについても、管理者の承認と持ち出し記録の登録を必須とし、適切な管理を行っております。 これらの措置により、情報資産の不正な持ち出しや漏洩の防止に努めております。 |
| 9. 再委託先の管理 |
当社は、現在、受託業務の再委託は一切行っておりません。 今後やむを得ず再委託を行う必要が生じた場合には、事前に顧客の承諾を得たうえで、再委託先に対して本ポリシーの趣旨を遵守させ、適切な情報管理体制および契約上の管理措置を講じてまいります。 |
| 10. 個人情報の取り扱い |
当社は、個人情報の保護が社会的責任であることを強く認識し、個人情報保護法その他関係法令を遵守のうえ、以下の方針に基づき個人情報を取り扱います。 個人情報の取得は利用目的を明確にしたうえで、適正な手段により行います。 取得した個人情報は、明示した利用目的の範囲内で利用し、目的外利用は行いません。 個人情報への不正アクセス、漏洩、滅失、毀損等を防止するため、技術的および組織的な安全管理措置を講じます。 個人情報の廃棄にあたっては、物理的・電子的に復元不可能な方法により適切に処理し、処理日時や方法を記録しております。 個人情報を第三者に提供する場合は、法令に基づく場合または本人の同意を得た場合に限り、必要な措置を講じたうえで行います。 個人情報に関する本人からの開示、訂正、利用停止等の要請には、法令に基づき適切に対応いたします。 |
| 11. インシデント対応 |
当社は、情報セキュリティインシデント(情報漏洩、改ざん、破壊、不正アクセス、サービス停止等)が発生した場合、またはその兆候を検知した場合には、速やかに状況を確認し、被害拡大防止措置を講じます。 インシデント対応の手順を整備し、関係者への迅速な報告、原因分析、再発防止策の策定および実施を行います。 重大なインシデントについては、必要に応じて顧客および関係機関への適切な報告を行います。 |
| 12. バックアップと復旧 |
当社は、情報資産の可用性を確保するため、重要なデータについて定期的にバックアップを実施いたします。 バックアップデータは、適切な場所に安全に保管し、災害時や障害発生時に迅速な復旧が可能な体制を整備いたします。 バックアップおよび復旧手順は定期的に見直し、必要に応じて改善を行います。 |
| 13. ソフトウェアおよびライセンスの取り扱い |
当社は、業務に使用するソフトウェアについて、正規ライセンスを取得したもののみを利用いたします。 ソフトウェアのインストールおよび管理は、情報セキュリティ管理チームの承認のもとで実施し、無許可のソフトウェア導入は行いません。 ライセンスの取得状況については定期的に確認し、法令および契約条件を遵守して管理いたします。 |
| 14. 持ち出し機器の管理 |
当社は、業務用PC、スマートフォン、USBメモリ等の情報機器の社外持ち出しについて、以下の管理を徹底いたします。 持ち出しは業務上必要な場合に限り、管理者の承認を得たうえで行います。 持ち出し機器は、暗号化やパスワード保護等、適切なセキュリティ対策を講じたものを使用いたします。 持ち出しや返却の日時・機器情報を電子的に記録し、管理いたします。 紛失・盗難が発生した場合は、速やかに管理者に報告し、必要な対応を講じます。 |
| 15. 教育・啓発 |
当社は、全従業員を対象に、情報セキュリティに関する教育・啓発活動を実施いたします。 新入社員に対しては入社時教育を実施し、その後も定期的に情報セキュリティ研修を行います。 また、法令改正や新たなリスクが発生した場合には、必要に応じて随時教育を実施し、情報セキュリティ意識の向上を図ります。 |
| 16. 継続的改善 |
当社は、情報セキュリティ管理体制および本ポリシーの内容について、定期的な見直しおよび改善を行います。 情報セキュリティに関する内部監査やリスクアセスメントを通じて課題を把握し、必要な改善策を講じます。 これにより、変化する事業環境や脅威に柔軟に対応し、情報セキュリティレベルの維持・向上を図ってまいります。 |
| 17. 本ポリシーの公開と改定 |
本ポリシーは、当社の社内外に対して公開いたします。 法令改正や社会状況の変化、事業内容の変更等に応じて、本ポリシーの内容を適宜見直し、改定いたします。 改定時には、その内容を社内に周知するとともに、必要に応じて顧客等関係者にも適切に通知いたします。 |
| 改訂履歴 |
2017年3月31日 2019年5月31日 2020年4月10日 2022年4月28日 2023年5月31日 2024年3月29日 |