文字サイズ
株式会社エフレジは、お客様から委託を受けて、高い機密性を求められるデータを含めたお客様の大事な情報資産を取り扱う業務を実施しています。当社では、今後も継続してお客様に信頼いただけるサービスを提供することを目的に、この「情報セキュリティ基本方針」を定め、当社が取り扱う情報資産の適切な保護対策を実施するための指針とします。この方針に沿って、情報セキュリティマネジメントシステムを確立し、導入、運用、監視、見直し、維持及び改善を行います。役員を含むすべての従業員は、この目的を理解し、当社の情報セキュリティ基本方針ならびに確立した情報セキュリティマネジメントシステムの規定と手順を遵守することで、情報セキュリティを常に重視し業務を遂行します。
お客様から委託され取り扱う情報資産の消失、盗難、不正使用、漏えいを防止することを組織の目的とする。情報セキュリティとして、お客様から委託され取り扱う情報資産、当社が取得した個人情報及び当社が保有する情報資産について、機密性、完全性、可用性を確保し、維持する。
当社で行う全ての業務について情報セキュリティマネジメントシステムの対象とし、適用範囲は以下のとおりとする。
大阪本社、東京支社、福岡支社
代表者は、この基本方針及び目的を定め、情報セキュリティ管理責任者を任命する。代表者は、これらの者が行う情報セキュリティマネジメントシステムの活動に必要な経営資源を提供する。代表者は、リスクアセスメントの枠組み、リスク受容基準及びリスクの受容可能レベルを決め、リスクアセスメントの結果、残留リスク、管理策の採否結果及び構築された情報セキュリティマネジメントシステム、これらを推進するセキュリティ計画の承認、決定を行う。
また、定期的な内部監査、マネジメントレビューを実施し、採用した管理策の有効性の評価、実施した改善の有効性の評価、リスクアセスメントの結果及びマネジメントシステムならびにこの基本方針を見直し、情報セキュリティマネジメントシステムの継続的な改善を実施する。
情報セキュリティ管理責任者は、情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善を図る。
情報セキュリティ管理責任者は、事業上取り扱う個人情報・企業秘密情報とその管理責任者(保有する情報資産の部門リーダー)を特定する。特定した資産に対して当社の事業規模と事業内容に見合ったリスクアセスメント方法を定め、情報資産の保護のために、合理的で適切な管理策を選択する。代表者はリスク受容基準及びリスクの受容可能レベルを決定する。代表者及び情報セキュリティ管理責任者は、リスクアセスメントの結果、リスクアセスメント方法とこれらの基準・水準を、組織、事業、技術、社会などの環境変化に応じて見直す。
当社が取り扱う個人情報を保護するため「JISQ15001に従った『個人情報保護マネジメントシステム』」を実施すると共に、本人が持つ “自己の個人情報をコントロールする権利” の考え方を尊重し、法律・省庁の指針及び規範に則り、個人情報の利用目的の特定と公表・通知、法令と利用目的に限定した取得、利用・提供を行う。また、個人情報に関する苦情に対応すると共に、開示などが必要な保有個人データについての開示などの対応を行う。
個人情報保護法はじめ、不正競争防止法に基づいて顧客及び当社の秘密情報を管理する。また、著作権法に準じて著作物の権利を尊重するためにソフトウェアなどを適切に管理する。その他業務上関連する法令を明確にし、遵守する。
役員と契約社員を含むすべての従業員は、「情報セキュリティ基本方針」及び情報セキュリティマネジメントシステムに関する社内規定・手順書を遵守して行動する。違反した場合には、当社の就業規則などに則り懲戒処分を適用する。
情報セキュリティ管理責任者によって任命された教育責任者は、情報セキュリティに関する教育及び訓練を実施する。
以 上
制定 2007年3月7日
改定 2020年7月1日
株式会社 エフレジ
代表取締役 杉本 和彦