INFORMATION SECURITY POLICY

情報セキュリティ方針

Information Security Policy

制定日:2024年4月1日 / 最終改定日:2024年4月1日

株式会社アポトプル(以下「当社」)は、ECモール向けシステムおよびサポートサービスを提供する事業者として、 情報資産の機密性・完全性・可用性の確保を経営上の重要課題と位置づけ、 本情報セキュリティ方針を策定・宣言します。

第1条(基本方針)

当社は、お客様・取引先・従業員の情報資産を保護するため、 以下の基本方針に基づき情報セキュリティマネジメントを実践します。

  • 機密性(Confidentiality)の確保
    情報資産へのアクセスは、業務上の必要性に基づき適切に制限・管理します。 許可された者のみが必要な情報にアクセスできる環境を維持します。
  • 完全性(Integrity)の確保
    情報資産が正確・完全な状態を保つよう、改ざん・誤用・不正破壊を防止する措置を講じます。
  • 可用性(Availability)の確保
    業務上必要な時に必要な情報資産を利用できるよう、システムの安定稼働・バックアップ体制を維持します。
  • 法令・規制の遵守
    個人情報保護法・不正アクセス禁止法・サイバーセキュリティ基本法その他関連法令・ガイドラインを遵守します。
  • 継続的改善
    情報セキュリティに関するリスクを継続的に評価し、対策を改善・強化します。

第2条(適用範囲)

本方針は、以下に適用されます。

適用対象内容
人的範囲 当社の役員・従業員・派遣社員・業務委託先・インターン生その他当社と契約関係にあるすべての者
物理的範囲 当社の事業所・サーバー室・設備・機器・記録媒体等
情報資産の範囲 顧客情報・従業員情報・事業上の機密情報・システム・ソフトウェア・ネットワーク・文書等の一切の情報資産
システム範囲 EC Intelligence Engineシステム・クラウドインフラ・業務用端末・ネットワーク設備・通信回線等

第3条(組織体制)

  1. 当社は、情報セキュリティ責任者(代表取締役)を中心とした情報セキュリティ管理体制を構築します。
  2. 情報セキュリティ責任者は、本方針の策定・実施・見直しを統括します。
  3. 各部門の担当者は、情報セキュリティ責任者の指示のもと、部門内の情報セキュリティ確保に責任を負います。
  4. 全従業員は、本方針および関連規程を遵守する義務を負います。

第4条(情報セキュリティリスク管理)

  1. 当社は、情報資産に対するリスク(機密性・完全性・可用性に対する脅威)を定期的に評価します。
  2. 特定されたリスクに対して、その影響と発生可能性を評価のうえ、適切なリスク対応策(回避・低減・受容・移転)を選択・実施します。
  3. リスク評価は、少なくとも年1回、または重大な変化が生じた際に実施します。
  4. リスク対応策の実施状況は定期的にモニタリングし、必要に応じて改善します。

第5条(物理的・環境的セキュリティ対策)

  • 重要な情報資産を保管するエリアへのアクセスは、業務上必要な者のみに制限します。
  • サーバー・情報処理機器等は、不正アクセス・盗難・天災等から保護するための物理的措置を講じます。
  • 情報処理機器の廃棄・転用にあたっては、記録媒体内のデータを確実に消去・破壊します。
  • 不要となった紙媒体の個人情報・機密情報は、シュレッダー処理等により適切に廃棄します。
  • 在宅勤務・外出先での業務においても、情報資産の持ち出し・利用に関する規程を遵守します。

第6条(技術的セキュリティ対策)

■ アクセス制御

  • システム・情報資産へのアクセスは、最小権限の原則に基づき付与します。
  • ユーザーIDおよびパスワードによる認証を実施します。
  • 重要システムへのアクセスには、多要素認証(MFA)を採用します。
  • 定期的なパスワード変更・アクセス権限の棚卸しを実施します。

■ ネットワークセキュリティ

  • ファイアウォール・不正侵入検知システム(IDS/IPS)を導入し、外部からの不正アクセスを防止します。
  • 通信データはTLS/SSL等の暗号化プロトコルにより保護します。
  • 社内ネットワークと外部ネットワークを適切にセグメント分離します。

■ マルウェア対策

  • すべての業務用端末にウイルス対策ソフトウェアを導入し、定義ファイルを最新の状態に維持します。
  • OSおよびソフトウェアのセキュリティパッチを速やかに適用します。

■ データバックアップ

  • 重要なデータは定期的にバックアップを取得し、安全な場所に保管します。
  • バックアップデータの復旧可能性を定期的に検証します。

■ ログ管理・監視

  • システムへのアクセスログ・操作ログを適切に記録・保管します。
  • 不審なアクセス・操作を検知するための監視体制を整備します。

第7条(人的セキュリティ対策)

  1. 当社は、全従業員に対して情報セキュリティに関する教育・訓練を定期的に実施します。
  2. 雇用・業務委託契約時に、機密保持・情報セキュリティに関する誓約を取得します。
  3. 退職・契約終了時には、情報資産の返却・アクセス権限の即時失効等の措置を講じます。
  4. 情報セキュリティポリシー違反者に対しては、就業規則・契約に基づく適切な措置を講じます。
  5. フィッシングメール・ソーシャルエンジニアリング等に対する意識向上訓練を定期的に実施します。

第8条(情報セキュリティインシデントへの対応)

  1. 情報セキュリティインシデント(個人情報漏洩・不正アクセス・システム障害等)が発生または疑われる場合、 従業員は速やかに情報セキュリティ責任者へ報告します。
  2. 当社は、インシデント対応手順を定め、以下を迅速に実施します。
    • 被害の拡大防止措置(被害システムの隔離等)
    • 原因の調査・特定
    • 影響を受けた当事者への通知(必要な場合)
    • 関係当局(個人情報保護委員会等)への報告(法令上の義務がある場合)
    • 再発防止策の策定・実施
  3. 個人情報の漏洩等が発生した場合は、個人情報保護法第26条に基づく報告・通知を速やかに行います。
  4. インシデントの記録を保存し、その教訓を今後のセキュリティ対策に反映します。

セキュリティインシデント・不審な接触等を発見された場合の緊急連絡先:
メール:apotopul.info@gmail.com (件名:「セキュリティインシデント報告」と明記)
電話:070-5620-1323

第9条(監査・見直し)

  1. 当社は、情報セキュリティ対策の有効性を確認するため、定期的に内部監査を実施します。
  2. 監査結果は情報セキュリティ責任者に報告され、必要に応じて改善策を策定・実施します。
  3. 本情報セキュリティ方針は、法令の改正・技術の進歩・事業環境の変化等に応じて定期的に見直します。
  4. 大規模なインシデント発生時・重大なリスク変化時には、臨時の見直しを行います。

第10条(サプライチェーンセキュリティ)

  1. 当社は、業務委託先・クラウドサービス事業者等のサプライチェーンにおけるセキュリティリスクも 情報セキュリティ管理の対象として認識します。
  2. 業務委託契約において、情報セキュリティに関する要件を定め、委託先の遵守を求めます。
  3. クラウドサービス等の外部サービス選定にあたっては、セキュリティ要件への適合性を評価します。

株式会社アポトプル
代表取締役 吉本 淳
制定:2024年4月1日