情報セキュリティ基本方針
SKY SOCIAL株式会社(以下「当社」)は、地方を中心に地域企業・団体のデジタル化・DX支援に取り組む企業として、お客様からお預かりする機密情報、個人情報等の情報資産および当社の保有する各種情報資産を、サイバー攻撃、不正アクセス、情報漏洩、改ざん、サービス停止、事故、災害、犯罪などのあらゆる脅威から守ることを、企業活動の基盤であり、DX推進を支える不可欠な要素として、重要な社会的責任と捉えています。
当社は、情報セキュリティの確保を経営の最重要課題のひとつに位置づけ、経営者の強いリーダーシップのもと、以下の方針に基づき全社的かつ継続的な情報セキュリティの維持・改善に取り組みます。
経営者の責任
当社は、情報セキュリティの確保に関する最終的な責任は代表取締役が負い、経営者主導で情報セキュリティマネジメント体制の構築、必要な経営資源の配分、および全社的な取り組みを強力に推進します。
情報セキュリティ体制の整備
当社は、情報セキュリティを組織的かつ継続的に推進するため、**情報セキュリティ責任者(ISMS担当を兼務)**を明確に定め、情報セキュリティに関する活動を統括します。情報セキュリティ責任者は、情報の取扱いに関する社内ルール、規程、手順等を整備し、業務フローに即したセキュリティ対策の運用を管理します。DX推進本部とも密に連携し、DXに伴う新たなセキュリティリスクへの対応を行います。 セキュリティインシデント発生時には、情報セキュリティ責任者を中心とした緊急時対応チームが対応にあたります。
従業員の理解と実践
当社の役職員および業務委託者は、情報セキュリティに関する基本的な知識に加え、担当業務に必要な専門知識・スキルを習得するための教育・訓練を継続的に受けます。日々の業務においては、情報セキュリティに関する社内ルールを厳格に遵守し、その実践を徹底します。年1回以上の全従業員向けセキュリティ教育・啓発活動、および標的型攻撃メール訓練等を実施し、情報漏洩やサイバーリスクへの対応力、セキュリティ意識の向上を図ります。
法令・契約上の義務の遵守
当社は、事業活動に関わる個人情報保護法、電子帳簿保存法、不正競争防止法、著作権法、労働関連法令等の関連法規およびお客様・委託元との契約上の情報管理義務を確実に遵守します。
情報資産の保護
当社は、事業継続およびお客様からの信頼維持のために、情報資産の機密性、完全性、可用性を確保することを目的として、以下の管理観点に基づき、適切な物理的、技術的、組織的な管理策を実施します。
情報セキュリティインシデントへの対応
情報漏洩、改ざん、不正アクセス、サービス停止などのセキュリティインシデントが発生した場合には、被害の拡大を最小限に抑えるため、速やかに事実確認、原因分析、影響範囲の特定、関係者(お客様、当局含む)への適切な通知を実施します。インシデント対応チームが中心となり、復旧活動を行うとともに、原因の根本的な分析を行い、再発防止のための対策を確実に講じます。
外部委託・クラウド利用の安全確保
当社は、業務の一部を外部委託またはクラウド環境を利用する場合、委託先のセキュリティ対策状況を事前に評価し、当社のセキュリティ基準と同等以上の水準が確保されていることを確認します。 また、契約において情報管理に関する義務および秘密保持義務を明確に定め、定期的な委託先管理を行います。開発プロセスにおいても、外部委託先との連携におけるセキュリティチェックを徹底します。
監査と継続的改善
情報セキュリティ対策の実効性を客観的に評価するため、年1回以上の内部セキュリティ監査を実施します。また、必要に応じて外部の専門機関による脆弱性診断やセキュリティ評価を実施し、客観的な視点での対策状況の確認を行います。これらの監査結果や、情報セキュリティインシデント対応で得られた教訓を踏まえ、社会環境、技術環境、および当社の事業内容の変化に合わせて、情報セキュリティ管理の内容は定期的に見直し、継続的な改善を図ることを宣言します。 特に、IPAが提供するガイドラインや、経済産業省「デジタルガバナンス・コード」の改訂内容等にも準拠した安全管理の高度化を積極的に進めていきます。
