1. 基本方針
株式会社エリネス(以下「当社」といいます)は、お客様および取引先からお預かりする情報、ならびに当社の業務に関わる情報資産を、当社の事業活動を支える重要な資産と認識しています。当社は、これらの情報資産を適切に保護し、お客様および社会からの信頼に応えるため、情報セキュリティマネジメントシステムを整備・運用し、継続的に改善することを宣言します。
2. 適用範囲
本方針は、当社が取り扱うすべての情報資産、ならびに当社の役員および従業員(正社員、契約社員、派遣社員、アルバイト、業務委託先など、当社の業務に従事するすべての者を含みます)に適用されます。
3. 組織体制
当社は、情報セキュリティに関する責任体制を明確にし、最高責任者の下に情報セキュリティ管理者を設置します。情報セキュリティ管理者は、本方針およびこれに基づく社内規程の整備、運用状況のモニタリング、ならびに改善活動を統括します。
4. 情報資産の管理
当社は、取り扱う情報資産を重要度に応じて分類し、分類区分に応じた適切な取扱基準を定めて運用します。情報資産のライフサイクル全般(取得、利用、保管、移送、廃棄)を通じて、機密性・完全性・可用性を確保します。
5. リスクアセスメントと対策
当社は、定期的に、また必要に応じて随時、情報セキュリティリスクの特定・分析・評価を行い、リスクの大きさに応じた合理的な対策を実施します。重大なリスクについては優先的に対応するとともに、対応状況を継続的にモニタリングします。
6. アクセス制御および技術的対策
当社は、業務上必要な権限のみを付与する最小権限の原則に基づき、情報資産へのアクセス制御を徹底します。あわせて、通信および保存データの暗号化、認証の強化、不正アクセス・マルウェアの監視および検知、脆弱性管理など、必要な技術的対策を継続的に実施します。
7. 教育および訓練
当社は、役員および従業員に対し、入社時および定期的に情報セキュリティに関する教育・訓練を実施し、各人が本方針および関連規程を理解し、適切に行動できるよう努めます。
8. 委託先管理
当社は、業務の一部を外部に委託する場合、委託先の情報セキュリティ水準を事前に評価し、適切な水準を満たす委託先を選定します。委託先との間で必要な契約を締結し、委託期間中も情報セキュリティ管理状況を継続的に監督します。
9. インシデント対応
当社は、情報セキュリティに関するインシデントが発生した場合または発生のおそれがある場合に備え、検知、報告、初動対応、復旧および再発防止までの一連の対応手順を整備します。発生時には、速やかに被害の拡大防止、原因究明および影響を受ける関係者への連絡を行います。
10. 法令・規範の遵守
当社は、情報セキュリティに関する法令、国が定める指針、その他の規範を遵守します。また、お客様との契約上の遵守事項についても、適切に履行します。
11. 事業継続性の確保
当社は、災害、システム障害、サイバー攻撃その他の事象により事業活動が中断するリスクに対して、重要業務の継続性を確保するための対策を講じ、必要な計画を整備・維持します。
12. 継続的改善
当社は、内外の環境変化、技術動向、リスク評価結果および監査結果を踏まえ、本方針および関連規程・運用を継続的に見直し、情報セキュリティの水準を向上させます。