Security Policy
情報セキュリティ方針
情報セキュリティ保護方針
情報セキュリティ保護方針
株式会社アクト(以下、当社という)は、情報セキュリティに対する高い意識を持つことがソフトウェアサービス企業の重要な責務と認識し、全従業員が情報セキュリティに関する法令・規範を遵守し、下記方針に従い情報セキュリティに関するマネジメントシステムを着実に実行してまいります。
- 全ての情報資産の取扱いに際して、関係法令、規範(ガイドライン等)や契約事項を遵守し、適正な利用と管理を励行します。
- 情報セキュリティ管理を組織的に実行し、継続的な改善により堅牢なものにするため、「情報セキュリティ推進責任者」を選任すると共に「情報セキュリティ委員会」を組織します。また、情報セキュリティに関する規程、マニュアル、手順等を定め、全従業員に周知徹底します。
- 不正アクセスやコンピュータウィルスの感染の脅威等から情報資産を守るため、合理的な安全対策を講じ、事業継続に貢献します。
- 情報資産に対する脅威と脆弱性を識別し、判明したリスクを正当な基準を用いてリスク対応を評価する仕組みを確立し、定期的な見直しを実施します。
- 情報資産のセキュリティ対策の推進にあたっては、これらの重要性を深く認識し、経営資源の確保や割り当ての優先度を十分考慮すると共に、全従業員への周知、遵守、改善に必要な教育や普及活動を継続的に行います。
- 内部監査を定期的に行い、遵守状況を評価、改善すると共に、予防・是正処置等による実効性と信頼性向上を図ります。
- 当社は、情報セキュリティ事故の発生予防に努めるとともに、事故が発生した場合には、再発防止策を含む適切な対策を速やかに講じます。
- 法令、関係規則等に違反する行為があった場合は、就業規則に基づき対処します。
2010年7月1日
株式会社アクト
代表取締役 亀井 宏
情報セキュリティ個別方針
モバイル機器の方針
- モバイル機器について、原則、許可されている場所でのみ使用します。公共の場所、その他保護されていない場所で用いる場合には、周囲からの盗視に気を付けます。また、移動時には肌身離さず持ち歩き、盗視や盗難、紛失に注意を払います。
- モバイル機器に保管され、処理される情報について、認可されていないアクセス又は漏えいを 防止するため、例えば、機器に対するセキュリティロック等の暗号技術の使用、アクセス時パスワード等の秘密認証情報の管理および使用など、保護対策を実施します。
- モバイル機器の盗難又は紛失時に備え、法規制及びセキュリティ要求事項を考慮した、情報セキュリティインシデント対応手順を確立します。
- モバイル機器に重要度の高い、取扱いに慎重を要する又は影響の大きい業務情報が入っている場合は無人の状態で放置せず、可能な場合には、物理的に施錠するか、又はモバイル機器のセキュリティを確保するために特別な錠を用います。
- モバイル機器を用いる要員に対する教育を計画し、実施します。
テレワーキング方針
- テレワークでは、個人所有の装置は原則使用を禁止します。なお、個人所有の装置を使用する場合には、情報を装置内で処理及び保管できないようにする仮想デスクトップへのアクセスを提供します。
- テレワークに使用する装置にはウィルス対策ソフト等をインストールし、必ずマルウェア対策を実施します。
- テレワークに使用する無線ネットワークサービスの設定について、無線LANにはWPA2以上の強度の暗号化を設定します。
- 住環境を共有する者によるアクセスの脅威を考慮し、物理的セキュリティやクリアスクリーン等、可能な限り対策を施します。
アクセス制御方針
- 業務で利用するアプリケーション及び業務で利用する場所は、アクセス制御が可能かどうかをはじめとしたセキュリティを考慮し、精査したものを利用します。
- 情報資産の必要性を考慮し、また、法令を含む要求事項に沿った形で、必要な人が必要に応じて情報資産にアクセスできるよう管理と制御を実施します。
- 情報資産については管理と制御の状態について定期的に見直しを実施したうえで、組織変更、入社、退社、異動を考慮したアクセス権の追加、削除を迅速に実施します。
- アクセス制御における役割及び責任を定め、特権を含む管理者と利用者で分離し、管理体制を整備します。
- アクセス制御に関する記録を作成し、保持します。
暗号による管理策の方針
- 業務で利用する通信は暗号化されたものを利用します。
- 業務で利用するアプリケーションは、暗号による管理が可能かどうかをはじめとしたセキュリティを考慮し、精査したものを利用します。
- 電子媒体で機密情報を送信する際には、受信までの経路を精査し、暗号化を施します。
- 電子媒体での情報資産の持ち出し時には、紛失等のリスクを考慮し、暗号化を施します。
- 業務で利用する取り外し可能な記憶媒体は、暗号化を施します。
- 媒体を問わず、必要に応じて情報のマスキングを実施し、情報資産を暗号化します。
- 情報資産に対してリスクアセスメントを実施し、強度及び品質を考慮に入れた保護水準を定め、適用します。
- 暗号による管理策の方針を遵守するための役割及び責任を定め、管理体制を整備します。
- 暗号化した情報を用いることで懸念される、情報内容の検査(例えば、マルウェアの検出)に依存する管理策への影響を最小限とするために、情報セキュリティ教育を実施します。
クリアデスク・クリアスクリーン方針
- 取扱いに慎重を要する業務情報又は重要な業務情報(例えば、紙又は電子記憶媒体上の業務情報)は、必要のない場合、特にオフィスに誰もいないときには、施錠して保管します。
- PC及び端末は、離席時には、ログオフ状態にしておくか、又はパスワード、トークン若しくは類似の利用者認証機能で管理されたスクリーン及びキーボードのロック機能によって保護します。また、利用しないときは、施錠、パスワード又は他の管理策によって保護します。
- コピー機及びその他の再生技術(例えば、スキャナ、ディジタルカメラ)の認可されていない利用は、防止します。
- 取扱いに慎重を要する情報又は機密情報を含む媒体は、プリンタから直ちに取り出します。
情報のバックアップ方針
- 災害や媒体故障などの障害発生の後に、全ての重要な情報及びソフトウェアの回復を確実にするために、適切にバックアップを取得します。
- バックアップデータは、主事業所の災害等による被害から免れるために、十分離れた場所に保管します。
- データバックアップはバックアップ範囲・頻度・保管期間・タイミング・手順など、事業上の要求事項を考慮し決定します。
- バックアップデータは、機密情報が含まれる為、他の機密情報同様に厳重に管理・保管します。
- データの復旧に関しては、必要な資源を明確にし、手順を整備します。
- バックアップの完全性を確保するために、バックアップ処理が正常に行われているか、定期的に確認します。
情報転送の方針
- 業務で使用するメール、ストレージ等データの持ち出しが可能な全てのサービス、メッセンジャーツール及び情報共有サービスは許可されたもののみを利用します。
- 不明な送信元や不審な添付ファイル付きの電子メールを安易に開かないことでマルウェアから保護します。
- 電子メールは業務目的でのみ使用し、機密情報を電子メールの添付ファイルで送信する場合は、暗号化を行います。
供給者関係のための情報セキュリティ方針
- 業務を外部委託する場合及び第三者が提供するサービスを利用する場合には、委託先の適切な選定を行います。
- 供給者など外部の関係者が当社の情報資産を利用したり、アクセスしたりする場合には、当社の情報セキュリティ方針に従うことに合意し、機密保持に関する契約を締結します。
- 供給者に対して合意内容の監視及びレビューを適時実施し、必要に応じて見直します。
2022年11月21日
株式会社アクト
代表取締役 亀井 宏