情報セキュリティ方針

進工合同会社(以下「当社」といいます)は、EC販売管理システム「XlX」(以下「本サービス」といいます)の提供にあたり、お客様からお預かりする情報資産の重要性を深く認識し、情報セキュリティの確保を経営の重要課題と位置づけ、以下の情報セキュリティ方針を定め、これを実行し、維持してまいります。

1. 情報セキュリティ基本方針

当社は、お客様の大切な情報資産を様々な脅威から保護し、安全かつ安心してご利用いただけるサービスを提供することを最優先の使命とします。そのため、組織的、人的、物理的、技術的な安全管理措置を講じ、情報資産の機密性、完全性、可用性を確保します。

2. 法令・規範の遵守

当社は、情報セキュリティに関する法令、国が定める指針、その他の規範を遵守し、お客様との契約事項を誠実に履行します。具体的には以下の法令等を遵守します。

  • 個人情報の保護に関する法律(個人情報保護法)
  • 不正アクセス行為の禁止等に関する法律
  • 電子署名及び認証業務に関する法律
  • 特定商取引に関する法律
  • その他情報セキュリティに関連する法令・ガイドライン

3. 情報セキュリティ管理体制

組織体制

当社は、情報セキュリティを統括する責任者として情報セキュリティ管理責任者を任命し、全社的な情報セキュリティマネジメント体制を構築します。

  • 情報セキュリティ管理責任者:代表社員が任命
  • 各部門における情報セキュリティ責任者の配置
  • 定期的な情報セキュリティ委員会の開催
  • インシデント対応チームの設置

管理策の実施

当社は、以下の管理策を実施し、継続的な改善を図ります。

  • 情報セキュリティポリシーおよび関連規程の策定・運用
  • リスクアセスメントの定期実施
  • 情報セキュリティ監査の定期実施
  • PDCAサイクルに基づく継続的改善活動

4. 技術的セキュリティ対策

システムセキュリティ

当社は、本サービスの提供にあたり、以下の技術的セキュリティ対策を実施します。

アクセス制御

  • ユーザー認証機能の実装(ID・パスワード認証)
  • アクセス権限の適切な管理と定期的な見直し
  • 多要素認証の推奨および提供
  • 不正アクセス検知システムの導入

データ保護

  • 通信経路の暗号化(SSL/TLS)
  • データベースの暗号化
  • パスワードの暗号化保存(ハッシュ化)
  • 定期的なバックアップの実施と安全な保管

脆弱性管理

  • システムおよびソフトウェアの定期的な更新
  • 脆弱性診断の定期実施
  • セキュリティパッチの迅速な適用
  • 脆弱性情報の継続的な収集と分析

マルウェア対策

  • ウイルス対策ソフトの導入と定期更新
  • ファイアウォールの適切な設定と運用
  • 不正プログラムの検知・防御システムの導入

5. 物理的セキュリティ対策

当社は、情報資産を物理的な脅威から保護するため、以下の対策を実施します。

  • サーバー室への入退室管理の徹底
  • セキュリティカードによるアクセス制限
  • 監視カメラの設置と記録の保管
  • 火災・地震等の災害対策の実施
  • 重要機器の電源確保(UPS等の導入)
  • 施設の定期的な安全点検

6. 人的セキュリティ対策

従業員教育

当社は、全従業員に対して情報セキュリティの重要性を理解させ、適切な行動を徹底させるため、以下の教育・訓練を実施します。

  • 新入社員に対する情報セキュリティ研修の実施
  • 全従業員を対象とした定期的な情報セキュリティ教育
  • 標的型攻撃メール訓練の実施
  • 最新のセキュリティ脅威に関する情報共有
  • 情報セキュリティに関する誓約書の取得

従業員管理

  • 雇用契約における秘密保持条項の締結
  • 退職時の情報資産返却と守秘義務の確認
  • 職務分離と相互チェック体制の構築
  • 内部不正防止のための監視・監査

7. インシデント対応

当社は、情報セキュリティインシデントの発生に備え、以下の体制と手順を整備します。

インシデント対応体制

  • インシデント対応チーム(CSIRT)の設置
  • インシデント報告・対応手順の策定
  • 24時間365日の監視体制の構築
  • 緊急連絡網の整備

インシデント発生時の対応

  1. インシデントの検知・報告
  2. 被害状況の調査・分析
  3. 初期対応・封じ込め措置の実施
  4. 影響範囲の特定と被害拡大防止
  5. お客様への迅速な情報提供
  6. 原因究明と再発防止策の策定
  7. 関係当局への報告(必要に応じて)
  8. 事後検証とセキュリティ対策の見直し

8. 委託先管理

当社は、業務の一部を外部に委託する場合、委託先における情報セキュリティが適切に確保されるよう、以下の管理を実施します。

  • 委託先選定時のセキュリティ評価の実施
  • 委託契約における秘密保持条項の締結
  • 委託先のセキュリティ管理状況の定期監査
  • 委託業務における情報の取扱いルールの明確化
  • 再委託に関する事前承認制度の運用

9. 事業継続管理

当社は、災害やシステム障害等の緊急事態においても、事業を継続し、または速やかに復旧できるよう、以下の対策を講じます。

バックアップとリカバリ

  • 重要データの定期的なバックアップ実施
  • バックアップデータの遠隔地保管
  • システムの冗長化構成
  • 定期的なリカバリテストの実施

事業継続計画(BCP)

  • 事業継続計画(BCP)の策定
  • 災害対策マニュアルの整備
  • 緊急時の連絡体制の確立
  • 定期的な訓練と計画の見直し

10. 継続的改善

当社は、情報セキュリティマネジメントシステムの有効性を継続的に改善するため、以下の活動を実施します。

  • 情報セキュリティ目標の設定と達成状況の評価
  • 内部監査の定期実施
  • マネジメントレビューの実施
  • 情報セキュリティ方針および関連規程の定期見直し
  • 最新の脅威動向と対策技術の調査・導入
  • お客様からのフィードバックの収集と反映

11. お客様へのお願い

お客様におかれましても、以下の点にご留意いただき、情報セキュリティの確保にご協力をお願いいたします。

  • パスワードは第三者に知られないよう厳重に管理してください
  • パスワードは定期的に変更してください
  • 推測されやすいパスワード(誕生日、電話番号等)の使用は避けてください
  • 同じパスワードを複数のサービスで使い回さないでください
  • 共用のパソコンをご利用の際は、利用後に必ずログアウトしてください
  • 不審なメールやウェブサイトには十分ご注意ください
  • OSやブラウザは常に最新の状態に保ってください
  • セキュリティソフトを導入し、定義ファイルを最新に保ってください

12. お問い合わせ

情報セキュリティに関するお問い合わせは、以下の窓口までお願いいたします。

事業者名 進工合同会社
情報セキュリティ管理責任者 佐藤 進哉
所在地 〒520-3015
滋賀県栗東市辻335-2 グランツ辻202号室
メールアドレス shinkouinfo.gg@gmail.com
電話番号 090-8140-1909
対応時間 10:00~18:00(土日祝日を除く)

制定日:2024年11月4日

トップページに戻る