当社は、システムの企画・提供を通して、お客様よりお預かりした機密情報、個人情報を取り扱う企業として、情報セキュリティの重要性を十分に認識し、これらの情報を万が一漏えい、紛失等の発生をさせた場合は、当社の事業に大きく影響することを意識し、法令等の要求事項を遵守するとともに、情報資産を適切に保護することが極めて重要と考えております。
当社は従業員が自覚的にこれら情報の保護に向き合います。また業務の効率上、その業務の一部を外部委託することもありますが、これら委託業者の安全管理・監督も社内保護体制同様に取り組みます。
さらには、業務を遂行する上において、お客様の契約に含まれた要求事項だけでなく個人情報の取扱い、データ処理の取扱い等に関連する法的要求事項、業界の規制要求事項等への対応についても事業を継続する上で順守すべき重要事項であります。
当社はこれらのことを踏まえ、『お客様からお預かりした機密情報及び個人情報に関する情報資産の保護』を「情報セキュリティ目的」として、ISMSを組織的に確立し、運用、監視、レビュー、維持及び経営環境の変動等を認識しながら、ISMSの継続的な改善を行ってまいります。
以下には当社がISO/IEC27001による情報セキュリティマネジメントシステムを維持、運用及び改善を実施するに当たっての基本的な考え方を示します。
1.体制
認証部門の情報セキュリティマネジメントシステムを統括する情報セキュリティ責任者を定め、情報セキュリティの安全管理を図り、情報セキュリティマネジメントシステムを維持する体制とします。
2.法令等に対する順守
法令の順守は勿論のこと、国、業界、及び地域の共同体等の定める規則に対しても順守いたします。また、契約上の義務を確実に履行し、契約者との信頼関係の構築を維持してゆきます。
3.リスクアセスメント
個⼈情報、機密情報などの情報の資産保護におきましては、その資産を脅かす脅威、脅威が付け込む弱点を⼗分認識した上で、適切なリスクアセスメントを実施し、守るべき資産に対する安全管理の仕組みを維持・運営します。その前提として、保護すべき個⼈情報や機密情報の資産管理を明確に定め、維持管理します。
4.従業員の教育・訓練、及び認識活動
リスク分析の結果導き出された安全管理は当社の情報セキュリティ管理規程として従業員が順守し、運営します。この情報セキュリティ管理規程を従業員が順守するために必要な情報セキュリティ管理規程に関連する認識活動としての場を定期的に実施します。また、専門的な情報セキュリティの力量が要求される従業員に対しては適切な教育・訓練を実施いたします。
5.情報セキュリティインシデント(事件・事故)への対応
当社は、設備・技術・制度などの各側面からバランスよく情報セキュリティ保護対策を講じ、 情報セキュリティ上の問題に対して発生の予防を図り、万一の問題発生に対しては迅速に対応します。
6.見直しと改善
当社は上記情報セキュリティマネジメントシステムの運用状況を定期的に内部監査し、その結果と関連情報を定期的に見直すことで、情報セキュリティマネジメントシステムの継続的改善を図ってゆきます。
2023年1月10日
株式会社グッドライフ
前田尚