株式会社グッドサイクルシステム(以下、当社)は、当社とユーザー、そしてユーザーとそのお客さまとの間で、社名の由来である「グッドサイクル=好循環」を実現していくことが当社の目標であります。
当社は、ユーザー、そのお客様の情報をはじめ、保有する情報資産の漏えいや、改ざん等の脅威から保護し、リスクを最小限に抑え安全に運用することが極めて重要な責務と考えております。
そのためには、技術的、物理的なセキュリティの確保はもちろん、従業者がセキュリティに対し高い意識を持ち、行動をすることが重要だと考えます。
この考えのもと情報セキュリティ方針を定め、以下に記します。
1.ISMSの確立
当社は、取引先の要求、社会的な要請並びに当社の事業方針を鑑み、ISMS推進のための組織の確立、当社の事業に関連する情報セキュリティ管理策の策定を行い、ISMSを確立するものとする。
2.取引先の要求
当社は、当社の事業に関連する取引先の期待に応えるため、取引先からお預かりしている情報について、責任者の管理のもと、定められた規程並びに手順に従い、情報を取り扱い、取引先との情報セキュリティに関するご契約を遵守することにより、これらの情報の安全管理を確実に行うとともに、取引先向けのサービスの継続的提供に努めるものとする。
3.社会的要請
当社は、個人情報保護法、不正競争防止法等、情報セキュリティに関する法令、規制、また、医療情報を取り扱う事業者として遵守すべきガイドライン、その他の規範を遵守するものとする。
4.事業上の要求
当社は、当社の事業目標を達成し、取引先満足度向上のため、情報セキュリティ管理策を策定し、情報セキュリティ基盤を構築するものとする。
- ISMS目標
当社は、毎年ISMS目標を設定し、情報セキュリティ基盤の確立及び継続的改善を行うものとする。 - 情報セキュリティ管理体制
当社は、情報セキュリティを確保・維持するためのマネジメントシステムであるISMSを確立し、維持するため、及びリスクマネジメントのために以下の体制を構築するものとする。
■ISMS事務局の設置
当社は、ISMSの有効性と適切性に関する事項の審議が行われる場として、事業部門の責任者をメンバーとするISMS委員会を設置する。
■ISMS事務局長の設置
当社は、ISMSを統括する最高責任者として、ISMS事務局長を設置する。
■情報セキュリティに関する権限と責任の明確化
当社は、文書化された規程により、情報セキュリティに関する権限と責任を明確にする。
■情報セキュリティの監査
当社は、基本方針及び定められた情報セキュリティ管理策が遵守されていることを検証するため、定期的に独立した監査を実施する。 - リスクアセスメントの実施
当社は、当社が保有する情報資産に対する適切なリスクコントロールを行うため、リスクを評価するための基準を明確にし、体系的なリスクアセスメントを実施するものとする。
リスクアセスメントの結果に基づき適切な情報セキュリティ管理策を策定するものとする。 - 情報セキュリティ管理策の実施
当社は、情報資産を漏洩・改ざん・紛失等の脅威から保護するため、リスクアセスメントの結果に基づき、適切な管理策を実施するものとする。
■物理的セキュリティ対策
・情報資産を利用・保管するあるいは情報システムを設置する施設への不正な立入り防止
・情報資産の損傷を防ぐための物理的な対策 他
■人的セキュリティ対策
・情報セキュリティ対策に関する権限及び責任の明確化
・すべての社員に対する基本方針及び情報セキュリティ管理策に関する定期的教育の実施
・部門責任者による具体的情報セキュリティ関連手順の周知徹底
■論理的セキュリティ対策
・情報資産に対するアクセスコントロールの徹底
・情報資産に対するネットワークを介した外部からの不正アクセスの防止
・コンピュータウィルス等の不正ソフトウェア等からの適切な保護対策の実施
・ネットワーク管理等に関する技術面の対策
・ネットワークの監視及び基本方針の遵守状況の確認等に関する運用面の対策を講ずる
■その他対策
・外部委託業者の情報セキュリティ面での管理
・外部組織との連携 - 情報セキュリティ事件・事故発生の予防並びに是正
当社は、万一情報セキュリティ事件・事故や違反が発生した場合には、被害や損害を最小限にくい止めるための体制を構築し、速やかに適切な是正処置を講じ、再発防止に努めるものとする。 - 事業継続管理の実施
当社は、重大な障害または災害に起因する情報資産への影響を最小限にし、当社の事業活動の中断に対処するとともに、事業継続管理のための枠組みを確立し、事業継続計画を作成、維持、試験するものとする。
5.基本方針の見直し
当社は、監査の結果及び当社の外部環境の変化を踏まえ、基本方針の見直しを適時実施する。
6.情報セキュリティ行動規範
当社の役員及び社員は、下記の行動規範を遵守すること。
- 情報資産のセキュリティ対策に万全を期し、情報の漏えい、改ざん等の未然防止の徹底に努めます。
- 役員、および従業者に対し情報セキュリティ方針の周知徹底に努め、情報セキュリティに関する教育を定期的に実施します。
- 情報セキュリティに関する法令、その他ガイドラインを常に遵守いたします。
制定日:2014年7月1日
株式会社グッドサイクルシステム
代表取締役社長 遠藤 朝朗