情報セキュリティ方針

情報セキュリティ方針

弊社は、情報セキュリティの国際規格であるISO/IEC27001（通称ISMS）を2007年7月に取得し、下記に掲げる「情報セキュリティ方針」に従い、情報セキュリティを実施しております。

1. 目的

この文書は、当社の情報セキュリティマネジメントシステム（以下、ISMS）を構築するにあたっての基本的な方針を明らかにしたものです。今後この文書を情報セキュリティの拠り所として位置づけます。

2. 企業理念

• 私たちはお客様の信頼に応える企業を目指します。
• 私たちは発展する精神を持ち続けます。
• 私たちは適正な利益の確保、健全な経営を続けます。

3. 方針

全社員は組織が保有している全ての情報（個人情報を含む）を情報資産として考え、その安全性及び信頼性の確保に万全を期し、社会的な要請と信頼に応えるとともに、継続的・安定的な事業活動に資する為、情報セキュリティ方針を定め情報資産の適切な管理・運用に努めます。

4. 情報セキュリティの定義

情報セキュリティとは、情報資産の機密性・完全性・可用性を維持することであり、機密性・完全性・可用性とは次のような意味を持ちます。

機密性：認可されていない個人、組織、またはプロセスに対して、情報を使用不可または非公開にする特性
完全性：資産の正確さ及び完全さを保護する特性
可用性：認可された個人・組織が要求したときに、アクセス及び使用が可能である特性

5. 情報セキュリティの目的

1. 当社と顧客との取引において当社の完全性を維持するために、この基本方針の定期的運用を実施し、改善余地（脆弱性）のあるものに対し改善し完全性を実証します。
2. すべての役員及び社員に対し情報セキュリティの重要性と意識の向上を図ります。
3. 下記の要求事項を確実に遵守します。
   1. 当社が保有する情報資産を認可されていない個人、組織またはプロセスに対して保護すること
   2. 当社が保有する情報資産を認可されていない個人、組織またはプロセスに対して故意又は不注意な行為を通して開示されないこと
   3. 認可されていない個人、組織またはプロセスに対する修正から、保護した情報資産の完全性を保つこと
   4. 当社が保有する情報資産の機密性を維持すること
   5. 許可された利用者が必要なときに情報を利用（可用性の確保）できるようにすること
   6. 法規制上ならびに契約上の要求事項を遵守すること
   7. 事業継続計画を策定・維持し、実行可能な限りレビューすること
   8. 情報セキュリティ教育・訓練を全ての役員及び社員に対して定期的に実施すること
   9. 情報セキュリティの違反とその疑いのある弱点がすべて報告され調査されること

6．適用範囲

本方針は、国内のDCFグループの大阪本社、東京オフィス、大阪南オフィス各社の役員を含む全社員（パート・アルバイトを含む）及び各オフィスの物理的あるいは環境的な施設・設備並びに全ての業務活動に係る情報（個人情報を含む）に適用する。

7．組織の責任と義務

すべての役員及び社員は、本情報セキュリティ方針を維持するために策定された手順に従い、下記要求を守ります。

1. すべての役員及び社員は、機密保持契約などの契約上及び業務上のセキュリティ義務を遵守すること
2. すべての役員及び社員は、ISMSで規定された規則を遵守すること
3. すべての役員及び社員は、法規則ならびに契約事項を遵守すること
4. すべての役員及び社員は、事故及び特定された弱点を報告すること

8．運用方法

1. 全社的にISMSの推進を図るため、ISO委員会を設置し、各部門から担当者を任命する。担当者は各部門におけるISMSの推進に努めます。
2. ISO委員会は組織全体における事業戦略及び目的を考慮して、保有する情報資産の重要性・脅威・脆弱性を管理するため、適切なリスクアセスメントを通して情報資産におけるリスクを特定します。
3. 特定したリスクに対して適切な管理策を講じ、組織に内在するすべてのリスクを定められた受容水準以下に軽減し維持します。
4. 方針の運用は運用手順に従い、定期的に内部監査を行い方針が遵守されているか確認します。
5. 各部門は年度毎に情報セキュリティ目標を設定し、達成度を評価する。

9．見直し

1. 経営陣は、この方針を作成し、レビューを行う。また、ISMSが引き続き適切であり、有効であることを確実にするためISMSをレビューします。
2. 適用範囲の変更、法令・契約等の外部環境の変化等により更改の必要性を判断した場合、規程ならびに手順書の見直しを行います。
3. レビューが行われた方針／規程／手順書に対し、妥当性を判断します。