制定:2023年6月1日
●個人情報および特定個人情報等保護への取り組みについて
株式会社エースデザインは、情報漏えいリスクに対し抜本的、かつハイレベルの対策を講じることにより、お客様に安心していただける環境を作り出したいと考え、情報セキュリティ水準の向上を当社の最も重要な施策として位置付けるなど、企業の基本的かつ絶対的な文化とする目的で、その方針を明文化した「情報セキュリティポリシー」を策定致しました。 今後はこの「情報セキュリティポリシー」を遵守し、高度な情報セキュリティ管理体制を維持していくことに努めていきます。
(株式会社エースデザインは、株式会社遠藤写真工芸所(ISO27001取得)の100%親会社であり、同社と情報セキュリティに対する取り組みを共有しております)
● 方針
2.1 目的
当社は情報資産を適切に取り扱うことにより、お客様・取引先様・社員などの情報資産を保護し、 リスクを適切に管理しているという信頼を与えるとともに、企業としての社会的責任を果たすことを目的とします。
2.2 適用範囲
2.2.1 適用対象の業務
①お客様より受託した印刷用原稿による印刷データの作成
②上記に付随して発生する各種ツールの設計、開発、保守
2.2.2 適用対象とする情報資産
当社の滋賀事業所の適用対象業務の製作・設計・開発・保守で扱う全ての情報資産を対象とします。なお、ここでいう情報資産とは、紙媒体に記載された内容、メモリー媒体・光学メディア等の外部記憶媒体やコンピュータ装置内に記録されたデータ、プログラムに具現化されているノウハウ、情報機器、技術者の保有するノウハウ、技術者、開発用施設・什器を含みます。
2.2.3 適用対象とする社員
株式会社遠藤写真工芸所の社員が業務委託を受けて業務を兼務しているため、役員・社員・出向社員・契約社員・派遣社員・パート(以下「臨時社員」)など雇用形態・職位を問わず、当社の本社適用対象業務での就労者全て(以下「役員及び従業員」)に対して適用するものとします。また、本方針の適用対象とする業務の一部または全部を外部に委託する場合には、本方針及び関連するISMS文書に準拠した内容の外部委託契約を締結し、当社の情報資産を取り扱う「業務委託先およびその社員」にも適用します。
2.3 セキュリティ目標
(1)情報セキュリティ事故の発生を予防し、発生を未然に防ぐ
a.重要度に応じて設定された取り扱い条件に従って管理し、不正に暴露されない。(機密性)
b.システムが意図的または偶発的な不正操作によって妨害されること無く、本来の機能を滞りなく実行できる。(システムの完全性)
c.認可されていない方法でデータが改ざんまたは破壊されない。(データの完全性)
d.認可された利用者によって情報資産が要求されたときにアクセスと使用が可能であることを確実にする。(可用性)
(2)万一情報セキュリティ事故が発生した場合には、被害を最小限に抑え、事業継続性を確保する。
(3)ISMS のマネージメントシステムのプロセスを実務に取り入れ、ルールに基づいた標準化を図り、ミス・ロス削減を含めた業務の安定化を目指す。
2.4 セキュリティの維持管理体制
2.4.1 セキュリティ管理責任者の配置
社員の中から社長が任命し、当社の情報セキュリティ対策に関する計画、実行、検証等を統括します。
2.4.2 情報セキュリティ委員会
遠藤写真工芸所の情報セキュリティ委員会に参加し、情報セキュリティに関わる活動を認証及び支援するために、社長を委員長に、セキュリティ管理責任者及び各部門の責任者をメンバーとして任命した「情報セキュリティ委員会」を組織し、月1回の委員会会議を実施します。これにより全社レベルの情報セキュリティの状況を正確に把握し、有効性の維持及び改善を迅速に実施できるよう積極的な活動を行います。
2.5 情報セキュリティに関する規定の整備
2.5.1 内部規程
本方針に基づいた内部規程を整備し、個人情報だけではなく、情報資産全般の取り扱いについて明確な方針を示すとともに、情報漏えい等に対しては、厳しい態度で臨むことを社内外に周知徹底します。
2.5.2リスク管理方針
当社で取り扱う情報資産を不正な取り扱いから保護するため、及び、最適な情報セキュリティ対策の策定のために、情報資産管理台帳を作成し、個々の情報資産に対してリスク分析を実施後、その結果に基づいたセキュリティ対策を決定し、情報資産に対する不正な侵入、漏えい、改ざん、紛失、破壊、利用妨害などが発生しないよう、徹底した対策を反映したシステムを実現していきます。
2.6 事業継続管理
2.7 見直し及び評価
2.8 文書化
3. ISMSに関する基本原則
3.1 社員行動指針
役員及び従業員は機密情報の保護を常に意識し、関連する法規を遵守して行動するものとします。
3.2 機密情報の保護
a.すべての機密情報は、当社にとって重要な情報資産と認識し、機密性のレベルに応じた適切な取り扱いを行います。
b.機密情報は、必要な部署以外に公開・放置しません。これは、退社・契約解除・契約解約時においても、同様とします。
c.無意識・過失・故意による機密情報の漏洩・紛失・破壊・改ざんを防止するための、セキュリティ対策を実施します。
3.3 知的財産の保護
3.4 個人情報の保護
3.5 教育
3.6 義務及び罰則
3.7外部委託先の管理体制強化
<個人情報に関する責任者>
情報セキュリティ管理責任者 柴田 憲一