当社は、お客様や取引先からの信頼を維持し、事業を継続的に発展させるために、「情報セキュリティ基本方針」を制定し、施行しております。 1. 目的 当社は、ITやクラウドサービスの急速な進展と共に、情報資産へのリスクも高度化・多様化している現代において、お客様及び取引先からの信頼を維持し、事業継続を実現するため、情報セキュリティの確保を企業の社会的責務と捉えています。 本方針は、当社が保有する全ての情報資産を保護するための基本的な取り組みを明示し、ISMS（情報セキュリティマネジメントシステム）の根幹をなす指針として位置づけます。 ________________________________________ 2. 情報セキュリティの定義 情報セキュリティとは、情報資産の以下の3要素を確保することを意味します： • 機密性：許可された者のみが情報にアクセスできる状態を保つこと • 完全性：情報が正確かつ完全であること • 可用性：必要なときに情報が利用可能な状態であること ________________________________________ 3. 適用範囲 本方針は、当社のすべての役員・従業員・契約社員・パートナー会社社員（以下「全従業者」）に適用し、当社が保有・管理する情報資産すべてに対して適用されます。詳細な業務・組織・拠点・情報資産の範囲については、別途定める「ISMS適用範囲文書」に従います。 ________________________________________ 4. 情報セキュリティの目標 1. 情報セキュリティインシデントの発生ゼロを目指す 2. 万一発生した場合には、速やかな対応により被害の最小化と再発防止を図る 3. 年度ごとのISMS年間計画に従い、継続的に改善と維持を行う ________________________________________ 5. 情報セキュリティ基本原則 当社は以下の原則に基づき、ISMSを構築・運用・改善します。 1. アクセス制限の原則：情報資産へのアクセスは業務上必要な最小限の権限に限定し、不正アクセスのリスクを最小化します。 2. 情報資産の管理と分類：情報資産は重要度（機密性・完全性・可用性）に応じて分類し、適切な保護措置を講じます。 3. リスクアセスメントと対策の実施：重要な情報資産に対して定期的にリスク評価を行い、脅威に応じた管理策を実施します。 4. セキュリティインシデントへの対応：発生した情報セキュリティインシデントには速やかに対応し、影響の最小化と再発防止を図ります。 5. 事業継続計画（BCP）の整備：自然災害やシステム障害など非常時に備え、主要業務の継続を可能とする計画を整備・維持します。 6. 教育・訓練の実施と記録管理：全従業者を対象に職務に応じたセキュリティ教育を実施し、理解度と実効性を記録・確認します。 7. 法律・契約上の要求事項の遵守：個人情報保護法や労働法など、関係法令や顧客との契約条件を順守します。 8. 定期的な内部監査と経営レビュー：ISMSの有効性を維持するため、内部監査および経営層によるレビューを定期的に実施します。 9. 情報セキュリティ文書体系の整備：方針、手順書、マニュアル類を体系的に整備・管理し、変更時の統制も含めた運用を行います。 10. 継続的改善（PDCAサイクルの実践）：計画（Plan）・実行（Do）・評価（Check）・改善（Act）のサイクルにより、セキュリティ体制を継続的に向上させます。 11. 可用性の確保の原則：当社は、情報資産が必要なときに確実に利用できる状態を保つため、システムや設備、クラウド基盤の可用性を重視し、事業継続性を支える管理策を講じます。 ________________________________________ 6. 周知と教育 本方針は全従業者に周知され、定期的に見直しを行うとともに、職務に応じた情報セキュリティ教育を実施し、意識の定着を図ります。 ________________________________________ 7. 罰則 本方針及び関連する規程に違反した場合、就業規則その他社内規程に基づき、懲戒処分の対象となることがあります。 ________________________________________ 8. 見直し 本方針は毎年見直しを実施し、必要に応じて更新します。また、法令変更や組織体制変更等があった場合にも速やかに改訂を行います。 ________________________________________ 9. 附則 本基本方針は、2025年6月13日より施行します。 グラウド株式会社 代表取締役　白石浩之