【目的】
当社は、Webシステム・アプリ受託開発および自社SaaS提供ICT会社として、お客様満足を高め、社会から要請される高い信頼性を実現するために、個人情報を含む全ての情報資産の重要性を認識し、必要な情報セキュリティ・マネジメントシステム(ISMS)と、事故・災害・犯罪などの脅威による情報漏洩防止策を確立します。これにより、法令遵守を基本とした高い企業・職業倫理と、ICT事業者としての高い安全性と信頼性の確保を目指します。その目的の実現のため、情報セキュリティにおける下記事項を遵守いたします。

【行動指針】

1. 当社は、保有する全ての情報資産の「機密性」、「完全性」および「可用性」(CIA)を保護することの重要性を認識し、継続的なリスク評価と技術的に適切な対策を講じることで、日々進歩する情報技術や新たな脅威に対応して情報資産の保護に努めます。
2. 当社は、情報セキュリティに関する目的を設定し、定期的に見直し評価を行い、そして、継続的な改善実施を行うことでその目的の維持に努めます。
3. 当社は、情報セキュリティ・マネジメントシステム(ISMS)の構築、維持および改善を継続させるために、代表取締役を最高責任者（※取締役CTOを準最高責任者）とする情報セキュリティ管理委員会を設置します。同委員会の構成員は、役員および責任と権限を委譲された各部署の長から構成され、情報セキュリティに関する目的、行動指針および実務運営細則を各部署の職員へ通達します。
4. 当社は、全ての役職員に情報セキュリティ対策に関する諸法令、事業上の要求事項および各種規範を順守させます。
5. 当社は、全ての役職員に必要な情報セキュリティに関する教育訓練の実施およびその方針と重要性を周知徹底させ、各人の意識向上と維持に努めます。
6. 当社は、情報セキュリティに関する法令違反、契約違反または事故・災害・犯罪などの原因に因る情報漏洩が発生した場合、速やかに適切な措置を講じるとともに、その原因究明と再発防止に努めます。

【運営細則】
当社は、以下の実務運営細則を定期的に見直し、必要に応じて追記していく。

① 情報資産に関して

（A）当社は、情報資産を「機密情報」、「社内限定情報」またま「公開情報」に3分類し、それぞれに適切な管理策を適用する。機密情報の取扱いは、厳格なアクセス制御・暗号化などの技術的対策を講じる。各情報資産の例として、
1. 機密情報：顧客情報、契約書、ソースコードなど。
2. 社内限定情報：業務手引書、会議資料、システムログなど。
3. 公開情報：Webサイト掲載情報、プレスリリースなど。

（B）当社は、情報資産のアクセス権限を「最小権限の原則(Least Privilege)」に基づいて設定し、不要な権限付与を防止する。また、毎年アクセス権の定期的な監査を行い、不正アクセスのリスクを低減する。

（C）当社は、クラウド環境に保存される情報資産に対して、暗号化・アクセス制御・多要素認証(MFA)を導入し、セキュリティを強化する。また、リモートワーク時には、認可された端末の使用、VPNの利用、パスワード管理の徹底を義務付ける。

（D）当社は、サーバー、PC、または紙媒体などの物理的な情報資産に対しても適切な管理を行う。オフィスやサーバー・ルームの入退室管理、監視カメラ、アクセスログの記録を実施し、不正アクセスや盗難を防止する。

② 再委託に関して

（A）当社は、外部委託業者および取引先に対し、情報セキュリティに関する適切な管理体制を求める。契約締結時には、セキュリティ要件を明文化し、定期的に監査・確認を行い、情報漏洩リスクを低減する。

③ 情報セキュリティ・インシデント発生時に関して

（A）情報セキュリティ・インシデントが発生した場合、当社は、次の手順で対応を行う。また、重大なインシデントについては、必要に応じて法的機関または外部専門家と連携して対処する。
1. 即時報告：関係者・管理者に速やかに報告（発生後24時間以内）。
2. 影響評価：インシデントの影響を分析し、適切な初期対応を実施。
3. 是正措置：再発防止策を策定し、関係者へ周知徹底。

【ご質問・ご意見等】
当社は、情報セキュリティ方針に係るご質問・ご意見等に対し、迅速かつ誠実な対応に努めて参ります。
お問合せはこちら。

2025年2月

株式会社TDテクノロジー＆コンサルティング

代表取締役　斉藤健史