情報セキュリティ基本方針

制定日:2008年04月01日
改定日:2014年10年03日
株式会社 ブイシンク
代表取締役社長
井部 孝也

1.情報セキュリティの目的
当社における事業は、個人・企業・官公庁等に向けた製品およびサービスの開発および提供・販売、または、各種業務の請負等、多岐にわたるため、保護すべき情報資産も顧客の個人情報、顧客企業に関する機密情報及び顧客企業から預かっている個人情報や企業情報、ハードウェア、ソフトウェア、ネットワーク、各種データファイル等、業務遂行のために必要な要員やドキュメント等、数多く存在する。
よって、当社組織内にある全ての情報を保護すべき情報資産と位置づけ、法律や顧客との契約を順守し保護するための仕組みを作り、継続的に運用することにより、顧客からの信頼を得られるセキュリティ統制を確保することを情報セキュリティの最大の目的とする。

2.リスクの評価基準
当社は、業務が継続できない状態、及び法律や顧客との契約を守れない状態を引き起こす可能性のあるリスクを受容することはできない。この基準をもとに、様々なリスクに対し受容できるかできないかを判断し、評価する。

3.行動指針
1)情報セキュリティの観点において、法律・規制、また外部関係機関や顧客からどのような条件を示されているかを認識し順守する。
2)情報セキュリティを推進する組織として、情報セキュリティ委員会を運営する。情報セキュリティマネジメントシステムの確立、運用、維持、改善に関する実行主体は情報セキュリティ委員会が担う。
3)外部委託を行う際には、外部委託先としての適格性を充分審査し、当社と同等以上のセキュリティレベルを維持するよう要請、合意を求める。また、これらのセキュリティレベルが適切に維持されていることを確認し続けていくため、外部委託先の継続的な見直しと契約強化に務める。
4)重要な情報に関するリスクを識別し、受容できないリスクが存在することが発見された場合には、リスクを受容可能な水準まで軽減するために、適切なリスク対応を行う。
5)運用状況を監視し、問題があれば見直し是正を計画・実施することを繰り返し、スパイラル的によりよい形の運用を目指していく。

4.責任と体制

1)情報セキュリティの責任は、当社の情報セキュリティ委員長である代表取締役社長が負う。そのために代表取締役社長は、従業者が情報セキュリティ目的を達成するために必要とされる資源を提供する。
2)当社の従業者は、情報セキュリティ基本方針を順守するための手順に従わなければならない。
3)当社の従業者は、情報セキュリティ事件事故及び、事件事故に至るかもしれない弱点を上司に報告する責任を要する。
4)当社のトップマネジメントは、代表取締役社長を委員長とした情報セキュリティ委員会を組織し、当社の情報セキュリティ方針や目的、ISMS の確立、実装、運用、維持、改善にかかわる決定を行ってコミットし、決議の内容を全従業者に通知して、各部門でのISMS 運用にかかわるリーダーシップも支援する。
5)以上の体制を確立・維持するため、「情報セキュリティ事務局」を設置し、情報セキュリティ委員会への通知ならびに報告の義務を課する。また、情報セキュリティ事務局は関係当局との連絡や、リスクアセスメント、管理策の有効性測定、適用宣言等の、当社が要求する情報セキュリティマネジメントに関連したプロセスの結果について、内部監査責任者とともに責任を負う。

5.罰則
この情報セキュリティ基本方針に違反し、重要な情報の保護を危うくするなどの故意の行為を行った従業者は、懲戒処分、法的処分の対象となる。