当社の事業活動のすべては、お客様との信頼関係の上に成り立っています。 このためには、情報資産の確実な保護が不可欠であると認識しています。事業プロセスを適切に管理し、物理的、技術的なセキュリティ強化を図るとともに、全社員及び関係者がセキュリティに対する高い意識をもち、セキュリティを尊重する行動をとり、かつ細心の注意を払うことにより、いかなる事故も未然に防ぐと共に、以下の方針に従い、情報セキュリティの確保に努めます。
制定日 2005年 8月29日
改定日 2006年11月27日
モバイル・コマース・ソリューション株式会社
代表取締役社長 村井 幸生
【1】セキュリティポリシーの目的
セキュリティポリシー制定の目的は、当社の取り扱う情報資産の機密性・完全性・可用性を確保しつつ業務を円滑に遂行するための基本的な方針や体制、規則などについて定め、適切なセキュリティ対策を実施することで、弊社のセキュリティ水準を向上させるとともに、顧客からの信頼の向上を図ることにあります。
【2】セキュリティポリシーの適用範囲
全ての情報資産の取り扱いに際して、関係法令、規範(ガイドラインなど)や契約事項を遵守し、適正な利用と管理を励行します。
【3】セキュリティポリシーの適用対象者
セキュリティポリシーの適用対象者は以下の通りとします。
1. 役員・社員・出向社員・契約社員・派遣社員・アルバイトなどの雇用形態、職位、勤務地を問わず、当社の就労者
2. セキュリティポリシーの対象となる業務を外部に委託する場合の外部委託業者。
【4】適用対象者の義務
セキュリティポリシー適用対象者は、情報資産を保護するために、常に抑制・予防・防止・検知・回復策を意識し、行動するものとします。
【5】情報資産の適正な管理
1. すべての情報資産は、当社にとって重要な情報資産であると認識するものとします。
2. 情報資産は、必要な部署以外(以下、「第三者」という)に公開せず、また本セキュリティポリシー適用対象者の退社・契約解除・契約解約時においても、同様とします。
3. 情報資産を、容易に第三者に発見される場所・公開されたインターネット上の掲示板等に放置しないものとします。
4. 電子メールを利用する際は、デジタル署名・暗号化なしに情報資産を送信しないものとします。
5. SSL(Secure Sockets Layer)等の暗号通信技術なしに、Web・電子メール等にて重要な情報資産を取り扱わないものとします。
6. 物理的セキュリティ対策を常に留意するものとします。
7. 無意識・過失・故意によるウイルス侵入・不正アクセス・ソーシャルエンジニアリング等を許さない言動に努めます。
8. 情報資産は、当社では機密性に応じて、極秘・部外秘・グループ外秘・公開に分類しますが、その分類に関わらず、すべての情報資産には、著作権・意匠権・商標権・実用新案権に代表される知的財産権が含まれていることを本セキュリティポリシー適用対象者は認識し、不法行為が行われることがないよう留意するものとします。
9. 個人情報保護においては、本セキュリティポリシーと同時に、個人情報の保護に関する法律等を遵守して、実施するものとします。
【6】情報資産の管理体制
1. 情報資産のセキュリティ対策の推進にあたっては、これらの重要性を深く認識し、情報資産の内容ごとに、管理責任者をおくと同時に、取締役、執行役員、監査役、従業員等、当社業務の個人受託者に対する教育を徹底させ、情報資産の適切な管理を行います。
2. 当社は、当社保管の情報資産の改変・紛失防止のために、組織的、人的、物理的、かつ技術的安全管理措置の全部又は一部を実施し、情報資産に対する不正アクセス、滅失、毀損、改ざん、及び漏えいなどを防止すると同時に、事故が発生した場合に備えて、証拠を保全してその原因を追求できるような体制を構築しております。万一、かかる事故が発生した場合でも迅速かつ適切に対処して、事故の再発の防止等、その是正のため最大限の努力をいたします。
3. 当社の業務遂行のために当社が外部委託業者に対して情報資産を扱う業務を委託することがあります。この場合、受託者の責任者 ・当社ならびに受託者の責任の明確化・秘密保持義務・安全管理義務・契約終了時の情報資産の返却及び消去・再委託に関する事項・情報資産の取扱状況に関する当社への報告の内容及び頻度・契約内容が遵守されていることを当社が確認できる事項・契約内容が遵守されなかった場合の措置・事件/事故が発生した場合の報告/連絡に関する事項を契約書に定め、適切に監査するものとします。
【7】セキュリティポリシー等の改善
当社は、情報資産の保護に関連する法律及びこれに基づく各種ガイドライン等の規範、その他の法令・規範を遵守するとともに、かかる法令等を遵守するための個人情報保護規程、情報資産保護規程、その他のコンプライアンスプログラムを策定し、また各ポリシー・コンプライアンスプログラムの内容を継続的に見直し、改善に努めていきます。