情報セキュリティ基本方針

HOME | 会社概要 | 情報セキュリティ基本方針

情報セキュリティ基本方針

 

キャンドゥー株式会社
代表取締役会長
情報セキュリティおよび個人情報保護対策本部長
 酒井 正剛
 
代表取締役社長
北川 貴章

 
当社は、業務上(研修等)取り扱う顧客等の情報資産および当社の情報資産を各種脅威から守り、企業としての社会的使命を果たすため、情報セキュリティポリシーとして本基本方針および情報セキュリティ基本規程(個人情報保護規程含む)を定め、以下の取組みを実施いたします。
 

1. 情報セキュリティ基本方針  

 
1-1. 当社は、業務上取り扱う顧客等の情報資産のセキュリティ対策には万全を期すものとし、盗難、紛失、破壊、改ざんおよび漏えい等のリスク未然防止につねに最優先にて取り組むものとする。

1-2. 当社は、当社の情報資産についても、それを最大限有効に活用しつつ、その重要度に応じた適切なセキュリティ対策を実施する。
 
1-3. 当社は、情報セキュリティに関する組織として社内に「情報セキュリティおよび個人情報保護対策本部」を設置するほか、情報セキュリティ管理の責任者を置き、全社的な組織体制により情報資産のセキュリティ対策を実施・運用・推進する。
 
1-4. 当社は、役員・社員等(社外協力者を含む。)に対する情報セキュリティに関する教育・啓蒙を継続的に実施し、情報セキュリティポリシーの周知徹底に努める。情報資産を取り扱うすべての役員・社員等は、情報セキュリティポリシーを遵守し、そこに定められた義務と責任を果たすものとする。(定期的に1回/年の教育を義務とする)
 
1-5. 当社は、技術の進歩や業務環境の変化等も考慮のうえ、情報資産のリスク評価を多方面から継続的に実施し、それを情報セキュリティポリシーおよびそれに基づく各種施策に反映させることにより、情報セキュリティの維持・向上を図るものとする。
 
1-6. 当社は、情報セキュリティに関する各種運用の状況等について定期的に監査を実施し、必要に応じた適切な是正措置を講じることにより、情報セキュリティの確保に努めるものとする。
 
1-7. 当社は、インターネット社会の秩序を守るとともに、その健全なる発展のために貢献する。
 
1-8. 当社は、情報セキュリティに関連する法令、その他の規範を遵守する。
 

2. 情報セキュリティ並びに個人情報保護に関する社内4大ルール


【取得・利用のルール】 基本的にはお客様からは、個人情報はもらわない、業務で必要に迫られてもらった場合は、その利用目的が達成された(研修)後、直ちにすべての情報を返却(破棄も含む)する
【管理のルール】いただいた個人情報は、弊社では利用目的終了後は、弊社にて保管せず直ちに消去する。やむなく保管する場合には、情報セキュリティ基本規程に従い管理する。
【提供のルール】得た個人情報は、勝手に人に渡さない
【開示のルール】開示の要求には適切・迅速に対応
 

4大ルールの概要

 
【取得と利用のルール】
(1) 利用(業務)目的を特定して、その範囲内で利用する
 
【管理のルール】
(3) 漏洩等が生じないよう、安全に管理する
① 社内での管理体制
② 移動中(電車・車中・出張中)の安全管理の徹底
③ 社外(研修中での投宿先)での安全管理の徹底
(4) 従業員・委託先にも安全管理を徹底する。
(5) 安全管理措置
① 基本方針の策定(詳細は情報システム基本規程に示す)
② 個人データの取り扱いに係る規程の整備
③ 組織的安全管理措置
(ア) 組織体制の整備
(イ) 個人データの取り扱いに係る規程に従った運用
(ウ) 個人データの取り扱いを確認する手段の整備
(エ) 漏洩等の事案に対応する体制の整備
(オ) 取り扱い状況の把握および安全管理措置の見直し
④ 人的安全管理
(ア) 全従事者の教育
⑤ 物理的安全管理措置
(ア) 危機および電子媒体の盗難等の防止
(イ) 電子媒体等を持ち運ぶ場合の漏洩等の防止
(ウ) 個人データの削除および機器、電子媒体等の破棄
⑥ 技術的安全管理措置
(ア) アクセス制御
(イ) アクセス者の識別と認証
(ウ) 外部からの不正アクセス等の防止
(エ) 情報システムの使用に伴う漏洩等の防止
 
【提供のルール】
(6) 第三者へ提供する場合は、あらかじめ関係社、本人から同意を得る
(7) 第三者に提供した場合・第三者から提供を受けた場合は、一定の事項を記録する
(情報セキュリティ(個人情報保護含む)監査チェックリスト様式4 個人情報に関する提供・開示等の請求に関する記録登録簿)
 
【開示のルール】
(8) 保管している情報の開示の請求があった場合はこれに対応する
(情報セキュリティ(個人情報保護含む)監査チェックリスト様式4 個人情報に関する提供・開示等の請求に関する記録登録簿)
(9) 苦情等に適切・迅速に対応する
(情報セキュリティ(個人情報保護含む)監査チェックリスト様式8 苦情及び相談・問題点指摘票兼改善計画書苦情及び相談・問題点指摘票兼改善計画書)
 

3. 情報セキュリティの基本方針の構成

当社は、業務上取り扱う顧客等の情報資産のセキュリティ対策について、万全を期するため、基本方針、対策基準、実施手順により構成された取組みを実施する。
①基本方針…組織全体での理念や方針
②対策基準…詳細な運用を規定
③実施手順…個人情報保護監査チェックリストなど詳細実施内容(チェックリスト)
 

4. 情報セキュリティと個人情報簿保護の取組の方針

当社は、業務上取り扱う顧客等の情報資産のセキュリティ対策を万全を期するため、次の内容を情報セキュリティ基本規程に明示して、運用を図る。
個人情報保護対策
・利用目的に沿った取り扱い
・本人からの要求の対応
・本人からの苦情、相談の対応
・その他
情報セキュリティ対策
・機密性の確保
・完全性の確保
・可用性の確保
・信頼性の確保
・準拠性の確保
 

5. 管理体制

責任者
管理者

代表取締役社長 北川 貴章

情報セキュリティ
個人情報保護対策
危機対応者

代表取締役会長 酒井 正剛

 
2018年8月29日 施行
2019年7月30日 改訂

 

以上