企業理念

SECURITY POLICY 情報セキュリティ基本方針

情報セキュリティ基本方針
当社は、健全な企業活動のために、お客様からお預かりする情報資産及び当社の情報資産に対し、必要な保護と適切な安全対策を講じることにより、漏えい、改ざん、紛失、破壊、利用妨害等といったさまざまな危険や脅威から情報資産を守り、機密性、安全性、可用性、遵守性を維持すべく、経営の基本原則として情報セキュリティ基本方針を策定し、これを関係者に周知徹底させ、日々の業務において、情報セキュリティの確保に努めます。
  • 当社が保有する顧客情報や企業秘密情報、及び取扱う取引先の情報などの機密情報(個人情報を含む)や企業の責任において公開する情報など、保護が必要な情報資産に対して、機密性、完全性、可用性、責任追跡性、真正性、信頼性を確保するために、当社が所管するすべての情報関連施設や情報システム及びその取扱者に適用します。
  • 情報資産に対する情報セキュリティ上の脅威、脆弱性に対し、リスクを評価する基準及びリスクアセスメントの手順を確立するとともに、取扱う情報資産に応じ、適切な管理策を計画的に実行して、リスクを受容水準まで低減します。
  • 顧客等をはじめとする利害関係者のセキュリティ要求事項及び法的及び規制要求事項を明らかにするとともに、社内外の情報セキュリティ上の課題を含めて対処する必要があるリスク及び機会を特定し、目標管理により対策を実施します。
  • 情報セキュリティに関わるオーソライズのために、情報セキュリティ委員会を設置し、その中から情報セキュリティ管理責任者を任命します。また、情報セキュリティ基本方針の遂行のため、情報セキュリティ管理部署を設置し、情報セキュリティに関する推進及び運用の役割と責任を明確にします。
  • 情報資産の取扱者に対し、必要な教育を行い、法令、規制及び契約上の要求事項、並びに情報セキュリティに関する規定要求事項で定められたルールの順守を徹底します。
  • 内部監査員を定め、情報セキュリティマネジメントシステムの監査を定期的に実施し、情報セキュリティマネジメントシステムの適合性、有効性、及び定められたルールを順守していることを検証します。
  • 情報セキュリティの基本方針や管理策等は、業務内容や社会情勢の変化等を考慮し、定期的または必要に応じて見直しを行い、情報セキュリティの継続的改善を図ります。
  • 事業継続管理の手続きを策定し、回復管理策を準備します。それにより、何らかの要因で事業の継続が中断する状況に至った場合でも、迅速な事業の再開を可能とします。
  • 社員等が情報セキュリティの順守すべき事項に違反した場合は、就業規則に基づいて処分されます。
  • 個人情報については、プライバシーマーク制度に準拠した当社の「個人情報保護方針」に準じて管理します。
  • 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(「マイナンバー法」)に基づく特定個人情報及び個人番号(「特定個人情報等」)の適正な取扱いの確保について組織として取り組むため本基本方針を定め、準じて管理します。

制定日:2008年2月4日
改定日:2016年1月15日
株式会社エーエスエル
代表取締役社長 平出 浩太郎

暗号化による管理策の利用方針
当社における、情報ネットワークの転送経路、転送データにおいて適切に暗号化すること、並びに情報システム、可搬情報機器及び可搬記憶媒体に保管するデータの暗号化を適切に行います。暗号化について規定・手順を明確に定めるための暗号化の基本原則として、暗号化による管理策の利用方針を以下に定めます。

  • 暗号化の基本方針 情報の機密性、真正性、安全性を保護するために以下の場合に暗号化を行います。

    • a.社内及び社外ネットワークを利用して機密情報を転送する場合
    • b.電子データを記録する全ての可搬情報機器及び可搬記憶媒体を社外に移動させる場合
    • c.電子データ形式の厳秘情報(個人情報を含む)を保管する場合
      ※アクセス家淵源を設定した場合に保管する機密情報についても、機密度が高い情報は保護をより安全にするために暗号化を行うこととします。

  • 機密情報取扱い毎の暗号化方針

    • a.電子メールに添付する機密情報全て(営業情報、契約情報、開発情報、個人情報等)について暗号化します。
    • b.社外のWebサイトへアップロードする機密情報全て(営業情報、開発情報、契約情報、個人情報)を暗号化します。
      (お客様Webサイトで、許可を得ている場合は除きます)
    • c.社外のサーバへ転送する機密情報全て(営業情報、開発情報、契約情報、個人情報)を暗号化します。
      (お客様サーバで、許可を得ている場合は除きます)
    • d.可搬情報機器/可搬記憶媒体に機密情報を格納して社外に移動させる場合は、機密情報を暗号化します。
    • e.自社用の社内サーバ/外部サーバ/クラウドシステムのアクセス権限で保護した場所においても、機密度が高い情報(個人情報を含む)を格納する場合は、暗号化を行います。
    • f.個人情報、見積情報、契約情報を収集するWebサイトを構築する際は、暗号化通信(SSL通信)を施します。その際は、認証局の証明書を取得します。
    • g.認証局の証明書の秘密鍵は、適切に管理します。
    • h.公衆ネットワーク(インターネット等)を経由する通信経路(VPN等)を構築する際は、暗号化通信(IPsec、SSL等)を用います。

制定日:2014年10月28日
株式会社エーエスエル
代表取締役社長 平出 浩太郎

アクセス制御方針
当社における情報システム及び情報ネットワークへのアクセスを適切に制御し、管理します。職務権限及び業務に合致した情報システム及び情報ネットワークにアクセスするための規定・手順を明確に定めるためのアクセス制御の基本原則として、以下のアクセス制御方針を定めます。
  • 業務用ソフトウェアのアクセス権は、必要最低限の利用者に与え、認証アカウントの登録/変更/削除については、申請、認可、管理の手順を遵守し、関係者以外には伝達しません。
  • 情報は適切に分類し、職務権限レベル、部署(全社/事業所/部署/グループ)、プロジェクトグループに対応する関係者又は関係グループのみにしか伝達しません。
  • 当社情報システムの職務権限レベルに応じたアクセス権限の登録/変更/削除について申請、認可、管理の手順を遵守します。
  • 利用者アカウント(職務プロファイル)の登録/変更/削除について申請、認可、管理の手順を遵守します。
  • 異なるシステムを運用する場合は、状況に応じてネットワークを物理的あるいは論理的に分離します。
  • データ又はサービスへのアクセスの頬儀に関連する法令及び契約上の義務は、該当データの暗号化の実施及びサービスへの認証アカウントの登録/変更/削除を管理します。
  • アクセス権は、利用者の人事異動(所属異動、退職等)、契約変更、及びプロジェクト等業務終了時に、アクセス権の削除、更新手順に則って遅滞なく実施します。
  • 当社情報システムのアクセス権設定状況及び利用者アカウントのレビューを定期的に実施します。
知的財産保護に関する基本方針
  • 特許法、著作権法、その他知的財産権に関する法令を遵守します。
  • 自社の知的活動の成果を知的財産権によって保護し、これを積極的に活用するとともに、第三者の正当な知的財産権を尊重し、侵害しません。

制定日:2015年2月18日
株式会社エーエスエル
代表取締役社長 平出 浩太郎