ホーム 情報セキュリティ方針

情報セキュリティ方針

情報資産の適切な保護と管理について、当社の取り組みをご説明します。

基本方針

有限会社西工作舎(以下「当社」といいます。)は、ECサイト運営コンサルティングサービス「ECWIDE」(以下「本サービス」といいます。)を提供するにあたり、お客様からお預かりする情報資産および当社が保有する情報資産を適切に保護することが、社会的責任であり経営の重要課題であると認識し、以下の情報セキュリティ方針を定め、全社をあげて情報セキュリティの確保に取り組みます。

第1条(情報セキュリティの目的)

当社は、以下を目的として情報セキュリティ対策を実施します。

お客様情報の保護

お客様からお預かりした個人情報および機密情報を適切に管理し、不正アクセス、漏洩、改ざん、紛失等から保護します。

サービス継続性の確保

システム障害やセキュリティインシデントによるサービス停止を防止し、安定したサービス提供を維持します。

法令遵守の徹底

個人情報保護法、不正アクセス禁止法等の関連法令を遵守し、適切な情報管理を行います。

信頼関係の構築

お客様との信頼関係を築き、安心してサービスをご利用いただける環境を提供します。

第2条(情報資産の定義と分類)

当社は、以下の情報を重要な情報資産として認識し、適切に管理します。

個人情報

  • お客様の氏名、連絡先、会社情報
  • サービス利用履歴
  • 決済情報
  • お問い合わせ内容

機密情報

  • お客様のビジネス情報
  • サービス設定情報
  • 分析データ・レポート
  • コンサルティング内容

システム情報

  • アカウント情報
  • アクセスログ
  • システム設定情報
  • セキュリティ関連情報

営業機密

  • 当社のサービス開発情報
  • 顧客情報・営業情報
  • 財務情報
  • 経営戦略情報

第3条(情報セキュリティ管理体制)

当社は、以下の管理体制により情報セキュリティを確保します。

情報セキュリティ責任者

西川忠利(代表取締役)

  • 情報セキュリティ方針の策定・改訂
  • セキュリティ対策の統括管理
  • インシデント対応の統制
  • 従業員への教育・指導

全従業員の責任

  • 情報セキュリティ方針の理解・遵守
  • セキュリティルールの実践
  • 異常事態の即座の報告
  • 定期的な研修への参加

第4条(技術的セキュリティ対策)

当社は、以下の技術的対策により情報セキュリティを確保します。

ネットワークセキュリティ

  • ファイアウォールによる通信制御
  • IDS/IPS(侵入検知・防御システム)の導入
  • SSL/TLS暗号化通信の実装
  • VPNによる安全な接続環境

システムセキュリティ

  • 定期的なセキュリティ更新の適用
  • ウイルス対策ソフトの導入・更新
  • 脆弱性スキャンの定期実施
  • セキュリティパッチの迅速な適用

アクセス制御

  • 多要素認証の実装
  • 最小権限の原則に基づく権限管理
  • 定期的なアクセス権限の見直し
  • 特権アカウントの厳格な管理

監視・ログ管理

  • 24時間365日のシステム監視
  • アクセスログの記録・分析
  • 異常検知システムの運用
  • ログの改ざん防止措置

第5条(物理的・環境的セキュリティ)

当社は、以下の物理的・環境的対策により情報資産を保護します。

入退室管理

  • オフィス・サーバー室への入退室制限
  • ICカードによるアクセス制御
  • 入退室ログの記録・管理
  • 訪問者の身元確認・エスコート

機器・媒体管理

  • 業務用機器の盗難防止対策
  • 記録媒体の適切な保管・管理
  • 機器廃棄時のデータ完全消去
  • 清机清庫(クリアデスク・クリアスクリーン)の実施

災害・障害対策

  • 無停電電源装置(UPS)の設置
  • 火災検知・消火設備の配備
  • データセンターの冗長化
  • 定期的なバックアップの実施

第6条(教育・訓練)

当社は、情報セキュリティの維持・向上のため、継続的な教育・訓練を実施します。

定期研修

  • 年2回の情報セキュリティ研修の実施
  • 最新の脅威動向に関する情報共有
  • セキュリティポリシーの周知徹底
  • 実際の事例を用いた教育

新入社員研修

  • 入社時の必須セキュリティ教育
  • 社内ルール・手順の説明
  • 情報の取り扱い方法の指導
  • 理解度テストの実施

模擬訓練

  • フィッシングメール訓練
  • インシデント対応訓練
  • 災害復旧訓練
  • 訓練結果の分析・改善

第7条(インシデント対応)

セキュリティインシデントが発生した場合、以下の手順で迅速かつ適切に対応します。

1. 検知・報告

  • 異常の早期発見・通報
  • インシデントの初期評価
  • 関係者への迅速な連絡
  • 影響範囲の概要把握

2. 封じ込め・分析

  • 被害拡大の防止措置
  • 原因・影響範囲の詳細調査
  • 証拠の保全・記録
  • 応急対策の実施

3. 復旧・対策

  • システム・データの復旧
  • 根本原因の除去
  • 再発防止策の実装
  • サービス正常化の確認

4. 報告・改善

  • 関係機関・お客様への報告
  • インシデント報告書の作成
  • 対応プロセスの見直し
  • 予防策の強化

第8条(委託先管理)

業務委託先に対しても、当社と同等の情報セキュリティレベルを求め、適切に管理します。

委託先選定基準

  • 情報セキュリティ体制の評価
  • セキュリティ認証取得状況の確認
  • 過去のセキュリティ実績の調査
  • 技術的・組織的安全管理措置の確認

契約・合意事項

  • 情報セキュリティ条項の契約書への明記
  • 秘密保持契約(NDA)の締結
  • セキュリティ要求事項の合意
  • 監査・立入検査権の確保

継続的管理

  • 定期的なセキュリティ監査の実施
  • セキュリティ報告書の提出要求
  • インシデント発生時の連携体制
  • 契約更新時のセキュリティ見直し

第9条(継続的改善)

当社は、情報セキュリティの継続的な改善に取り組みます。

Plan(計画)

セキュリティ目標の設定と計画策定

Do(実行)

セキュリティ対策の実施と運用

Check(評価)

定期的な監査と効果測定

Act(改善)

問題点の改善と対策の見直し

主な改善活動

  • 年1回の情報セキュリティ監査
  • 四半期ごとのリスクアセスメント
  • 月次のセキュリティ指標レビュー
  • 脅威情報の収集・分析
  • 新技術・新脅威への対応検討

第10条(法令遵守)

当社は、以下の関連法令を遵守し、適切な情報管理を行います。

  • 個人情報の保護に関する法律
  • 不正アクセス行為の禁止等に関する法律
  • 特定商取引に関する法律
  • 電子計算機損壊等業務妨害罪
  • その他情報セキュリティに関連する法令・ガイドライン

第11条(お問い合わせ窓口)

情報セキュリティに関するお問い合わせは、以下の窓口までご連絡ください。

有限会社西工作舎

情報セキュリティ責任者 西川忠利
所在地 愛知県名古屋市木場町9-24 真栄マンション木場町A1303
メール NishiKS.info@gmail.com
電話 070-8532-8207
受付時間 12:00〜20:00(平日のみ)

制定日:2024年10月13日
最終改訂日:2024年10月13日