A.5.19 供給者関係における情報セキュリティ

方針

当社は、供給者との関係において、 当社の情報資産に影響を与える情報セキュリティ上のリスクを考慮し、 適切な管理を行う。

供給者の取扱い

供給者は、業務内容および当社の情報資産の取扱有無に応じて管理する。 当社の情報資産を直接取り扱わない供給者については、 一般的なサービス提供者として取り扱う。

業務委託先に対する管理

業務委託等により、当社の情報資産を直接取り扱う供給者については、 契約または合意文書において、 情報セキュリティに関する事項を定める。

一般的なサービス提供者に対する管理

クラウドサービス、通信事業者、配送業者等、 一般的なサービス提供を行う供給者については、 利用規約、公開されているセキュリティ情報、 第三者認証等の確認により、 情報セキュリティ上の管理を行う。

供給者関係の見直し

供給者との関係については、 業務内容や利用状況の変化に応じて、 必要に応じた見直しを行う。

当社における実施状況

当社では、情報資産を直接取り扱う委託先については、契約または合意文書により守秘義務および情報セキュリティ上の要件を定めている。一般的なSaaS等のサービス提供者については、利用規約、公開されているセキュリティ情報および第三者認証の確認により管理している。

個別のセキュリティ対策確認チェックリストは作成していないが、公開情報（ISO/SOC2認証、プライバシーポリシー、DPA等）および契約条項により、情報セキュリティ上の管理を行っている。