5.2 方針

項目	内容
改訂日	2026.03.04
適用範囲	全社
箇条番号	5.2
分類	リーダーシップ

要求事項

トップマネジメントは、次の事項を満たす情報セキュリティ方針を確立しなければならない。

a) 組織の目的に対して適切である。
b) 情報セキュリティ目的（6.2 参照）を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d) ISMSの継続的改善へのコミットメントを含む。

情報セキュリティ方針は、次に示す事項を満たさなければならない。

e) 文書化した情報として利用可能である。
f) 組織内に伝達する。
g) 必要に応じて、利害関係者が入手可能である。

目的

組織の情報セキュリティに対する基本的な方向性と経営層のコミットメントを明確にし、全従業員及び関係者に周知するため。

当社における実施状況

当社では、代表取締役（情報セキュリティ責任者）が情報セキュリティ基本方針を確立し、以下のとおり要求事項を満たしている。

a) 組織の目的に対する適切性

情報セキュリティ基本方針は、当社の語学教育事業部における情報資産（顧客情報、学習データ等）の保護を目的として策定されており、組織の事業目的と整合している。

当社の事業内容については4.1 組織及びその状況の理解を参照。

b) 情報セキュリティ目的の枠組み

情報セキュリティ基本方針には、以下の目的設定の枠組みが含まれている。

情報資産の機密性、完全性、可用性の維持
法令遵守（個人情報保護法、不正アクセス禁止法等）
継続的改善

具体的な情報セキュリティ目的は、14. リスクアセスメントに基づき設定される。

c) 適用される要求事項を満たすことへのコミットメント

情報セキュリティ基本方針には、以下の要求事項を満たすことへのコミットメントが含まれている。

個人情報保護法
不正アクセス禁止法
電子署名法
サイバーセキュリティ基本法
顧客との契約上の義務

利害関係者の要求事項については4.2 利害関係者のニーズ及び期待の理解を参照。

d) 継続的改善へのコミットメント

情報セキュリティ基本方針には、ISMSの継続的改善へのコミットメントが明記されている。改善活動は以下のプロセスを通じて実施される。

年1回の内部監査
マネジメントレビュー
インシデント対応後の是正処置

e) 文書化した情報としての利用可能性

情報セキュリティ基本方針は、以下の形式で文書化され、利用可能な状態にある。

文書名	保管場所	形式
情報セキュリティ基本方針	ISMS文書管理システム	Markdown
情報セキュリティ基本方針（PDF）	Google Drive	PDF

f) 組織内への伝達

情報セキュリティ方針は、以下の方法で組織内に伝達されている。

入社時の情報セキュリティ教育での説明
ISMS文書管理システムでの常時閲覧可能
年1回の情報セキュリティ研修での再確認
方針改訂時のSlack通知

教育・伝達の詳細は2. 人的対策を参照。

g) 利害関係者への入手可能性

必要に応じて、以下の利害関係者に情報セキュリティ方針を提供している。

顧客（官公庁・教育委員会）：セキュリティチェックシート等の回答時
委託先：契約締結時
監査機関：ISO 27001認証審査時

方針の見直し

情報セキュリティ基本方針は、以下の契機で見直しを行う。

年1回の定期見直し（マネジメントレビュー時）
重大なセキュリティインシデント発生時
法令・規制の重大な変更時
事業環境の大幅な変化時

証跡

証跡	内容	保管場所
情報セキュリティ基本方針	承認済み方針文書	ISMS文書管理システム
方針改訂履歴	改訂日、改訂内容	Git履歴
教育実施記録	方針説明の実施記録	カレンダー、Slack
マネジメントレビュー議事録	方針見直しの記録	Google Drive