1. 組織的対策
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
1. 情報セキュリティのための組織
Section titled “1. 情報セキュリティのための組織”| 役職名 | 役割・責任 | 担当 |
|---|---|---|
| 情報セキュリティ責任者 | 情報セキュリティに関する方針の決定および全体の最終責任を負う | 代表取締役 |
| 情報セキュリティ部門責任者 | 各業務における情報セキュリティ対策の運用管理および実施責任を負う | CTO |
| システム管理者 | 情報システムに対する技術的セキュリティ対策の設計・導入・運用 | CTO(兼務) |
| インシデント対応責任者 | インシデント発生時の影響評価、対応方針の決定および対応の指揮 | CTO |
| 個人情報保護管理者 | 個人情報保護法および関連法令の遵守責任 | 代表取締役 |
| 個人情報苦情・相談窓口 | 個人情報に関する苦情・相談の一次対応および社内連携 | 営業部責任者 |
| サポート部責任者 | カスタマーサポート業務の管理およびサポート情報の保護責任 | サポート部責任者 |
| 教育責任者 | 情報セキュリティ教育の企画・実施・記録管理 | 管理部責任者(または代表取締役) |
| 情報セキュリティ共有者 | 情報セキュリティに関する適時の情報共有 | 管理部担当者 |
| 監査・点検責任者 | 情報セキュリティ関連規程および運用状況の点検・評価 | 管理部責任者(または代表取締役) |
重大な情報セキュリティインシデントにおいて、経営判断または対外的対応を要する場合は、情報セキュリティ責任者である代表取締役が最終的な意思決定を行う。
当社では、インシデント発生時に迅速な技術的判断と初動対応が重要であると考えており、システム全体を把握しているCTOをインシデント対応責任者としています。なお、経営判断を要する場合は代表取締役が最終判断を行う体制としています。
2. 情報セキュリティ取組みの監査・点検
Section titled “2. 情報セキュリティ取組みの監査・点検”監査・点検責任者は、情報セキュリティ関連規程の実施状況について、年1回(8月)点検を行い、監査・点検結果を情報セキュリティ責任者に報告する。内部監査およびマネジメントレビュー(経営確認)は同日に実施し、議事録1本にまとめることができる。なお、内部監査部分については、独立性を確保するため、運用当事者以外の者が担当する。
情報セキュリティ責任者は、報告に基づき、以下の点を考慮し、必要に応じて改善計画を立案する。
- 情報セキュリティ関連規程が有効に実施されていない場合は、その原因の特定と改善
- 情報セキュリティ関連規程に定められたルールが、対策として不十分または有効でない場合は、情報セキュリティ関連規程の改訂
- 情報セキュリティ関連規程に定められたルールが、関連法令や取引先の情報セキュリティに対する要求を満たしていない場合は、情報セキュリティ関連規程の改訂
3. 情報セキュリティに関する情報共有
Section titled “3. 情報セキュリティに関する情報共有”情報セキュリティ共有者は、新たな脅威及び脆弱性に関する警戒情報及び個人情報の保護に関する情報を専門機関等から適時(必要に応じて)入手し、社内で共有する。共有の証跡は、Slack等の社内コミュニケーションツールへの投稿記録をもって代替する。
機密性2以上の情報資産については、管理部責任者の許可を得ること。