情報セキュリティ基本方針

情報セキュリティ基本方針

サニー技研(以下「当社」)は、情報セキュリティへの取り組みが経営上の最重要課題の一つであると認識しています。お客様、お取引先様、そして社会からの信頼を継続的に獲得するため、当社が保有するすべての情報資産を、あらゆる脅威から守り、その価値を最大限に高めることにコミットします。

最高情報セキュリティ責任者(CISO):代表取締役社長 清水 晶宏

1. 目的

本方針は、当社の情報セキュリティに関する基本的な考え方と、その維持・向上に向けた取り組みを定めるものです。これにより、情報資産の機密性、完全性、可用性を確保し、お客様、お取引先様、および社会からの信頼に応えることを目的とします。

2. 本方針における用語の定義

(1)「情報資産」とは、当社が業務遂行上取り扱うすべての情報及びそれらを処理、保存、伝送する情報システム、ネットワーク機器、記録媒体等をいいます。これには、顧客情報、個人情報、技術情報、設計図面、ソースコード、営業情報、財務情報などが含まれます。
(2)機密性(Confidentiality):
許可された者だけが情報にアクセスできる状態を維持すること。
(3)完全性(Integrity):
情報が正確であり、改ざんや破壊から保護されている状態を維持すること。
(4)可用性(Availability):
許可された利用者が、必要な時に情報にアクセスできる状態を維持すること。

3. 適用範囲

本方針は、当社のすべての役員および従業員、並びに当社の情報資産を利用するすべての関係者に適用します。適用対象となる情報資産は、オンプレミス及びクラウド上の情報システム、PCやスマートフォン、タブレット等の端末、IoT機器、組み込みシステム、電磁的記録媒体、契約書、機密保持契約書等の業務関連文書等です。

4. 想定される脅威

  • 不正アクセス、マルウェア感染、DDoS攻撃、ゼロデイ攻撃、ランサムウェア、フィッシング、ソーシャルエンジニアリング
  • 内部不正、操作ミス、設定ミス、無許可ソフトの利用、情報の無断持出し、紛失
  • システムの脆弱性悪用、暗号化の破綻、パッチ未適用
  • 地震、火災、落雷、水害などの自然災害、サプライチェーン攻撃、第三者の物理侵入

5. 組織体制と責任

当社は、情報セキュリティマネジメントシステム(ISMS)を確立し、運用します。ISMSは、「情報セキュリティ基本方針(本方針)」、「情報セキュリティ対策基準(スタンダード)」、「情報セキュリティ実施手順(プロシージャ)」の3つの階層で策定・管理されます。最高情報セキュリティ責任者(CISO)を設置し、情報セキュリティに関する最終的な責任と権限を明確にします。また、セキュリティインシデントに迅速に対応するため、部門別セキュリティ責任者の配置やインシデント対応体制の確立を行い、全社的な連携体制を構築します。

6. 人的セキュリティ対策

すべての役員および従業員に対し、情報セキュリティに関する定期的な教育と訓練を実施します。特に、最新の脅威(フィッシング、標的型攻撃メールなど)への対応訓練を継続的に行い、情報セキュリティ意識の向上を図ります。また、職務分離や最小権限の原則を適用し、機密保持契約を締結します。

7. 物理的セキュリティ対策

情報資産を保護するため、データセンターやサーバー室の入退室管理、施錠管理、監視カメラの導入、クリアデスク・クリアスクリーンなど、物理的な対策を多層的に講じ、情報資産の物理的な保護を徹底します。

8. 技術的セキュリティ対策

(1)情報資産を保護するため、技術的な対策を多層的に講じます。
技術的対策:
ファイアウォール、IDS/IPSの導入、エンドポイント保護(EDR/XDR)、多要素認証(MFA)、ログ監視・分析システムの導入、SSL/TLS暗号化通信の実装、定期的な脆弱性診断などにより、サイバー攻撃や情報漏えいを防止します。
(2)クラウドサービスの利用:
クラウドサービスを利用する場合、適切な選定・評価、設定ミスの防止のための自動化、クラウド専用セキュリティツールの活用、データの暗号化・バックアップなどにより、安全性と信頼性を確保します。

9. 法令および契約の遵守

当社は、情報セキュリティに関する法令、国が定める指針、その他の規範、およびお客様との契約上の要求事項を厳格に遵守します。特に、個人情報保護法の要求事項を常に最新の状態に保ち、個人情報保護法及び関連ガイドラインに準拠して個人情報を適切に管理します。

10. 継続的改善

当社は、情報セキュリティマネジメントシステムの継続的な改善に努めます。定期的な内部監査を実施し、本方針及び関連規程の遵守状況を確認します。法令改正、技術動向、脅威の変化等に応じて、その結果に基づいて、方針、体制、および具体的な対策を定期的に見直します。

11. 罰則規定

本方針に違反する行為があった場合、就業規則に基づき、懲戒処分又は契約解除等の措置を講じます。

12. 方針の維持・管理

詳細な対策基準や実施手順は、セキュリティ上の理由から公開しておりません。本方針の内容は、情報セキュリティ環境の変化に応じて随時見直し、改定を行います。

お問い合わせ窓口

情報セキュリティに関するご質問やご相談は、以下までご連絡ください。

株式会社サニー技研
管轄部門:情報システム課
メール(代表):info@sunnygiken.co.jp
電話(代表):072-775-0339

制定日:第3版 2025年8月1日
改廃:第2版(2011年6月10日)を廃止

TOP