Profilerr
  • Profilerr
  • 情報セキュリティポリシー

情報セキュリティポリシー

本情報セキュリティポリシーは、情報の保護に関する基本方針を定め、セキュリティ管理の意思決定を支援し、最適な情報セキュリティ管理策を確立、推進、および確保するための目的を示すものです。本ポリシーは、このウェブサイトにおいて当社が使用、管理、または運営する情報および情報システムを含む、すべての情報および情報システムに適用されます。情報セキュリティポリシーは、データの機密性、完全性、および可用性を保護し、情報の分類と取り扱いを規定するとともに、本ポリシーへの違反に対処することを目的とします。

本情報セキュリティポリシーは、当ウェブサイト全体で統一的に適用されるべき包括的な保護措置を定めており、当社の事業活動における安全な運用環境を確保します。

目的

情報セキュリティの管理は、組織の重要な情報資産を保護するため、適切な管理策を合理的に選択し、効果的に実施することを指します。情報セキュリティプログラムは、管理策と管理プロセス、そしてその適切性および有効性の継続的なモニタリングという、2つの主要な要素で構成されます。情報セキュリティの3つの目標は以下の通りです。

  • 機密性: 機密情報を、権限のない個人やシステムへの開示から保護すること。
  • 完全性: 情報の正確性、完全性、および適時性を確保すること。
  • 可用性: 必要なときに、権限のあるユーザーが情報と重要なサービスを利用できるようにすること。

適用範囲

本ポリシーは、当社のすべての従業員、請負業者、パートナー、インターン/研修生に適用されます。ホスティングサービスを提供する場合や、データが当社の敷地外で管理されている場合でも、第三者サービスプロバイダーは本ポリシーを遵守する必要があります。

本情報セキュリティポリシーの適用範囲は、当社内、および外部委託された場所で保存、通信、処理される当社の情報すべてです。

目的

情報セキュリティポリシーの目的は、情報リスクを管理するためのアプローチと、当社の全部門およびサービス提供の契約者に対する情報資産保護のための指針を提供することです。

情報資産の分類

当社の情報資産は、「公開」「機密」「制限」の3つのカテゴリに分類されます。すべての主要な情報資産には、各カテゴリに応じた認証および承認の手順を確立する責任を負う所有者を指名する必要があります。その際、以下の点に留意するものとします。

  1. 公開情報: 一般に公開または配布が可能な情報です。この情報は保護を必要とせず、意図された通りに使用された場合でも、当社の事業運営、資産、評判、あるいは情報プライバシーに関する義務に悪影響を及ぼすことはほとんどありません。
  2. 機密情報: 社内利用のみの情報であり、当社の業務遂行上、アクセスが必要なスタッフのみに限定されます。これには、州の法律や契約上の義務によって保護される情報が含まれ、プライバシーおよびセキュリティ保護が必要です。
  3. 制限情報: 「知る必要性」に基づいて厳格にアクセスが許可される、厳重な機密情報です。例として、国益や国家安全保障に影響を与える情報が挙げられます。

すべてのスタッフは、情報の不適切な使用、共有、または第三者への開示に関する法的および企業責任を認識しなければなりません。機密情報または制限情報を受領する第三者は、その権限を付与されている必要があります。また、その個人または組織は、当該データの機密性および完全性を保証する情報セキュリティ対策を講じていなければなりません。

機密情報は、不正なアクセスや漏えいを防止するために保護されなければなりません。

制限情報は最も高い機密性を有し、不正な第三者によるアクセスや漏えいがあった場合、当社、国家、および個人に最大の危険をもたらします。したがって、制限情報を取り扱う、または制限情報を保存、送信、もしくは操作するシステムを使用する当社の従業員は、常に当該情報/データの機密性、完全性、および可用性を維持する義務があります。

情報セキュリティガバナンス

情報セキュリティガバナンスは、リーダーシップ、組織構造、および情報を保護し、増大する情報セキュリティの脅威を軽減するプロセスによって構成されます。

情報セキュリティガバナンスの主な成果は以下の通りです。

  • 組織目標を支援するための、情報セキュリティと事業戦略の連携
  • リスクの管理と軽減、および情報資産への潜在的な影響を許容可能なレベルまで低減すること
  • 組織目標の達成を確実にするため、情報セキュリティガバナンスの指標を測定、監視、および報告することによる、情報セキュリティのパフォーマンス管理
  • 組織目標を支援するための、情報セキュリティ投資の最適化。情報セキュリティガバナンスの組織的必要性とメリットを考慮することが重要です。

責任

マーケティング部門は、ウェブサイトのコンテンツに責任を負うとともに、その内容が法的要件および本ポリシーの要件を満たすことを保証する責任を負います。IT部門は、ウェブサイトのセキュリティ、機能、およびインフラストラクチャを担当します。システム管理者は、ウェブサイトの応答時間を監視し、発生したあらゆる問題を解決します。

意識と周知

機密保持、プライバシー、システムアクセスに関する手順を含む、情報セキュリティのすべての側面を、正式なスタッフの入社手続きに含め、既存スタッフへ定期的に周知することが不可欠です。

雇用開始時には、スタッフは通常の業務でアクセスする可能性のあるいかなる情報も漏洩してはならない旨を周知しなければなりません。また、スタッフは通常の職務に必要のないデータへのアクセスを試みてはならないことも認識させなければなりません。