Security Policy
情報セキュリティポリシー
情報セキュリティポリシー
目的
株式会社ユニリタ(以下、当社)は、「ユニークな発想」と「利他の精神」のもと、お客様の情報システム部門におけるシステム運用業務を支えるプロダクト、および業務効率化や事業創出、社会課題解決を支援するクラウドサービスをお客様に提供する企業です。
当社は、事業活動を通じて得たお客様や取引先に関する情報、および当社の情報システムで取り扱う全ての情報(以下、情報資産)を重要な資産のひとつと認識し、適正に取扱い、適切に維持・管理し、情報漏洩等のリスクから保護することに最大限注力していくことが、お客様の業務を支える上で重要な責務であると考えます。
以上の考え方に基づき、当社は下記の通り情報セキュリティ基本方針を定めるとともに、実践し、継続的に改善していくことを宣言します。
適用範囲
- 当社の情報資産に関連するすべての人的・物理的・環境的リソースを対象とします。
- 当社の役員・社員・契約社員・一時雇用者、および当社に常駐して業務を行うものを含め、当社の情報資産を利用する全ての従業者を対象とします。
情報セキュリティ方針の公開
当社は、『情報セキュリティポリシー』を3つの階層に分けて規定し、うち『情報セキュリティ方針』を社内外に公開し、これに従います。
- 情報セキュリティ方針
最上位に位置する規定であり、当社の情報セキュリティマネジメントにおける方針を記述したもの。 - 情報セキュリティ対策標準
情報セキュリティ方針を実現するために遵守すべき事項を網羅的に記述したもの。 - 情報セキュリティ実施手順
情報セキュリティ対策標準で記述された内容を、より具体的に、どのように実行するかについて記述したもの。
情報セキュリティの定義
情報の機密性、完全性、および可用性を維持することを指します。
- 「機密性」とは、許可されたユーザーだけが情報アクセスできることを確実にすることを指します。
- 「完全性」とは、情報および処理方法の正確さおよび完全である状態を安全防護することを指します。
- 「可用性」とは、許可されたユーザーが、必要時に、情報および関連資産にアクセスできることを確実にすることを指します。
情報セキュリティマネジメント体制
情報セキュリティ管理責任者
当社は、情報システム部門の管掌役員を情報セキュリティ管理責任者とし、全社的な情報セキュリティマネジメント体制を構築し、情報セキュリティ責任者を指揮しながら情報セキュリティを推進し、セキュリティ対策の実施状況を管理・監督し、必要に応じて、情報セキュリティマネジメント体制および『情報セキュリティポリシー』を見直します。
執行役員会は、当社における情報資産の重要性・割り当てられる経営資源・必要なセキュリティレベルを考慮し、積極的に情報セキュリティ管理責任者をサポートします。
情報セキュリティ責任者
当社は、情報システム部門の部門長から情報セキュリティ責任者を選任し、情報セキュリティ管理責任者より与えられた情報セキュリティ対策を現場レベルで責任を持って実施します。
情報セキュリティ推進担当者
当社は、情報システム部門以外の各本部に最低一名ずつ情報セキュリティ推進担当者を任命・配置し、所属組織におけるセキュリティ意識の向上を行うとともに、社員のセキュリティ対策、および情報セキュリティマネジメントにおける問題点等の情報を収集し、情報セキュリティ責任者に報告します。
情報セキュリティマネジメント運用
リスク対策の実施
情報セキュリティ管理責任者は、当社の情報資産に関する情報および情報処理施設/設備に対する脅威、影響、脆弱性、それらが生じる可能性を評価するとともに、情報システムに影響を及ぼす可能性があるセキュリティリスクを明確にし、制御し、最小限に抑制するか、除去します。
また、当社で策定した『情報セキュリティポリシー』の推進および対策の実施を計画的に行うために、情報セキュリティ推進計画を毎年1回策定し見直します。
教育・啓蒙
当社は、情報資産を扱うすべてのものに対し、積極的に情報セキュリティの教育を行い、セキュリティに対する意識の向上と技術の向上を行います。
当社の情報資産に関わるすべての社員は、会社が提供する情報セキュリティの教育を受けることを必須とし、情報セキュリティに関する最新の情報に基づいた課題について、自発的に情報セキュリティ推進担当者および情報セキュリティ責任者にエスカレーションします。
監査・評価
情報セキュリティ管理責任者および情報セキュリティ責任者は、「情報セキュリティ方針」「情報セキュリティ対策標準」「情報セキュリティ実施手順」の策定・評価・レビューを行い、情報資産の利用者から得られた情報、および情報セキュリティの脆弱性に関する情報収集等活動から得られた情報等を考慮し、定期的あるいは発見の可能性のあるときに、情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティポリシー』および『情報セキュリティ推進計画』に反映します。
- 脅威とは、自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因を指します。
- 脆弱性とは、建物の構造上の欠陥、定期点検の不備、情報セキュリティ規定・要員教育の不備等、脅威を発生し易くさせる要因、脅威を増加させる要因(脆さ、弱点)のことを指します。
情報セキュリティに関する会議体の運用
情報セキュリティ管理責任者は、情報セキュリティ推進計画に関する重要事項、および情報セキュリティに関する重大な違反、事故・災害等について、取締役会に報告します。
情報セキュリティ推進計画、および情報セキュリティに関する違反、事故・災害等のうち、業務運営上必要と判断された事項については、執行役員会に報告します。
情報セキュリティに関する違反、事故・災害等で上記会議体に報告された事項は、報告概要と対応・防止策について、社員への周知徹底を図ります。
違反時の罰則適用
当社は、『情報セキュリティポリシー』の違反者に対し、就業規則に従って厳格な措置を行います。
情報セキュリティ管理責任者は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じます。
情報セキュリティ侵害時の対応
当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応します。
制定日:2024年9月20日