情報セキュリティ方針

本方針は、当社が取り扱うすべての情報資産を脅威から保護し、お客様および関係者からの信頼に応えることを目的とします。当社は、情報資産の機密性（許可された者のみがアクセスできること）、完全性（正確かつ完全であること）、可用性（必要なときに利用できること）を維持します。

本方針は、当社の役員および全従業者（雇用形態を問わず業務に従事するすべての者）、ならびに当社が事業活動において取り扱うすべての情報資産（お客様からお預かりした情報、自社の情報、これらを取り扱う設備・システム・媒体を含む）に適用されます。

当社は、情報セキュリティの統括責任者を任命し、ISMSの確立・運用・維持・改善に必要な体制と資源を整備します。役員はリーダーシップを発揮して本方針の実効性を確保し、すべての従業者は本方針および関連規程を遵守する責任を負います。

• 情報資産を特定し、その重要性を評価したうえで、脅威および脆弱性に基づくリスクアセスメントを定期的に実施します。
• 評価したリスクに対し、リスクの低減・回避・移転・受容の方針を定め、適切な管理策を選定・適用します。
• 残存リスクを評価し、責任者の承認のもとで許容可能な水準に維持します。

• 最小権限の原則に基づくアクセス制御、利用者の識別・認証（多要素認証を含む）を実施します。
• お客様データを含む情報は、通信時および保管時に暗号化します。
• アクセスログ・操作ログを記録・監視し、不正アクセスおよび不正プログラムへの対策を講じます。
• 脆弱性管理（修正プログラムの適用、定期的な診断）を実施します。
• サーバー・端末・記録媒体等の物理的な盗難・紛失・不正持ち出しを防止する措置を講じます。

当社は、お客様が本サービスにアップロードした文書・データを、サービス提供に必要な範囲でのみ取り扱い、お客様の同意なく機械学習モデルの学習等の目的に転用しません。データの保存期間および消去は、ご契約および プライバシーポリシー に従って取り扱います。外国において情報を取り扱う場合には、当該国の制度等を把握したうえで必要かつ適切な措置を講じます。

当社は、業務の一部を外部に委託する場合、委託先の情報セキュリティ水準を評価・選定し、契約により安全管理を義務づけたうえで、必要かつ適切な監督を行います。クラウドサービス等の外部サービスの利用にあたっても、同等の管理を行います。

当社は、情報セキュリティおよび個人情報の保護に関連する法令、規制、ガイドライン、契約上の要求事項、および社内規程を遵守します。お客様との間で合意したセキュリティ要件についても確実に履行します。

当社は、役員および全従業者に対して、情報セキュリティに関する教育・訓練を定期的に実施し、本方針および関連規程の理解と遵守を徹底するとともに、セキュリティ意識の向上を図ります。

当社は、情報セキュリティインシデントの未然防止に努めるとともに、発生時に速やかに検知・対応・復旧し、影響を最小化し再発を防止する体制を整備します。重大な事案については、関係するお客様および監督官庁等へ適切に報告します。また、事業継続計画を整備し、災害・障害時にも重要業務を継続・早期復旧できるよう備えます。

本方針または関連規程に違反した従業者に対しては、就業規則等に基づき適切に対処します。委託先その他の関係者による違反についても、契約等に基づき適切に対応します。

当社は、内部監査およびマネジメントレビューを通じてISMSの運用状況および本方針の適切性を定期的に評価し、是正・改善を行うことで、情報セキュリティの水準を継続的に向上させます。本方針は、必要に応じて見直し、改定します。