情報セキュリティ基本方針
1. 基本方針
当社は、事業活動を通じて取得・保有する情報資産を適切に保護することを経営上の重要課題として位置づける。情報の機密性・完全性・可用性を確保し、情報漏えい、不正アクセス、改ざん、滅失その他のリスクを低減するため、本方針を定め、これを役職員および当社の業務に従事するすべての関係者に適用する。
2. 適用範囲
本方針は、当社の役員、従業員、業務委託先、インターン生その他当社の情報資産を取り扱うすべての者に適用する。対象となる情報資産は以下を含む。
| 区分 | 内容 | 主な例 |
|---|---|---|
| 公開情報 | 外部公開を前提とする情報 | ウェブサイト、プレスリリース |
| 社内情報 | 社内利用を前提とする業務情報 | 社内マニュアル、議事録 |
| 機密情報 | 漏えいにより事業上の重大な損害が生じる情報 | 事業計画、契約書、財務資料 |
| 個人情報 | 生存する個人を識別できる情報 | 氏名、メールアドレス、住所 |
| 認証情報 | システムアクセスに必要な秘密情報 | パスワード、APIキー、秘密鍵 |
3. 管理体制
当社は情報セキュリティの最終責任を代表取締役が負い、日常的な運用管理を担当する情報セキュリティ運用責任者を別途指定する。各メンバーは本方針を遵守し、異常を発見した場合は速やかに運用責任者へ報告する義務を負う。
4. アクセス・権限管理
情報資産へのアクセスは、業務上の必要性に応じた最小権限の原則に基づき付与・管理する。主な遵守事項は以下のとおり。
- 業務アカウントは会社管理のメールアドレスにより作成し、私用アカウントの業務利用は認めない。
- 重要サービスにおいては多要素認証(MFA)の利用を必須とする。
- 退職、契約終了または担当変更が生じた場合は、速やかに権限を削除または変更する。
- パスワード・APIキー・秘密鍵等の認証情報は、Slack・メール・GitHubリポジトリ等に平文で記録・共有しない。
5. 端末管理
業務に使用する端末(PC・スマートフォン・タブレット等)について以下を遵守する。
- OSおよびソフトウェアは常に最新の状態を維持し、セキュリティパッチを適時適用する。
- 端末にはパスワードまたは生体認証を設定し、紛失・盗難に備えてリモートロックまたはワイプ機能を有効にする。
- 業務端末を第三者に貸与しない。退職・契約終了時は業務データを削除したうえで返却する。
6. クラウド・SaaSの利用
新たなSaaSまたはクラウドサービスを業務に導入する場合は、事前に管理者の承認を要する。個人情報または機密情報を取り扱うサービスについてはアクセス権限・外部共有設定を適切に管理し、退職者・外部委託先のアカウントを速やかに停止する。
7. 開発・システム運用
当社は、提供するサービスにおいて以下の観点からセキュリティ対策を講じる。
- ソースコード・構成情報の管理:APIキー・秘密鍵・個人情報を含む情報をソースコードに直接記述しない。
- 認証・認可:ユーザー認証および権限管理を適切に実装し、フロントエンドのみへの依存を排除する。
- 入力検証:SQLインジェクション・XSS・CSRFを含む代表的な脆弱性に対する対策を実施する。
- ログ・監視:認証、権限変更および個人情報アクセスに関するログを取得し、異常を検知できる体制を整備する。
8. 個人情報の取り扱い
当社は、個人情報の保護に関する法律(個人情報保護法)および関連ガイドラインを遵守し、以下の方針に従って個人情報を取り扱う。
8.1 取得・利用
- 個人情報の取得にあたっては、利用目的を明確にしたうえで、業務上必要な範囲に限定する。
- 取得した個人情報は、取得時に明示した利用目的の範囲内においてのみ利用する。目的外利用が必要な場合は、原則として本人の同意を取得する。
8.2 保管・管理
- 個人情報へのアクセスは権限を有する者に限定する。
- 利用目的を達成した個人情報または保管が不要となった個人情報については、法令・契約上の保存義務を考慮のうえ、適時削除する。
8.3 第三者提供・委託
- 個人情報を第三者に提供または取り扱いを委託する場合は、個人情報保護法の定めに従い、必要な対応を講じる。
- 委託先に対しては、個人情報の適切な管理に係る契約上の措置を求める。
8.4 国外移転
- 個人情報をクラウドサービス等を通じて国外のサーバーで処理する場合は、個人情報保護法第28条が定める移転制限の要件を満たす措置を講じる。
8.5 本人の権利への対応
- 保有個人データに関する開示・訂正・利用停止等の請求については、法令に従い適切に対応する。
- 対応窓口は本方針末尾に定める連絡先とする。
9. 委託先・外部パートナーの管理
外部委託先等に情報資産を共有する場合は、業務上必要な範囲に限定するとともに、機密保持契約(NDA)または秘密保持条項の締結を確認する。付与するアクセス権限は最小限とし、契約終了時はアカウント停止・データ返却または削除を確実に行う。
10. インシデント対応
個人情報・機密情報の漏えい、不正アクセス、マルウェア感染、認証情報の流出、サービス停止その他情報資産の機密性・完全性・可用性を損なう事象が発生した場合または発生が疑われる場合は、発見者は直ちに情報セキュリティ運用責任者に報告する。
対応においては、事象確認・影響範囲特定・被害拡大防止・原因調査・復旧・再発防止の手順を踏み、法令上必要な場合は監督官庁および本人への報告・通知を行う。
11. 教育・周知
当社は、役職員および関係者に対し、情報セキュリティに関する必要な教育を定期的に実施する。教育内容には、フィッシング対策、パスワード・MFA管理、個人情報の取り扱い、インシデント発見時の報告手順を含む。
12. 違反時の対応
本方針に違反した場合、当社は事実確認を行ったうえで、アクセス権限の停止、契約上の措置、損害賠償請求その他必要な対応を取る。
13. 見直し
本方針は、事業内容、利用システム、法令改正、顧客要求またはインシデントの発生状況等を踏まえ、少なくとも年1回、または必要に応じて見直す。
14. 問い合わせ窓口
本方針に関するお問い合わせ、個人情報の開示・訂正・利用停止等の請求、ならびに外部からのセキュリティ脆弱性情報の報告については、以下の窓口にご連絡ください。
- 窓口担当:MuchApp Dev Team
- 連絡先:dev-admin@ueen.jp
制定日:2025年01月01日
最終改定:2026年01月01日
MuchApp株式会社