会社概要
会社情報
会社名 アイエックス・オープンシステム株式会社
法人番号 1010401098458
所在地 〒105-0012
東京都港区芝大門2丁目5番1号 アルテビル芝大門5階
連絡先 TEL 03-3431-3633
URL www.ixos.co.jp
Mail info@ixos.co.jp
設立 2012年2月29日
資本金 3,000,000円
取締役 代表取締役 長岡 純
アクセス
都営浅草線・都営大江戸線 大門駅(A3出口) 徒歩2分
JR 山手線/京浜東北線・東京モノレール 浜松町駅(北口・金杉橋口) 徒歩4分
都営三田線 芝公園駅(A3出口) 徒歩6分
個人情報保護方針
アイエックス・オープンシステム株式会社(以下「当社」)は、以下のとおり個人情報保護方針を定め、個人情報保護の仕組みを構築し、全従業員に個人情報保護の重要性の認識と取組みを徹底させることにより、個人情報の保護を推進致します。
個人情報の管理
当社は、お客様の個人情報を正確かつ最新の状態に保ち、個人情報への不正アクセス・紛失・破損・改ざん・漏洩などを防止するため、セキュリティシステムの維持・管理体制の整備・社員教育の徹底等の必要な措置を講じ、安全対策を実施し個人情報の厳重な管理を行ないます。
個人情報の利用目的
お客様からお預かりした個人情報は、当社からのご連絡や当社業務のご案内やご質問に対する回答として、電子メールや資料のご送付に利用いたします。
個人情報の第三者への開示・提供の禁止
当社は、お客様よりお預かりした個人情報を適切に管理し、次のいずれかに該当する場合を除き、個人情報を第三者に開示いたしません。
• お客様の同意がある場合
• お客様が希望されるサービスを行なうために当社が業務を委託する業者に対して開示する場合
• 法令に基づき開示することが必要である場合
個人情報の安全対策
当社は、個人情報の正確性及び安全性確保のために、セキュリティに万全の対策を講じています。
ご本人の照会
お客様がご本人の個人情報の照会・修正・削除などをご希望される場合には、ご本人であることを確認の上、対応させていただきます。
法令、規範の遵守と見直し
当社は、保有する個人情報に関して適用される日本の法令、その他規範を遵守するとともに、本ポリシーの内容を適宜見直し、その改善に努めます。
お問い合せ
当社の個人情報の取扱に関するお問い合せは下記までご連絡ください。
アイエックス・オープンシステム株式会社
〒105-0012 東京都港区芝大門2丁目5番1号 アルテビル芝大門5階
TEL:03-3431-3633 Mail:info@ixos.co.jp
情報セキュリティ方針
アイエックス・オープンシステム株式会社(以下「当社」)は、以下のとおり情報セキュリティ方針を定め、お客様からお預かりした情報資産保護の仕組みを構築し、全従業員に情報資産保護の重要性の認識と取り組みを徹底させることにより、情報セキュリティ対策を推進致します。
『情報セキュリティ方針』の適用範囲
『情報セキュリティ方針』の適用範囲は、当社の情報資産に関連する人的・物理的・環境的リソースを含むものとする。
『情報セキュリティ方針』の適用者
当社の社員・契約社員(一時雇用者を含む)を従業員と定義する。『情報セキュリティ方針』の適用者は、経営陣、従業員を含めた、当社の情報資産を利用するすべての者である。
① 経営陣の責務
経営陣は、『情報セキュリティ方針』の支持・支援を表明し、率先して情報セキュリティマネジメントを推進しなければならない。
② 従業員の責務
従業員には、当社の情報資産の使用を認めるが、それは、円滑な業務遂行の手段としての使用を認めることであり、私的利用を認めるものではない。従業員は、情報資産を扱う上で、企業利益の維持・向上および顧客満足のために、『情報セキュリティ方針』に同意し、遵守しなければならない。また、これに違反した者は、その結果について責任を負わなければならない。
③ 外部委託業者に対する対応
『情報セキュリティ方針』の適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。
『情報セキュリティ方針』の構成と位置付け
『情報セキュリティ方針』は、以下の3つの階層に分けて策定・管理される文書とする。
① 情報セキュリティポリシー
情報セキュリティポリシー(以下、「方針」とする)は、当社の情報セキュリティマネジメントにおける方針を記述したものである。この文書に基づいて下層の文書を策定する。
② 情報セキュリティ対策規程
情報セキュリティ対策規程(以下、「対策規程」とする)は、方針の下層に位置する文書である。この文書は、方針での宣言を受け、項目毎に遵守すべき事項を網羅的に記述する。
③ 情報セキュリティ対策手順書
情報セキュリティ対策手順書(以下、「対策手順書」とする)は、対策規程の下層に位置する文書である。この文書は、対策規程で記述された文書をより具体的に、配布するべき対象者毎に内容をカスタマイズして記述する。
④ 既存の規程との関連
方針は、当社の他の規程(人事規程、就業規則等)と同等の位置付けの文書とする。よって、この文書の改廃は所定の規程に準じて行うものとする。
⑤ その他関連法規
『情報セキュリティ方針』は、関連法規と照らして違反することの無いようにしなければならない。また、必要に応じて関連規格に遵守した管理策を導入しなければならない。
『情報セキュリティ方針』の公開対象者
『情報セキュリティ方針』は、一般に公開する。
情報セキュリティポリシーは、従業員すべてに公開とする。外部には公表しない機密情報として取り扱わなければならない(情報セキュリティポリシー以外の文書も機密情報である)。情報セキュリティ対策規程は、情報セキュリティ委員会メンバーと担当部署の者に公開とする。
情報セキュリティ対策手順書は、該当する業務を行う者に公開とする。
公開しなければ業務を遂行できない場合には、機密保持契約を締結した上で、公開を認める場合がある。
基本用語の定義
『情報セキュリティ方針』における用語は以下の通り定義する。
① 情報セキュリティ
情報の機密性、完全性及び可用性を維持すること。
② リスクアセスメント
情報及び情報処理施設/設備に対する脅威と重要度を特定し、事故発生につながる脆弱性及び事故のおこりやすさを評価すること。
③ リスクマネジメント
リスクアセスメントにより、情報及び情報処理施設/設備に影響を及ぼす可能性がある情報セキュリティリスクを明確にし、許容コストに応じて情報セキュリティリスクを制御し、最小限に抑制するか、又は除去するプロセスを指す。
④ 脅威
自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因のこと。
⑤ 脆弱性
ハードウェア・ソフトウェアの欠陥、定期点検の不備、要員教育の不備等、脅威を増加させる要因(脆さ、弱点)のこと。
体制
情報セキュリティマネジメントを遂行する体制を以下の通り定める。
① 情報セキュリティ委員会
当社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、全社的なマネジメント体制を整えるものとする。情報セキュリティ委員会の構成メンバーは、情報セキュリティ管理責任者とする。
② システムセキュリティ責任者
システムセキュリティ責任者の役割は、管理を依頼された情報機器に対して、セキュリティ対策を実施し、セキュリティ推進及び運用の点検結果の収集担当であり、収集した情報は情報セキュリティ委員会へ報告するする現場レベルでの責任者である。
③ 情報セキュリティ監査
情報セキュリティ監査は、運用部門とは独立した組織を構成する事を目的とする。監査人は、情報セキュリティ管理責任者が兼務する。
情報セキュリティ委員会の役割と責務
情報セキュリティ委員会の主な役割を下記の通り定める。
① 情報セキュリティマネジメントの企画及び計画
情報セキュリティ委員会は、当社における情報セキュリティマネジメントを実施していく企画及び計画を作成し、その計画通り情報セキュリティマネジメントを実施しなければならない。
この企画及び計画には、情報セキュリティマネジメントを遂行する為のリスクアセスメント、リスクマネジメントはもちろんのこと、『情報セキュリティ方針』の見直しや従業員への普及・啓発も考慮に入れなければならない。
② 『情報セキュリティポリシー』文書の配布責任
情報セキュリティ委員会は、『情報セキュリティ方針』を策定又は改訂した場合には、迅速に対象従業員へその文書を配布し、周知徹底させなければならない。
③ 社内教育の実施
情報セキュリティ委員会は、経営陣、従業員に対し情報セキュリティに関する継続的な社内教育を行う。この社内教育は、意識向上と技術向上の両面から実施しなければならない。
④ 『情報セキュリティ方針』の遵守状況の評価及び改訂
情報セキュリティ委員会は、従業員の『情報セキュリティ方針』遵守状況を定期的に調査し、『情報セキュリティ方針』のレビューを行うこととする。また、従業員の『情報セキュリティ方針』に対する意見や要望を収集し、その妥当性・準拠性を評価するとともに必要に応じて内容の改訂を行うこととする。
⑤ 監査結果の評価及び改訂
情報セキュリティ委員会は、監査の結果を受けて、『情報セキュリティ方針』の妥当性を評価すると共に、必要に応じて、内容の改訂を行わなければならない。
⑥ 『情報セキュリティ方針』違反者への処罰
情報セキュリティ委員会は、従業員の『情報セキュリティ方針』に違反した行為等が判明した場合、該当従業員に対して適切な処置を講じることとする。場合によっては、人事規程に基づいた処罰を人事部に申請することとする。
情報セキュリティマネジメント
当社は、情報資産を保護するために、情報セキュリティマネジメントを以下の通り進めることとする。
① リスク分析
当社の情報資産に関するリスクアセスメント、リスクマネジメント全般は、情報セキュリティ委員会が行うこととする。
② 情報セキュリティポリシー策定
『情報セキュリティ方針』の策定・評価・レビューは情報セキュリティ委員会が行うこととする。また、情報セキュリティ委員会では、方針および対策規程を策定することとし、対策手順書に関しては、情報セキュリティ委員会より指名された各情報システムの担当者が策定し、運用しなければならない。
④ 対策の実施
当社で策定した『情報セキュリティ方針』に記述した対策は、計画的に実装するため、セキュリティ対策実装のための計画書を策定しなければならない。
④ 教育・啓蒙
当社は、情報資産を扱うすべての者に対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティ教育を行うこととする。当社の情報資産に関わるすべての者は、当社が実施する情報セキュリティの教育を受けなければならない。同時に、当社の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ委員会に提言することが望ましい。
⑤ 評価
情報セキュリティ委員会は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティ方針』に反映させなければならない。それらは、監査の結果、情報資産の利用者から届けられた情報、情報セキュリティの脆弱性に関する情報の収集等の活動から得られる情報をもとに行われる場合もある。
⑥ 文書の改廃
『情報セキュリティ方針』の改廃は、情報セキュリティ管理責任者の承認を必要とする。対策規程及び対策手順は、情報セキュリティ委員会が承認する。
違反時における罰則
当社は、『情報セキュリティ方針』の違反者に対し、厳格な措置をとることとする。情報セキュリティ委員会は、『情報セキュリティ方針』に違反した事項の重要度を評価し、違反者に適切な処置を講じることとする。
情報セキュリティ侵害時の対応
当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。
以上(2018年4月1日施行)