SoarSocial ソアソーシャル

Menu

情報セキュリティポリシー

SoarSocial LLC(以下「当社」という)は、お客様の大切な情報資産をお預かりする企業として、情報セキュリティの確保を経営の最重要課題の一つと位置づけ、以下の基本方針を定め、全社を挙げて情報セキュリティの向上に取り組んでまいります。

1. 基本理念

当社は、デジタル化が進展する現代社会において、情報システムとデータが事業運営の根幹をなすものであることを深く認識しております。お客様からの信頼を維持し、事業の継続的発展を実現するため、情報資産の機密性、完全性、可用性を確保し、情報セキュリティリスクを適切に管理することをお約束いたします。

2. 適用範囲

本方針は、当社の役員、正社員、契約社員、派遣社員、アルバイト、パートタイマー、業務委託先、その他当社の事業に関わるすべての者(以下「役職員等」という)に適用されます。また、当社が管理・運用するすべての情報システム、情報資産、施設に適用されます。

3. 情報セキュリティ管理体制の確立

3.1 管理体制の構築

当社は、情報セキュリティを全社的に推進するため、以下の管理体制を確立いたします:

  • 最高情報セキュリティ責任者(CISO)の設置
  • 情報セキュリティ委員会の設置と定期的な開催
  • 各部門における情報セキュリティ管理者の配置
  • 情報セキュリティに関する組織横断的な連携体制の構築

3.2 規程・手順書の整備

情報セキュリティの適切な管理を行うため、以下の規程類を策定し、継続的に改善いたします:

  • 情報セキュリティ管理規程
  • アクセス制御管理規程
  • システム運用管理規程
  • インシデント対応手順書
  • 事業継続計画(BCP)
  • その他必要な規程・手順書

4. 情報資産の分類と保護

4.1 情報資産の分類

当社は、取り扱う情報資産を以下のように分類し、それぞれに適した保護措置を講じます:

機密性による分類

  • 最重要情報:経営戦略情報、お客様の機密情報等
  • 重要情報:社外秘情報、個人情報等
  • 一般情報:公開可能な情報、社内一般情報等

情報の形態による分類

  • 電子データ(データベース、ファイル、メール等)
  • 紙媒体(文書、帳票、印刷物等)
  • その他の媒体(CD、DVD、USB等)

4.2 情報資産の保護措置

  • 機密性の確保:適切なアクセス制御、暗号化の実施
  • 完全性の確保:データの改ざん防止、バックアップの実施
  • 可用性の確保:システムの冗長化、災害対策の実施

5. アクセス制御と認証

5.1 アクセス制御の原則

  • 職務に応じた最小権限の原則に基づくアクセス権限の付与
  • 定期的なアクセス権限の見直しと不要権限の削除
  • 特権アカウントの厳格な管理
  • ログインアクティビティの監視

5.2 認証の強化

  • 強固なパスワードポリシーの実装
  • 多要素認証(MFA)の導入推進
  • 単一サインオン(SSO)の活用によるセキュリティと利便性の両立
  • 定期的なパスワード変更とアカウント管理

6. システムセキュリティ

6.1 技術的セキュリティ対策

  • ファイアウォール、侵入検知システム(IDS/IPS)の導入
  • ウイルス対策ソフトウェアの導入と定期更新
  • 脆弱性管理とセキュリティパッチの適用
  • ネットワークセグメンテーションの実装
  • データの暗号化(保存時・転送時)

6.2 システム運用管理

  • システムの設定変更管理
  • ログの収集・監視・分析
  • システムパフォーマンスの監視
  • 定期的なセキュリティ診断の実施

7. 物理的・環境的セキュリティ

7.1 施設のセキュリティ

  • 入退室管理システムの導入
  • 監視カメラによる24時間監視
  • 重要エリアへの立ち入り制限
  • 来訪者管理の徹底

7.2 機器・媒体の管理

  • IT機器の適切な配置と固定
  • 記録媒体の管理と廃棄手順の確立
  • 持ち出し機器の管理
  • クリアデスクポリシーの実施

8. 人的セキュリティ

8.1 採用時のセキュリティ確認

  • 雇用契約における情報セキュリティ条項の明記
  • 秘密保持契約の締結
  • 適切なバックグラウンドチェックの実施

8.2 教育・意識向上

  • 新入社員向け情報セキュリティ研修の実施
  • 定期的な情報セキュリティ教育の実施
  • フィッシング攻撃等の模擬訓練
  • 情報セキュリティに関する最新動向の共有

8.3 懲戒処分

情報セキュリティ違反に対しては、就業規則等に基づき適切な処分を行います。

9. 法令・規格の遵守

9.1 法的要求事項の遵守

当社は、以下を含む情報セキュリティに関連する法令・規則を遵守します:

  • 個人情報保護法
  • 不正アクセス行為の禁止等に関する法律
  • サイバーセキュリティ基本法
  • その他関連法令・規則

9.2 業界標準・ガイドラインの活用

  • ISO/IEC 27001(情報セキュリティマネジメントシステム)
  • NIST Cybersecurity Framework
  • 経済産業省「サイバーセキュリティ経営ガイドライン」
  • その他関連するガイドライン・標準

10. 事業継続とインシデント対応

10.1 事業継続計画(BCP)

  • 重要業務の特定と影響度評価
  • 復旧目標時間(RTO)・復旧ポイント目標(RPO)の設定
  • 代替手段・バックアップシステムの準備
  • 定期的なBCP訓練の実施

10.2 インシデント対応

情報セキュリティインシデントが発生した場合、以下の対応を行います:

  • 初動対応:被害拡大防止、影響範囲の特定
  • 調査・分析:原因究明、証拠保全
  • 復旧対応:システム・業務の復旧
  • 再発防止:改善策の策定・実施
  • 報告・開示:関係機関・ステークホルダーへの適切な報告

11. 委託先管理

11.1 委託先の選定

  • 情報セキュリティ体制の評価
  • 契約書への情報セキュリティ条項の明記
  • 定期的な監査の実施

11.2 委託先の管理

  • セキュリティ要求事項の明確化
  • 定期的なセキュリティ状況の確認
  • インシデント発生時の連絡体制の確立

12. 監査と継続的改善

12.1 内部監査

  • 年1回以上の情報セキュリティ監査の実施
  • 監査結果に基づく改善計画の策定
  • 改善状況のフォローアップ

12.2 継続的改善

  • 情報セキュリティマネジメントシステムの継続的改善
  • 脅威動向の把握と対策の見直し
  • 技術革新に応じたセキュリティ対策の更新

13. 緊急時連絡先

情報セキュリティに関するインシデントを発見した場合は、以下まで速やかにご連絡ください:

【情報セキュリティインシデント対応窓口】

  • 会社名:SoarSocial LLC
  • 住所:〒150-0042 東京都渋谷区宇田川町3-7 ヒューリック渋谷公園通りビル 5F la billage SHIBUYA内
  • メールアドレスsecurity-incident@soarsocial.net

14. 本方針の見直し

本方針は、法令改正、技術革新、脅威環境の変化等に応じて適宜見直しを行い、継続的に改善してまいります。重要な変更については、当社Webサイト等を通じて公表いたします。

PAGE TOP