情報セキュリティポリシー
株式会社コンベックス(以下、当社とします)は、お客様が営業支援ソフトウェアとしてのDigima をご利用頂くことにより、確実な営業成果を導き出して頂くことを願っております。Digima は、情報資産の活用による積極的なマーケティングを展開して頂くとともに、効果的なセールスに結び付けて頂くための各種サービスを備えたシステムです。そして Digima は、お客様に安心してご利用頂くための機能面における品質を確保するとともに、セキュリティ面における品質も確保したシステムです。当社は、お客様の情報資産に対するセキュリティについて万全とする対策を講じた上で Digima を運営しております。当社は、お客様の情報資産に対する確実なセキュリティの実行を最優先すべき経営責務として認識し、当社の内部統制における情報管理の原則に基づき、以下に掲げます事項を情報セキュリティポリシーとして公表します。
1.経営責務の実行
・代表取締役は、経営責任者として内部統制に基づく組織の指揮及び監督に務めます。
・管理部門を管掌する取締役員は、実行責任者として内部統制における情報管理を統括し、お客様の情報資産及び当社所管の情報資産に対するセキュリティの実行に努めます。
2.法令等の遵守
・セキュリティの実行にあたっては、当社の事業に適用される法律、条例、指針及び契約事項について、それら全てを特定して遵守すべき対象を明確にします。
・特定した法律、条例、指針及び契約事項は全従業者に周知するとともに、適用される要求事項を理解させるための、及び遵守することの重要性を認識させるための教育を実施します。
・法令等の遵守は管理者による日常業務を通じての監視を行うとともに、社内監査の結果に基づいて遵守を評価します。
3.マネジメントシステムの運営
・お客様の情報資産に対するセキュリティは、セキュリティの要素となる機密性、完全性及び可用性の保全を目的としたマネジメントシステムに基づき実行します。
・マネジメントシステムは定期的な評価を行い、セキュリティをより効果的に機能させるための改善を継続的に実行します。
・マネジメントシステムは規程及び手順書等により文書化し、社内標準化された状況で運用します。
4.責任範囲及び職務権限の管理
・セキュリティの実行にあたっては、取締役員ならびに部門長におけるセキュリティ上の責任範囲及び職務権限を規定し、滞りの無い管理を推進するためのセキュリティ組織を編成します。
・当社の指揮及び命令下にある従業者は雇用形態ならびに職制に関することなく、セキュリティ組織に属する要員としてセキュリティ上の責任を明確にするとともに職務権限を定めます。
・セキュリティ組織は社内監査の結果に基づき、管理者における責任範囲及び職務権限の適切性を評価します。
5.社内教育の実施
・全従業者に対して、法令等遵守、社内規定遵守及び指揮命令遵守の重要性を認識させ、各自が有する責任を自覚させるための認識教育を計画的かつ継続的に実施します。
・全従業者に対して、セキュリティが関係する業務上の作業手順又は要領を習得させるための、及び管理手法を養成するための力量教育を計画的かつ継続的に実施します。
・実施した教育はすべて記録し、従業者における認識ならびに自覚の維持、及び力量の根拠を評価します。
6.連携事業者の管理
本サービスの有償利用時のサービス期間は以下のとおりとします。
・当社がお客様に提供させて頂きますサービスについて、機能の一部あるいは全部を他の事業者と提携又は委託を行い連携することから、連携事業者に対しては経営上の健全性及びセキュリティ上の確実性を必須要件として評価した上で選定します。
・本セキュリティポリシーの公表時における、他の事業者と連携するサービス及びセキュリティ情報は次のとおりです。
対象サービス:Digima
連携目的:Digima の運営及び管理を実行するクラウドサービスを構築するため。
連携事業者:Amazon Web Services(AWS)
セキュリティ情報:https://aws.amazon.com/jp/security/
・連携事業者については、連携事業者側におけるインシデント発生及びセキュリティ更新情報を注視します。
7.情報リスクの管理
・情報資産のリスクに対しては、リスクアセスメントによる「リスク特定」、「リスク分析」及び「リスク評価」に基づき、顕在化を未然に防止するための管理策を講じてセキュリティに努めます。
・リスクアセスメントは定期的な見直しを原則としますが、新規保有あるいは抹消などに対して臨機に見直しを実行し、情報資産のリスクについて最新を維持します。
・リスクアセスメント及び管理策は社内監査の結果に基づき、セキュリティとしての有効性を評価します。
8.情報資産の取扱い制限
・情報資産を取扱う者は職務権限を付与された者のみとして、取扱いを制限します。
・情報資産データが保存されるネットワークシステムは、通信制御の措置を講じて社内外のアクセスを制限します。
・情報資産データへアクセスを可能とする端末は、識別認証の設定を講じて使用者を制限します。
・紙媒体の情報資産は施錠機能付きの収納庫で保管し、無権限者による閲覧又は持出しを制限します。
9.保存データの取扱い
サービスのご利用にあたりましては、お客様が保存される情報資産データはお客様ご自身による管理となり、当社はいかなる権利も有することはありません。しかしながら、当社がセキュリティ及び遵法の観点からお客様の情報資産データへアクセスを必要とする場合があることから、お客様に例外事項を事前に許諾して頂くために、『ご利用規約』にその詳細を規定させて頂きます。
株式会社コンベックス
代表取締役 美里泰正
2015 年 12 月 1 日 制定