情報セキュリティ方針

株式会社グランヴィア（以下「当社」といいます）は、AI Merchant ZEK（以下「本サービス」といいます）の提供にあたり、お客様からお預かりする情報資産及び当社が保有する情報資産を適切に保護することが、事業活動の基盤であり社会的責務であると認識しています。

当社は、情報セキュリティの確保を経営上の最重要課題の一つと位置づけ、以下の方針に基づき、情報セキュリティマネジメントシステムを構築し、継続的な改善に取り組みます。

本方針は、当社が取り扱うすべての情報資産に適用されます。

情報資産の定義

• お客様の個人情報、取引情報、利用データ
• 当社の業務情報、技術情報、営業秘密
• 情報システム及びネットワーク機器
• ソフトウェア、プログラム、データベース
• 紙媒体の文書、電子媒体のデータ
• その他の重要な情報資産

当社は、情報セキュリティに関する以下の法令、規制、契約上の義務を遵守します。

• 個人情報の保護に関する法律（個人情報保護法）
• 不正アクセス行為の禁止等に関する法律
• 電子署名及び認証業務に関する法律
• 特定電子メールの送信の適正化等に関する法律
• 電気通信事業法
• その他関連する法令、ガイドライン、業界標準

3.1 情報セキュリティ管理体制

当社は、情報セキュリティを確保するため、以下の体制を構築します。

• 情報セキュリティ管理責任者の任命
• 各部門における情報セキュリティ責任者の配置
• 情報セキュリティ委員会の設置及び定期的な開催
• インシデント対応チームの組成

3.2 規程及び手順の整備

情報セキュリティの確保に必要な規程、手順、ガイドラインを整備し、継続的に見直しを行います。

• 情報セキュリティポリシー
• 個人情報保護規程
• 情報システム管理規程
• アクセス制御規程
• インシデント対応手順書
• 事業継続計画（BCP）

3.3 教育及び訓練

全従業員に対し、定期的な情報セキュリティ教育及び訓練を実施します。

• 新入社員向け情報セキュリティ研修
• 年次セキュリティ教育
• 標的型攻撃メール訓練
• インシデント対応訓練
• 外部専門家による最新脅威動向の講習

4.1 アクセス制御

情報資産へのアクセスは、業務上の必要性に基づき、適切に制御します。

• アカウント管理：利用者ごとに一意のアカウントを付与
• 認証強化：多要素認証（MFA）の導入
• 権限管理：最小権限の原則に基づく権限付与
• アクセスログの記録及び定期的な監視
• 退職者・異動者のアカウント即時削除

4.2 暗号化

重要な情報資産は、適切な暗号化技術を用いて保護します。

• 通信の暗号化：SSL/TLS（TLS 1.2以上）による通信の保護
• 保管データの暗号化：AES-256等の強力な暗号化アルゴリズムの使用
• 個人情報の暗号化保存
• パスワードのハッシュ化（bcrypt、PBKDF2等）

4.3 ネットワークセキュリティ

ネットワークを通じた不正アクセスや攻撃から情報資産を保護します。

• ファイアウォールの導入及び適切な設定
• 侵入検知システム（IDS）・侵入防止システム（IPS）の運用
• DDoS攻撃対策の実施
• ネットワークセグメンテーションによる影響範囲の限定
• VPNによる安全なリモートアクセス環境の提供

4.4 マルウェア対策

マルウェアの感染を防止し、被害を最小限に抑えます。

• ウイルス対策ソフトの導入及び定義ファイルの自動更新
• エンドポイント検知・対応（EDR）ツールの導入
• メールフィルタリングによる不正メールのブロック
• Webフィルタリングによる危険サイトへのアクセス制限

4.5 脆弱性管理

情報システムの脆弱性を継続的に管理し、適切に対処します。

• 定期的な脆弱性診断の実施（年2回以上）
• セキュリティパッチの適時適用
• OSやソフトウェアの最新版への更新
• 脆弱性情報の収集及び評価

4.6 データバックアップ

重要なデータは定期的にバックアップを取得し、災害時の復旧に備えます。

• 日次・週次・月次バックアップの実施
• バックアップデータの暗号化保存
• バックアップデータの遠隔地保管
• 定期的なリストアテストの実施

5.1 入退室管理

情報資産を保管・処理する区域への入退室を適切に管理します。

• ICカード等による入退室管理システムの導入
• 入退室記録の保存及び定期的な確認
• 来客者の入退室管理及び入館証の貸与
• サーバールームへのアクセス制限

5.2 機器・媒体の管理

情報を保存する機器や媒体を適切に管理します。

• PC、スマートフォン等の情報機器の管理台帳作成
• 情報機器の持ち出し管理
• 紛失・盗難時の対応手順の整備
• 不要となった機器・媒体の適切な廃棄（データ消去・物理破壊）

5.3 環境管理

情報システムを設置する環境を適切に管理します。

• 空調・温湿度管理
• 無停電電源装置（UPS）の導入
• 消火設備の設置
• 漏水検知システムの導入

6.1 インシデント管理体制

情報セキュリティインシデントが発生した場合に備え、適切な対応体制を構築します。

• インシデント対応チームの設置
• インシデント対応手順書の整備
• 24時間365日の監視体制
• エスカレーション手順の明確化

6.2 インシデント対応プロセス

インシデント発生時は、以下のプロセスに従い対応します。

1. 検知・報告：インシデントの早期検知及び速やかな報告
2. 初動対応：被害の拡大防止及び証拠保全
3. 調査・分析：原因究明及び影響範囲の特定
4. 復旧：サービスの復旧及び正常化
5. 報告：関係者への報告及び必要に応じた公表
6. 再発防止：根本原因の解消及び再発防止策の実施

6.3 お客様への通知

お客様の個人情報漏えい等の重大なインシデントが発生した場合は、法令に従い、速やかにお客様及び監督官庁へ報告します。

災害、システム障害等の緊急事態においても、重要な業務を継続できるよう、事業継続計画（BCP）を策定し、定期的に見直しを行います。

7.1 リスクアセスメント

• 重要業務及び情報資産の特定
• 脅威及び脆弱性の評価
• リスクの分析及び評価

7.2 継続・復旧対策

• データセンターの冗長化
• システムの多重化及び負荷分散
• 定期的な復旧訓練の実施
• 目標復旧時間（RTO）・目標復旧ポイント（RPO）の設定

情報資産の取扱いを委託する場合は、委託先に対して適切な管理を行います。

8.1 委託先の選定

• 情報セキュリティ体制の評価
• 実績・信頼性の確認
• ISO/IEC 27001等の認証取得状況の確認

8.2 契約及び監督

• 秘密保持契約（NDA）の締結
• 情報セキュリティ要件の契約への明記
• 定期的な監査及び実地確認
• 再委託の制限及び事前承認

情報セキュリティマネジメントシステムの有効性を確認し、継続的な改善を図ります。

9.1 内部監査

• 年1回以上の内部監査の実施
• 監査結果の経営層への報告
• 指摘事項の改善及びフォローアップ

9.2 マネジメントレビュー

• 経営層による定期的なレビュー
• 情報セキュリティ目標の達成状況の確認
• 改善指示及び必要な資源の配分

9.3 継続的改善

• PDCAサイクルに基づく継続的な改善
• 最新の脅威動向への対応
• 技術進化への対応

10.1 適用対象者

本方針は、以下の者に適用されます。

• 当社の役員、従業員（正社員、契約社員、派遣社員、アルバイト等を含む）
• 業務委託先、協力会社等、当社の情報資産を取り扱う全ての者

10.2 違反時の対応

本方針に違反した場合は、就業規則に基づき、懲戒処分を含む厳正な対処を行います。また、法令違反があった場合は、法的措置を講じることがあります。

本方針は、法令の改正、社会情勢の変化、技術の進展等に応じて、適宜見直しを行います。重要な変更がある場合は、当社ウェブサイトにて公表します。

本方針に関するお問い合わせは、以下までご連絡ください。

2024年10月21日 制定・施行