情報セキュリティ方針

有限会社西工作舎(以下「当社」といいます)は、お客様からお預かりする情報資産の重要性を深く認識し、情報セキュリティの確保を経営の最重要課題の一つと位置づけ、以下の情報セキュリティ方針を定め、これを実践してまいります。

1. 情報セキュリティマネジメント体制の確立

当社は、情報セキュリティを統括する責任者として情報セキュリティ管理責任者を任命し、組織的かつ継続的に情報セキュリティの向上に取り組むための体制を確立します。情報セキュリティ管理責任者は、全社的な情報セキュリティ対策の企画・立案・実施・評価・改善を統括します。

2. 情報資産の適切な管理

当社は、保有する情報資産を適切に管理し、不正アクセス、情報の紛失、破壊、改ざん、漏えい等のリスクに対して、合理的な安全対策を講じます。具体的には以下の対策を実施します。

  • アクセス制御:情報資産へのアクセスは、業務上必要な者に限定し、適切なアクセス権限を設定します
  • 暗号化技術の採用:重要な情報の保管・伝送時には、暗号化技術を用いて保護します
  • 物理的セキュリティ:サーバーや重要機器は、施錠された部屋に設置し、入退室管理を実施します
  • バックアップとリカバリ:定期的なバックアップを実施し、災害時でも迅速な復旧が可能な体制を整えます
  • ログ管理:システムへのアクセスログを記録・保管し、定期的に監視・分析します

3. 法令及び規範の遵守

当社は、情報セキュリティに関する法令、国が定める指針、その他の規範を遵守します。特に以下の法令を重点的に遵守します。

  • 個人情報の保護に関する法律(個人情報保護法)
  • 不正アクセス行為の禁止等に関する法律
  • 電子署名及び認証業務に関する法律
  • 特定商取引に関する法律
  • その他、情報セキュリティに関連する各種法令・規制

4. 従業員への教育と訓練

当社は、全従業員及び関係者に対して、情報セキュリティの重要性を認識させ、情報資産を適切に取り扱うための教育・訓練を定期的に実施します。具体的には以下の取り組みを行います。

  • 新入社員に対する情報セキュリティ研修の実施
  • 全従業員を対象とした年次セキュリティ教育の実施
  • 最新のセキュリティ脅威に関する情報共有とアップデート
  • セキュリティインシデント対応訓練の定期実施
  • フィッシング対策訓練等の実践的訓練の実施

5. セキュリティインシデント対応

当社は、情報セキュリティに関する事故や違反が発生した場合、または発生が予見される場合に、迅速かつ適切に対処するための体制を整備します。セキュリティインシデント対応体制には以下が含まれます。

  • 報告体制:インシデントを発見した従業員は、直ちに情報セキュリティ管理責任者に報告します
  • 初動対応:被害の拡大を防止するため、影響を受けたシステムの隔離等の初動対応を実施します
  • 原因究明と再発防止:インシデントの原因を究明し、再発防止策を策定・実施します
  • 関係者への通知:必要に応じて、お客様や関係当局への通知を適切に行います
  • 記録と分析:インシデントの記録を保管し、今後の対策に活用します

6. 委託先の管理

当社は、業務を外部に委託する場合、委託先における情報セキュリティ水準を評価し、適切な委託先を選定します。また、契約において情報セキュリティに関する責任を明確にし、定期的に委託先の情報セキュリティ対策の実施状況を確認します。

  • 委託先選定時のセキュリティ評価の実施
  • 委託契約における秘密保持条項の明記
  • 委託先に対する定期的な監査・評価の実施
  • 委託業務終了時の情報資産の確実な返却・削除の確認

7. 技術的対策の実施

当社は、最新の情報セキュリティ技術を活用し、以下の技術的対策を講じます。

  • ファイアウォール:不正なネットワークアクセスを遮断するファイアウォールを設置します
  • ウイルス対策:最新のウイルス対策ソフトウェアを導入し、定期的に更新します
  • 侵入検知・防御:不正侵入を検知・防御するシステムを導入します
  • 脆弱性管理:システムやソフトウェアの脆弱性を定期的にスキャンし、パッチ適用を迅速に行います
  • 多要素認証:重要なシステムへのアクセスには、多要素認証を導入します
  • データ暗号化:保管中および通信中のデータを暗号化します

8. 継続的改善

当社は、情報セキュリティマネジメントシステムの有効性を定期的に評価し、技術の進歩や新たな脅威に対応するため、継続的な改善を行います。具体的には以下のPDCAサイクルを実施します。

  • Plan(計画):情報セキュリティ目標の設定と対策の計画
  • Do(実行):計画に基づいた対策の実施
  • Check(評価):定期的な内部監査とリスクアセスメントの実施
  • Act(改善):評価結果に基づく改善策の実施

9. お客様への情報開示

当社は、お客様に対して、当社の情報セキュリティ対策について必要な情報を適切に開示します。また、お客様からの情報セキュリティに関するお問い合わせには、誠実かつ迅速に対応いたします。

10. 本方針の見直し

本方針は、社会環境の変化、技術の進歩、法令の改正等に応じて、適宜見直しを行います。見直しを行った場合は、本ウェブサイト上で公開します。

お問い合わせ窓口

本方針に関するお問い合わせは、下記の窓口までお願いいたします。

事業者名:有限会社西工作舎

担当部署:情報セキュリティ管理責任者

メールアドレス:nishiks.info@gmail.com

対応時間:10:00~18:00(土日祝日を除く)

制定日:2026年2月8日

最終更新日:2026年2月8日

トップページに戻る