エスペラントシステム

１．基本理念

株式会社エスペラントシステム（以下、「当社」という）は、創業以来コンピュータシステムの設計・開発、システムインフラの開発・運用といったIT関連業務を展開してまいりました。
近年ではネットワークの発達とネット関連ビシネスの進展が著しい状況に鑑み、当社においてもICTサービス事業へと着々と変革を進めております。
技術の進歩やサービス内容の変革が進むなかで、当社は以前より情報セキュリティの重要性に着目し、お客様からお預かりする情報を含めた情報資産を守ることが、当社の事業活動の維持・拡大を図るための重要な経営課題と認識してきました。
このため、情報資産を適切に保護するための体制と仕組みを構築するとともに、役員及び社員・継続的雇用契約の無いパート・アルバイト・インターン・協力会社要員（以下、「従業者」という）に当社のセキュリティ規範を浸透させるための活動を推進してまいりました。
今後もお客様のニーズを汲み取り、安全性・信頼性・効率性を重視したサービスを心掛けるとともに、技術の力で新しい付加価値の創出に挑戦し続け、豊かな情報化社会の実現への貢献を目指してまいります。お客様や社会の信頼に応えるため、情報セキュリティ方針を定め、これを継続して推進することを宣言します。

２．当社の課題とステークホルダの期待

(1)情報セキュリティの重要性と、情報セキュリティが損なわれた場合の影響について、全ての役員及び従業者に認識させ、理解の度合いを高めること。
(2)法令や、当社及び顧客企業の情報セキュリティや個人情報保護に関する規程に反しないよう、契約関係を含む業務プロセスを整備、運用、監視、改善、維持すること。
(3)情報セキュリティに関する当社の目的を達成するために、必要な施策を業務プロセスへ適正に実装すること。

３．参照規格

JIS Q 27001:2014（『情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』）

４．適用範囲

(1)物理的な適用範囲
流山本社（千葉県流山市前平井６１番地　ESSビル）
(2)組織範囲
本社で遂行する業務に付帯する全ての部門と役員及び所属する従業者
(3)事業範囲登録範囲
a) 顧客業務用情報システムの受託設計・構築・運用・保守及び付帯サービスに係る情報セキュリティ
b) 顧客向けクラウドサーバサービスの提供・監視・保守及び付帯サービスに係る情報セキュリティ
c) 一般労働者派遣事業に係る情報セキュリティ
d) パッケージソフトウェアの自社開発、販売及び販売代理店事業

５．情報セキュリティ目的

重大な障害や事故によってお客様の事業活動や当社の事業活動に影響が発生することを防止するための下記の活動を日々推進する。

(1)預託された情報を含む全ての情報に対する「機密性」「完全性」「可用性」を確保し維持する。
(2)教育や日々の情報セキュリティ活動を通じて、常にセキュリティ規範の意識を持って業務にあたるように従業者を指導する。
(3)日本国内の法律・法令・条例及び各種規範に違反しないための諸活動の推進。
(4)重大な障害または災害の予防措置を講ずるとともに、回復手段及び手順を策定し定期的な見直しを行うこと。
(5)情報セキュリティの諸規程に違反する事象や、情報セキュリティの観点から是正が必要と判断された弱点を報告・調査し対応する。

６．基本方針

(1)適用範囲
本基本方針は当社が事業活動の中で取扱う「情報資産」を対象とします。情報資産とは、当社が保有または運用管理する情報、データ及び情報システム、ネットワーク、設備とし、有形・無形に関わらず事業を展開する中で当社が必要と判断する全てのものを対象とします。
(2)情報セキュリティ体制の構築
当社は、経営陣を中心として情報セキュリティマネジメントシステムの体制を整え、情報セキュリティの維持、向上の取組みを行います。また、これらの取組みを定期的に監査し、改善に努める体制を整備します。
(3)情報セキュリティ管理責任者の配置
情報セキュリティ管理責任者（取締役）を設置するとともに、部門長をメンバーとする情報セキュリティ推進会議を組織します。これにより全社レベルで情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるよう積極的な活動をおこないます。
(4)情報セキュリティに関する内部規程の整備
情報セキュリティ基本方針に基づいた内部規程を整備し、情報資産全般の取り扱いについて明確な方針を示すとともに、情報漏洩などに対して厳しい態度で臨むことを社内外に周知徹底します。
(5)情報資産の保護
保有する全ての情報資産を機密性、完全性、可用性の観点から重要性を認識するとともにリスク評価を行い、情報セキュリティ体制のもとに継続的なリスク対策を実施し、情報資産の保護に努めます。
(6)業務委託先の管理体制強化
業務委託契約を締結する場合は、業務委託先としての適格性を十分に審査し、当社と同等以上のセキュリティレベルを維持していることを条件とします。また、これらのセキュリティレベルが適切に維持されていることを確認するために、業務委託先を継続的にチェックし見直しを行います。
(7)情報セキュリティ教育・訓練の実施
当社は、全ての役員及び従業者に対し、情報セキュリティへの取組みの徹底及び向上を目的として、定期的に教育活動を行います。
(8)セキュリティ事件・事故の対応
当社は、セキュリティ事件・事故が発生した場合、またはその予兆があった場合、速やかな対応及び手続きを行います。
(9)法令等の遵守
当社は、当社が取り組む情報セキュリティに適用される全ての法令、その他のガイドラインを遵守します。
(10)見直し及び改善
当社は、経営方針の変更、事業内容の変更、社会的変化、技術的変化、法令等の変更などに伴い、本方針を定期的に見直し、改善を行います。

７．責任と体制

(1) 情報セキュリティの責任は、当社の情報セキュリティ体制を統括する代表取締役（代表者）が負う。また、代表取締役は適用範囲の従業員が情報セキュリティ目的を達成するために必要とする資源を適宜提供する。
(2) 当社の役員及び従業者は、顧客情報やユーザ情報あるいは取引先情報を適正に守る義務を有する。
(3) 当社の役員及び従業者は、本方針を維持するために策定された規程や手順を遵守しなければならない。
(4) 当社の役員及び従業者は、情報セキュリティを損なう事故（インシデント）及び情報セキュリティにかかわる欠陥や問題あるいは兆候を速やかに報告する責任を負う。
(5) 当社の役員及び従業者は、情報資産を保護するための管理策の有効性を損なうような行為を行った場合に、当社の就業規則に従って処分を受ける。
(6) 情報セキュリティ管理責任者は「情報セキュリティ推進委員会」を組織し、当社の情報セキュリティ方針や目的、ISMS の確立、実装、運用、維持、改善にかかわる事項を決定する。各部門でのISMS 運用にかかわるリーダーシップも支援する。
(7) 以上の責任及び体制を確固たるものにするとともに継続的に維持するために、情報セキュリティ推進委員会メンバーは決議の内容を全従業者に通知する。
(8) 当社は、情報セキュリティに関する活動を円滑に推進するため「情報セキュリティ事務局」を設置する。事務局は当社の情報セキュリティ活動の主体である「情報セキュリティ管理責任者」及び「情報セキュリティ推進委員会」の活動をサポートする。

８．継続的改善

当社の情報セキュリティマネジメントシステムは、環境変化に合わせて継続的に改善し運用する。見直しは情報セキュリティ管理責任者が主催する情報セキュリティ委員会によって行う。

PRIVACY情報セキュリティ基本方針

情報セキュリティ基本方針