サニー技研

情報セキュリティ基本方針

Security Policy

株式会社サニー技研の情報セキュリティ基本方針です。

1. 目的

この「情報セキュリティ基本方針」(以下、「本方針」という。)は、株式会社サニー技研(以下、「当社」という。)が保有するすべての情報資産の機密性、完全性及び可用性を維持するため、当社が実施する情報セキュリティマネジメントについて基本的な事項を定めるものです。

2. 定義

(1) 情報資産

当社が業務遂行上取り扱うすべての情報及びそれらを処理、保存、伝送する情報システム、ネットワーク機器、記録媒体等をいいます。

(2) 情報セキュリティ

情報資産の機密性、完全性及び可用性を維持することをいいます。

(3) 機密性

情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいいます。

(4) 完全性

情報が破壊、改ざん又は消去されていない状態を確保することをいいます。

(5) 可用性

情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいいます。

(6) サイバーセキュリティ

情報システムに対するサイバー攻撃から情報資産を保護することをいいます。

(7) クラウドサービス

インターネット経由で利用するコンピューティングサービスをいいます。

3. 適用範囲

本方針が対象とする情報資産は、以下のとおりです:

(1) 情報システム関連

  • オンプレミス及びクラウド上の情報システム
  • ネットワーク機器、サーバー、端末(PC、スマートフォン、タブレット等)
  • IoT機器、組み込みシステム
  • 電磁的記録媒体(USB、DVD、外付けHDD等)

(2) 情報・データ関連

  • 顧客情報、個人情報
  • 技術情報、設計図面、ソースコード
  • 営業情報、財務情報
  • これらを印刷した文書、図面

(3) 関連文書

  • システム仕様書、設計書
  • 契約書、機密保持契約書
  • その他業務関連文書

4. 対象とする脅威

情報資産に対する脅威として、以下を想定し情報セキュリティ対策を実施します:

(1) サイバー攻撃

  • 標的型攻撃、ランサムウェア
  • 不正アクセス、SQLインジェクション
  • DDoS攻撃、ゼロデイ攻撃
  • フィッシング、ソーシャルエンジニアリング

(2) 内部脅威

  • 権限濫用、内部不正
  • 操作ミス、設定ミス
  • 無許可ソフトウェアの使用
  • 情報の無断持出し、紛失

(3) 外部要因

  • 自然災害(地震、火災、水害等)
  • インフラ障害(停電、通信障害等)
  • サプライチェーン攻撃
  • 第三者による物理的侵入

(4) 技術的脅威

  • システム脆弱性の悪用
  • マルウェア感染
  • 設定不備、パッチ未適用
  • 暗号化の破綻

5. 情報セキュリティ対策

(1) 組織的対策

  • 最高情報セキュリティ責任者(CISO)の設置
  • 情報セキュリティ委員会の運営
  • 部門別セキュリティ責任者の配置
  • インシデント対応体制の確立

(2) 人的対策

  • 全従業員への定期的なセキュリティ教育
  • 標的型攻撃メール訓練の実施
  • 機密保持契約の締結
  • 職務分離、最小権限の原則

(3) 物理的・環境的対策

  • データセンター、サーバー室の入退室管理
  • 監視カメラシステムの導入
  • 重要機器の施錠管理
  • クリアデスク・クリアスクリーン

(4) 技術的対策

  • ファイアウォール、IDS/IPSの導入
  • エンドポイント保護(EDR/XDR)
  • SSL/TLS暗号化通信の実装
  • 多要素認証(MFA)の導入
  • ログ監視・分析システム
  • 定期的な脆弱性診断

(5) クラウドセキュリティ

  • クラウドサービスの適切な選定・評価
  • 設定ミス防止のための自動化
  • クラウド専用セキュリティツールの活用
  • データの暗号化・バックアップ

6. 法的・規制要求事項への対応

(1) 個人情報保護

個人情報の保護に関する法律及び関連ガイドラインに準拠し、個人情報を適切に管理します。

(2) 営業秘密保護

不正競争防止法に準拠し、顧客及び当社の営業秘密を適切に管理します。

(3) 著作権保護

著作権法に準拠し、著作物を適切に管理します。

(4) その他関連法令

  • 電気通信事業法
  • 不正アクセス行為の禁止等に関する法律
  • その他適用される法令・規制

7. インシデント対応

(1) インシデント対応体制

情報セキュリティインシデント発生時の対応体制を整備し、迅速かつ適切な対応を実施します。

(2) 報告・連絡体制

インシデント発生時の社内外への報告・連絡体制を明確化します。

(3) 事業継続計画(BCP)

重大なインシデント発生時の事業継続計画を策定し、定期的に見直します。

8. 情報セキュリティ監査

当社は、定期的に内部監査を実施し、本方針及び関連規程の遵守状況を確認します。

9. 教育・啓発

(1) 定期教育

全従業員に対し、年1回以上の情報セキュリティ教育を実施します。

(2) 情報共有

必要に応じて、セキュリティに関する注意喚起を行います。

10. 継続的改善

当社は、情報セキュリティ対策の有効性を定期的に見直し、法令改正や新たな脅威に応じて必要な改善を行います。

11. 遵守義務及び罰則

(1) 遵守義務

当社の役員、従業員、派遣社員、業務委託先等(以下「関係者」という。)は、本方針及び関連規程を遵守する義務を負います。

(2) 違反時の対応

関係者が本方針に違反した場合は、就業規則等に基づき、懲戒処分又は契約解除等の措置を講じる場合があります。

(3) 報告義務

関係者は、情報セキュリティに関するインシデント及び脆弱性を発見した場合、速やかに報告する義務を負います。

12. 見直し

本方針は、法令改正、技術動向、脅威の変化等に応じて、定期的に見直しを行います。

制定日: 2025年8月1日
最高情報セキュリティ責任者: 代表取締役社長 清水 晶宏

株式会社サニー技研