現在位置
ホーム / セキュリティポリシー

セキュリティポリシー

1. 情報セキュリティ宣言

ビーウィズ株式会社は、アウトソーシング事業者として、自社保有の情報資産の他にクライアントから多くの情報資産を預かり、また事業活動の中で日々情報資産を取得しています。これらの重要な情報資産を保護することは、当社がクライアントの信用を確保し、競争力を維持する上で欠くことはできません。

このセキュリティポリシーは、情報資産に対する当社の保全対策の基本方針を定めたものです。保全対策には技術的対策も含まれますが、それにも増して重要なのは情報資産を取扱う従業者一人一人の自覚と心掛けです。全従業者(※)が、本ポリシーの趣旨を理解し、情報資産が不正に開示、漏洩されないよう適切な行動を取ることをここに宣言します。

代表取締役社長 兼 セキュリティ委員会委員長
遠藤 克彦
2003年12月27日制定
2011年10月1日更新

※全従業者にはすべての役員、社員、有期雇用者および外部からの派遣社員が含まれます。

2. セキュリティポリシー

2.1. 目的と方針

当社は、意思決定、業務継続、コスト削減、管理効率の向上、情報資産の活用に対して、セキュリティが与える影響を認識し、当社の情報資産およびクライアントからお預かりする情報資産に対する適切な安全対策を、当社の重要な施策の一つとして実施することを基本方針とします。

この基本方針に沿って、対象となる情報資産の定義、対策実施のための組織、役員・従業者の責任等を定めます。また、セキュリティ対策を全社で推進・統括するために情報セキュリティ管理システムおよび個人情報保護管理システム(併せて以下「ISMS」という)を構築し、運用し、定期的な見直しを実施し、継続的改善を行います。

2.2. 法令・規則などの遵守

当社は、本ポリシーを基に構築したISMSを運用することにより、各種法令、国が定める指針、その他規範および社内規程の遵守、ならびに契約上の義務の履行、当社が認証取得する情報セキュリティ関連規格の要求事項に対する準拠を確実にします。

2.3. 適用範囲および対象者

本ポリシーは、当社の保有する情報資産及び、情報資産を扱う全従業者を適用範囲とします。

2.4. 全従業員の義務

当社の全従業者は、自らが扱うすべての情報資産の保護において、本ポリシーを始めとする関連社内規程を遵守し、情報資産の紛失、盗難、不正使用並びに不注意による漏洩の防止に積極的に努めます。

なお全従業者が、規程を遵守するだけでなく、情報セキュリティ確保のため、日常業務において適切に行動し緊急時には適切な対応を行うよう、当社は必要な体制の構築およびルールの文書化を進めます。

当社が外部業者に業務を委託する場合には、当該業者に対し、当社およびクライアントの情報資産の管理・取扱いに関して、本ポリシーに定める安全対策と同一レベルの対策の実施を求めます。

なお、当社から派遣し外部で就業する者は当該就業先のセキュリティポリシーに従うものとします。

2.5. 情報セキュリティ管理組織

当社は、クライアントからお預かりする情報を含む当社の情報資産保護を推進するために、セキュリティ委員会を設置します。

本委員会は、全社セキュリティの統括管理責任者である担当役員と、各部門の代表者とで構成され、本ポリシーに準じて、セキュリティスタンダード(セキュリティ基準書)を策定すると共に、情報資産保護対策の実施を主導し、その結果の評価を行います。

また、技術、社会、法律等の変化および新たに発見された事業上のリスクに対応するために、本ポリシーおよびセキュリティスタンダードの定期的な、また迅速な見直しを行い、必要な措置を講じます。

当社は、本委員会の事務局としてセキュリティマネジメント室を設置します。セキュリティマネジメント室は、本委員会の指示に従って全社的な保護対策の促進を図り、各部門での対策実施を支援するとともに、全従業者に対し啓蒙・教育活動に当たります。

2.6. 情報資産の分類および管理

当社は、情報資産を「機密性」、「完全性」、「可用性」の観点から分類し、各資産の所有者および管理者を特定して適切な管理を行います。

2.7. リスク評価の体系的な取組方法

当社は、ISMSの枠組みに沿い、情報資産に対するリスクの評価基準を設け、各情報資産が有するリスクを体系的に評価します。

2.8. リスクの識別および管理策の適用

当社は、体系的なリスク評価の結果に基づき、それぞれのリスクの性質・程度に応じて適切な管理策を適用し、可能な限りの情報セキュリティの確保・維持を図ります。 適用する管理策は、適用宣言書により明確にします。

2.9. 教育・訓練

当社は、全従業者に対して、その職位毎に求められる情報セキュリティに関する力量を保持するために、定期的に必要な教育・訓練を実施し、本ポリシーの理解・遵守を進めるとともに、情報セキュリティに関する意識の向上を図ります。

2.10. 監査・評価

当社は、定期的にISMS監査・評価を実施し、その結果に対して改善活動を実施することで、さらなるセキュリティ強化に努めます。

2.11. 発効日

本ポリシーは、2011年10月1日より発効します。

ページトップへ