株式会社ヤグラ（以下「当社」という）は、「組織のセキュリティ耐性の向上と、デジタルリスクへの対応支援」をミッションに掲げ、お客様の事業活動を守るためのセキュリティ関連サービスを開発・提供している企業です。

当社は、これらの事業を通じて得たお客様およびお取引先の情報、ならびに当社が取り扱う全ての情報を最重要資産のひとつとして認識し、この情報資産のセキュリティを適正に維持することが、当社の事業の根幹であり、社会的な責務であると考えます。

この考え方に基づき、当社は下記の通り情報セキュリティ基本方針を定め、これを実践し、継続的な改善、向上に努めることをここに宣言します。

1. 情報セキュリティの定義

情報資産の「機密性」、「完全性」、「可用性」を確保し、維持することを指します。機密性とは、認可された利用者だけがアクセスでき、情報が外部に漏洩しないこと。完全性とは、情報や情報システムが正確であること、さらに情報の取扱いが手順化されていて、それが守られていること。可用性とは、認可された利用者が、必要なときに情報や情報システムにアクセスできること。

2. 目的

当社は情報資産を適切に取り扱うことにより、お客様、お取引先様、株主様、従業員などのステークホルダーの信頼に応え、企業としての社会的責任を果たすことを目的とします。

3. 適用範囲

• 当社の全ての組織を対象とします。

• 役員、正社員、契約社員、派遣社員、アルバイトを含む当社の全従業員、ならびに当社の管理下で業務を遂行する委託先事業者を対象とします。

• 当社の管理下にある、全ての業務活動に関わる情報を対象とします。

4. 目標

• 情報セキュリティ事故の発生を予防し、発生リスクを最小限に抑えます。

• 万一情報セキュリティ事故が発生した場合には、被害を最小限に抑え、事業継続性を確保します。

5. リスク対策の枠組み

当社では、下記の枠組みにしたがってリスクアセスメントおよびリスクマネジメントを行い、管理目的および管理策を設定します。

• 情報資産の認識と分類: 当社における情報資産の重要度を正しく認識して分類を行います。

• リスクアセスメント: リスクを評価するための基準を確立して、リスクアセスメントを実施します。

• リスクマネジメント: 管理的、物理的、技術的なリスク対策をバランスよく実施します。

  
  

6. その他の情報セキュリティ原則

• 情報セキュリティ義務の遵守: 法令、規制、社内規程、及び契約上の情報セキュリティ義務を遵守します。

• 教育と啓発活動の実施: 全従業員に対し、情報セキュリティに関する教育・啓発活動を継続的に実施します。

• 事業継続の管理: 情報システムの重大な故障や災害の影響から事業活動の中断に対処し、重要な業務プロセスを保護し、その迅速な再開を確実にします。

• 違反時の罰則適用: 本方針および関連規程への違反者に対しては、就業規則等に基づき厳格な措置を適用します。

  
  

7. 情報セキュリティマネジメントに関する責任

万が一、情報セキュリティインシデントが発生した際の対処・対外的な報告をはじめとして、情報セキュリティに関する責任は、当社の経営陣が負うものとします。

8. 情報セキュリティマネジメントシステム文書

当社では、情報セキュリティを適切に管理するため、情報セキュリティマネジメントシステムに関する文書を策定し、維持します。本方針を実現するために、これらの文書群を用います。

9. 本方針の承認とレビュー

本方針は、当社の代表取締役により承認され、かつ内外の環境変化に応じて定期的または必要に応じてレビューされるものとします。