情報セキュリティポリシー

Security Policy

ISO/IEC 27001:2005
ISMS (Information Security Management System)
情報セキュリティマネジメントシステム
登録番号 I051

日々大量の企業情報や個人情報をお預かりし広告制作業務を行う企業として、万全な情報セキュリティ対策を講じるため、2005年9月にISMS、2006年10月にISMSの国際規格ISO27001を取得しました。

〈ISMS基本方針・情報セキュリティ基本方針〉

広告制作業として、企業内、企業と企業、企業と生活者を信頼と利益で結ぶことを企業方針として掲げております。一方、社会的には情報通信技術が急速に進展し、情報資産に関する安全性確保とリスク管理に努めることが企業の責務となっています。そこで当グループでは、企業方針に則り、企業の健全な発展、 及びお客様ならびに社会の満足度と信頼性の向上を図ることを目的に、総合的・体系的な情報セキュリティ対策に継続的に取り組み、経営陣をはじめ全従業員が責任と自覚を持って情報資産の利便性を損ねることなく、適切な保護の徹底に努めることを宣言し、ここに情報セキュリティポリシーを定めます。

  1. 当グループは、収集した個人情報及び企業の機密情報、外部から預託された情報を厳正な管理の下、安全に蓄積・保管し、不正アクセス・紛失・破壊・改ざん・漏えいなどに対して合理的な安全対策を講じます。

    1. 管理者の任命と義務 当グループは、ISMSを推進する体制として、ISO運営委員会を中心とした管理体制を整備する。ISO運営委員会は、情報を不正な暴露・改ざんやサービスの妨害から保護・維持するために、情報セキュリティポリシー及びISMSの定期的な見直しを実施するものとし、実施責任者として、情報セキュリティ管理責任者を設置する。
    2. 監査 ISO運営委員会は、情報セキュリティポリシー及びISMSが遵守されていることをシステム監査、内部監査、外部審査により定期的に検証する。
    3. セキュリティ対策 当グループは、取り扱う情報資産に応じて、適切な情報セキュリティ対策を実施する。
    4. リスクアセスメント及びリスクマネジメント 当グループが取り扱う情報資産は、業務の性質上、一般には未公開の情報が多いため、リスクアセスメント規定に基づき定期的にリスクアセスメントを実施し、リスク対応を行う。その際、当グループを取り巻く環境の変化によるセキュリティ上の変化も考慮に入れ、適切な管理策を講じる。
    5. コンプライアンス 当グループは、あらゆる側面で法規制遵守に基づく適正な業務を遂行することを、一人一人が自覚を持って取り組む。これらの法規制は単に情報セキュリティのみにとどまらず、国内・外の全ての該当法規制と、顧客との取り決め、諸契約や覚書等で取り交わした約束事などの、当グループが遵守しなければならない全ての規制を対象として考えること。
    6. 従業員の義務 情報セキュリティポリシー及びISMSで定められた規定は全従業員がそれらを確実に遵守できなかった場合及び違反した場合には、罰則を与えるものとする。
    7. 情報の特定と対策 ISO運営委員会は、当グループにおける秘密情報や、プライバシー関連情報を特定し、その保護のために最適な情報セキュリティ対策を実施する。
    8. 個人情報保護 当グループは、個人情報保護法に準じて個人情報を取り扱うものとする。
    9. 機密情報管理 当グループは、不正競争防止法に準じて顧客及び当グループの秘密情報を管理するものとする。
    10. 著作権保護 当グループは、著作権法に準じて著作物を管理するものとする。
    11. 情報セキュリティの推進 当グループの情報セキュリティについてはISO運営委員会で推進を図るものとする。
    12. 情報セキュリティ教育 情報セキュリティに関する教育・訓練活動は、ISO運営委員会で推進を図るものとする。
    13. 第三者が提供するサービスの監査 ISO運営委員会は、委託先のセキュリティレベルが適切に維持・改善されていることを確認するために、委託先に対して監査を実施し、必要ある場合には改善を促し、定期的に見直しを実施する。
  2. 当グループはセキュリティポリシーの実効性を確保するため、又、不正アクセスされること及び不正アクセスによって他の情報処理システムに対して被害を及ぼすことを防ぐため、ネットワークの監視、セキュリティポリシーの遵守状況の確認などの必要な措置を取ります。また、障害及び緊急事態が発生した際の迅速な対応を可能とするための対策に努めます。
  3. 当グループは、継続的な改善を達成するため、情報セキュリティ確保の施策に関する教育、有効性の評価、遵守状況の監査を行います。それらの結果及びセキュリティ環境の変化や新規業務の追加等により、情報セキュリティ管理責任者が必要と判断した場合には適切な処置を講じ、常に情報セキュリティの水準を維持、向上します。
  4. 当グループは、コンサルティング業務への取組みを視野にいれており、これらに対するセキュリティを考慮にいれた取組みを推進します。またISO14001の運用上生じた情報資産についても、他の情報資産と同様にリスクを評価し、適切な管理策を講じます。
top