情報セキュリティポリシー

  1. ホーム
  2. 情報セキュリティポリシー

ラッコ株式会社(以下「当社」といいます。)は、当社の保有する情報資産を適切に保護し、情報セキュリティを確保するため、以下の情報セキュリティポリシー(以下「本情報セキュリティポリシー」といいます。)を定め、これを遵守します。

適用範囲

本情報セキュリティポリシーは、当社の役員・従業員および当社の管理下で業務を行う委託先に適用します。
対象となる情報資産は、電磁化・非電磁化にかかわらず当社が保有または管理する全ての情報をいい、クラウドサービス上で処理・保存される情報を含みます。

法令・規範の遵守

当社および当社の役員・従業員は、個人情報保護法等の関連法令、ガイドライン、社内規程、契約上の秘密情報保持義務を遵守します。
個人情報は別途定める個人情報保護規程またはプライバシーポリシーに基づき、より厳格に取り扱います。

基本方針

全ての役員・従業員が情報資産のセキュリティを保全し、これに対する注意義務を負います。情報は不正に入手することなく、業務以外の目的に利用しません。
ゼロトラストセキュリティの考え方を基本とし、情報資産へのアクセスを適切に制御します。
具体的な管理方法は情報セキュリティ管理規程および情報セキュリティ管理マニュアルを策定し、関係諸法令等に示された基準を満たす方法によって情報セキュリティ管理を徹底します。

情報の機密区分

情報セキュリティ管理者は、情報資産をその重要性、機密性に応じて、「極秘」「機密」「公知」等に分類し、その機密区分に応じて適切なアクセス制御および保護策を講じます。

体制と責任

情報セキュリティ管理担当取締役

情報セキュリティ管理を委嘱された取締役(以下「情報セキュリティ管理担当取締役」といいます。)が、当社の情報セキュリティ管理を統括するとともに、その責任を負います。

情報セキュリティ管理委員会

情報セキュリティ管理担当取締役の下に、これを補佐する情報セキュリティ管理委員会を設置し、情報セキュリティ管理に関する以下の役割を担います。

  1. 情報セキュリティの方針・規程の整備
  2. サイバー攻撃の脅威・脆弱性情報の収集・分析と対策検討
  3. リスク評価の実施と対応推進
  4. 監査の計画・支援・報告
  5. インシデント対応の指揮・原因究明・再発防止
  6. 啓発・教育の推進

情報セキュリティ管理者

部門長またはプロジェクトリーダーを情報セキュリティ管理者とし、所管する部門またはプロジェクトの情報セキュリティを管理するとともに、その責任を負い、情報セキュリティ管理に関する以下の事項を実施します。

  1. 所管する情報の機密区分の決定・表示・識別管理
  2. アクセス権限者および権限範囲の決定、定期的な見直し、不要な権限の削除
  3. 社外への開示に関する許可と記録
  4. 機密保持契約に基づく会社保有情報である旨の表示
  5. 情報の保管・移送・廃棄処理およびその確認
  6. 情報の保全(バックアップ、暗号化等)
  7. 使用目的の設定
  8. 権限や許可の有効期限の設定
  9. リスクアセスメントの実施と対策の推進
  10. インシデント発生時の初動対応指示、情報セキュリティ管理委員会への報告
  11. 所属従業員に対する指示・指導・教育の実施

技術的・物理的安全管理

情報の安全管理のため、技術的管理として、アクセス制御、多要素認証、マルウェア対策、脆弱性管理、バックアップ、ログ管理、暗号化、リモートアクセス管理等を実施します。
物理的管理として、サーバールーム等の立入禁止区域の指定・入退室管理、クリアデスク・クリアスクリーンの徹底、書類の施錠保管等を実施します。

教育および啓発

情報セキュリティ管理者は、情報セキュリティ管理の必要性・重要性への意識を高めるための啓発を行い、必要な従業員教育を計画し実行します。
情報セキュリティ教育は、全従業員(必要に応じて社外協力業者を含む。)を対象に、入社時および年1回以上定期的に実施し、必要に応じて実践的な訓練を行います。

インシデント対応

  1. 情報セキュリティインシデントが発生するおそれのある場合、または発生した場合には、発見者は直ちに情報セキュリティ管理者および情報セキュリティ管理委員会に報告します。
  2. 情報セキュリティ管理者は、マニュアルに定める手順に従い、関係部門と連携して迅速に対処し、被害の拡大防止、証拠保全、原因究明、復旧措置を講じます。
  3. 重大なインシデントが発生した場合は、情報セキュリティ管理担当取締役および情報セキュリティ管理委員会が指揮し、必要に応じて外部専門機関や関係省庁への報告および連携を行います。
  4. インシデント発生後は、原因を分析し、再発防止策を策定、実施します。

業務委託先の管理

業務委託先に対しては、委託業務内容と取り扱う情報の機密性を考慮し、十分な情報セキュリティ対策が講じられていることを確認します。
十分な情報セキュリティを定めた業務委託契約を締結し、履行させ、必要に応じて当社従業員に準じた教育および訓練を実施します。
クラウドサービスを利用する場合においても、事前にセキュリティ対策を評価し、リスクを特定した上で利用の可否を判断します。

継続的改善

当社は、情報セキュリティを取り巻く環境の変化や、当社の事業内容の変更に応じて、情報セキュリティ管理の方法等を適宜見直し、継続的な改善に努めます。

最終改定日:2025年10月14日