情報セキュリティ総則
UTO株式会社 (以下 「当社」 という) は、 コンピュータと情報通信ネットワークを基盤に、 お客様の貴重な情報を含む多くの情報とかかわりつつ、エンドユーザ対応中心の各種情報機器等の仕 入・販売から、オリジナル・パッケージソフトの開発・販売および各種システムの開発・保守に至るま で、多様なトータル・ソリューション事業を展開しております。 なお、これらの事業で取り扱うお客様及び当社の情報資産は、当社の経営基盤の一つで大変重要なも のです。また、当該事業は、ほとんどがお客様の個別要望に基づくものであり、お客様に満足いただけ る付加価値の高いサービスや製品を提供することは当然ですが、当社が継続的・安定的に事業運営を行 っていくためには、これらの情報資産を漏洩、改竄、破壊、紛失、不正使用などから十分に保護し、お 客様に安心感・信頼感を提供することが最も大切なことと考えています。 そこで、当社が保有する情報資産にかかわるすべての従業者が情報資産を保護する重要性を認識し、 お客様のより高い信頼を確保するため、ここに「情報セキュリティ基本方針」を定め、情報資産に要求 される機密性・完全性・可用性を維持するセキュリティ活動を実践します。
情報セキュリティ適用範囲
本基本方針は、当社のすべての事業活動にかかわる情報資産に適用する。ここでいう情報資産とは、 設計・開発・営業など事業運営上の重要な情報(文書・データ等)とシステム、ネットワークシステム 運用などの社内サービス、およびこれらを保護・利用することにかかわる施設/設備(保守等関連付帯 サービスを含む)を指す。
情報セキュリティ方針
①当社は、お客様の要請に備えるために、取締役役員グループが直接に情報セキュリティに関することをマネジメントし、定期的にチェックを実施する。
②当社の業務は情報セキュリティに関するお客様の要請が強く、お客様の事業計画や設計開発情報・販売関連情報の保護が事業継続のための重要な課題である。 特に、 お客様からの預かり情報については、 約束した使用目的にのみ使用し、ウィルス感染や不正アクセスからの保護が最も重要である。 そのた め、業務エビデンス(文書化、記録)を残し、お客様の信頼に応える。
③リスク評価基準、リスクアセスメントの構造を確立し、これに基づくリスクアセスメントの体系的なアプローチを定義する。特に、お客様の情報資産の維持・管理には機密性を重視したリスクアセスメ ントを行い、これにより情報資産の脅威と脆弱性を識別し、さらにセキュリティ上対策が必要な事項 を抽出する。
④リスクの顕在化とその対策を行うことで、事業継続の安定化とお客様満足を確実なものとする。
⑤不正競争防止法、個人情報保護法、不正アクセス禁止法等の法令、事業上の契約を遵守する。
⑥情報セキュリティの教育・訓練をすべての従業員等(役員、契約・臨時社員、協働者を含む)に対し 定期的に実施し、セキュリティに対する意識を高める。
⑦業務委託契約を締結する際には、業務委託先としての適格性を十分に審査し、当社と同等のセキュリ ティレベルを維持するよう要請する。
推進体制と責任
①社内組織を横断する推進体制として推進委員会を設置する。
②全社レベルの情報セキュリティの状況を正確に把握し、 必要な対策を迅速に実施できるよう情報セキュリティ管理責任者と総務部が積極的な推進活動を行う。
③各部門長は、推進委員会の定める情報セキュリティマニュアル等に基づき、自部門の情報資産に対するリスクアセスメント、管理策の策定、リスク対応計画書の作成と実施・評価を行い、セキュリティ管理の継続的改善に努める。
従業員等の義務
当社の従業員等は、情報セキュリティ基本方針を遵守し、セキュリティ管理の維持、向上に努めなければならない。本基本方針および会社情報セキュリティ管理基準に定める規定に反する行為を行った従業員は、就業規則に従い懲戒手続きの対象となる。