情報セキュリティポリシー

当社はお客様の重要な情報を取扱うクラウドサービスを事業の根幹としています。お客様やパートナー企業および当社の事業に深刻な影響をもたらす災害や不正アクセス、漏えい、改ざん、盗難、紛失など様々な脅威から情報資産を守ることは重要な責務です。
この基本的な認識のもとに当社の情報セキュリティ基本方針を「情報セキュリティポリシー」として以下に示します。

1. 1.本「情報セキュリティポリシー」が対象とする情報資産は、お客様からお預かりした情報、当社が企業活動において知り得た個人情報、特定個人情報を含む情報およびクラウドサービスとします。
2. 2.当社は、取扱う情報資産に応じて、情報セキュリティのリスク評価を実施し、最適な情報セキュリティ対策を講じます。また、セキュリティレベルの継続的な維持、向上を実践します。
3. 3.当社の役員、従業員は情報セキュリティ、個人情報および特定個人情報に関連する法令、ガイドライン等を遵守します。
4. 4.上記を達成するため、情報セキュリティマネジメントシステム（ＩＳＭＳ）*を構築し、情報セキュリティ委員会で推進を図ります。情報セキュリティ委員会は「ＩＳＭＳマニュアル」に従い活動します。
5. 5.当社は、社会および全ての利害関係者からの要請やＩＴに関する技術動向・変化に対応し、「情報セキュリティポリシー」および活動を見直します。
6. 6.部門長は、「情報セキュリティポリシー」および「ＩＳＭＳマニュアル」に適合した業務手順書を作成し、これを管理します。
7. 7.役員および従業員は「情報セキュリティポリシー」およびISMS関連文書、業務手順書に従い行動し継続的改善に努めます。
8. * ISO/IEC27001およびISO/IEC27017の規格に基づきます。

当社は、ISO/IEC27017に基づき、クラウドサービス「＠プロパティ」「＠ナレッジ」の情報セキュリティを継続維持するため、「クラウドサービスセキュリティ基本方針」を以下に示します。

1. 1.　業務手順書の開発標準観点に従い、クラウドサービスの設計、実装を行います。
2. 2.　各業務に関わる担当者のアクセス権限は最低限とし、アカウント管理及び各操作ログの保管を行います。
3. 3.　お客様の情報資産へのアクセスはクラウドサービスの提供、維持に関わる運用監視、保守業務（障害、不具合対応）、サポート業務（サポート、ヘルプ）、バージョンアップ（開発、移行）等、必要最低限とし、お客様の許可なく情報資産へのアクセスを行いません。
4. 4.　クラウドサービスへの通信は暗号化します。
5. 5.　クラウドサービスに関する変更情報（バージョンアップ等）は、メール及びトップ画面、ヘルプ画面で通知します。メールでの通知は管理責任者および希望されたユーザーとします。
6. 6.　物理構成と同等（同レベル）のセキュリティを維持した仮想環境下で、マルチテナントクラウドサービスを提供します。
7. 7.　ユーザー管理に必要なアクセス制御を行う機能を提供します。サービス契約者毎にその利用者から管理責任者を定めていただき、管理責任者によりユーザーＩＤ、パスワードを発行していただく方式を採用しています。管理責任者によるユーザー管理、アクセス権管理およびユーザー自身のパスワード管理により、セキュリティが確立されます。
8. 8.　セキュリティを維持するため、ログイン、操作履歴を記録（ログ）します。