ISMS基本方針ISMS Basic policy

  1. ホーム
  2. お問い合わせ
  3. ISMS基本方針

ISMS基本方針(情報セキュリティ基本方針)

ISMS-D-001

制定:
改訂:
穴吹興産株式会社
代表取締役社長 穴吹 忠嗣

穴吹興産株式会社、株式会社あなぶきリアルエステート、穴吹不動産流通株式会社、あなぶき・きなりの家株式会社、日本電力株式会社本社、穴吹エンタープライズ株式会社「公民連携(PPP)事業部」、あなぶきビジネスサービス株式会社(以下、当社)は、住まい創りや不動産価値創造事業を通じて、地域社会の文化と歴史の創造に貢献してまいります。

当社は、お客様の情報をはじめ保有する情報資産を漏洩,改ざん,破壊,盗難などのあらゆる脅威から保護し、リスクを最小限に抑え、安全に活用することが極めて重要な責務であると認識しております。

そのためには、物理的、技術的なセキュリティ強化はもちろんのこと、社員がセキュリティに対して高い意識をもち、セキュリティを尊重した行動をとることが最も重要だと考えます。

この考えのもと、情報セキュリティ基本方針を定め、以下に宣言いたします。

  • 当社は、不動産関連法令、金融商品取引法、個人情報保護法、情報セキュリティに関する法令、その他の規範およびガイドラインを順守いたします。
  • 当社は、情報セキュリティ管理責任者及び情報セキュリティ委員会を設置し、情報セキュリティに関する組織的かつ継続的な運用を実現いたします。
  • リスクアセスメント及びリスク対応の結果を考慮に入れた情報セキュリティ目的を設定いたします。
  • 当社は、全ての社員に対する教育を実施し、情報資産を適切に扱うことが重要な社会的責務であることを認識し、行動いたします。
  • 当社は、重要な情報資産に対する脅威、脆弱性について継続的に分析・評価することにより、情報資産の利用目的・重要度に応じた適切な管理体制を実現いたします。
  • 当社は、特定された脅威に対する合理的な情報セキュリティ対策を実施し、情報資産の安全管理に取り組み、情報資産の機密性・完全性・可用性を確保いたします。
  • 当社は、社内社外からの監査を定期的に実施し、情報セキュリティ対策の合理性を客観的に評価するとともに、継続的な改善に取り組んでまいります。
  • 当社は、万が一情報セキュリティ事故が発生した場合、迅速に処理し被害の拡大を防止するとともに再発防止に努めてまいります。
  • 当社は、情報資産の管理・運用を外部に委託する場合は、必要なセキュリティ要件を記載した契約書による契約を締結し、委託先において必要な安全対策が確保されていることを確認いたします。

トピック固有の方針群

1. アクセス制御方針

当社は、情報資産への不正アクセスを防ぎ、業務上必要なアクセスのみを許可することで、情報の機密性、完全性及び可用性を確保します。

  • 認可されたアクセス
    全てのアクセスは事前に認可され、業務上必要な最小限の範囲に限定されます(最小権限の原則)。
  • ユーザー認証
    アクセスには安全な認証方式(例:パスワード、二要素認証)を使用します。
  • アクセスログの記録
    全てのアクセス活動を記録し、不正アクセスの監視及び検知を実施します。
  • アクセス制御の見直し
    定期的にユーザー権限を確認し、不適切な権限を削除します。

2. クリアデスク及びクリアスクリーン方針

当社は従業員が業務終了後や離席時に、物理的及び電子的な情報が漏洩しないようにすることで、情報資産の安全を確保します。

  • クリアデスク(Clear Desk)
    機密情報を含む文書や記録は、業務終了時に施錠可能な保管庫に収納します。
    不要になった紙媒体は、シュレッダーなどを用いて破棄します。
  • クリアスクリーン(Clear Screen)
    コンピュータの画面は離席時にロックし、画面には機密情報を表示したまま放置しないこと。
    スクリーンセーバーを設定し、自動的に画面をロックする仕組みを導入します。
  • 周知徹底
    クリアデスク及びクリアスクリーンの重要性を従業員に教育し、遵守を促進します。

3. 物理的及び環境的セキュリティ方針

当社は当社の施設内での情報資産の保護を目的として、物理的及び環境的なセキュリティ対策を実施します。

  • アクセス制限
    機密情報が保管されているエリアは、認可された従業員のみがアクセスできるようにします。
    入退室管理システムを導入し、記録を保持します。
  • 環境的対策
    火災、洪水、地震などの災害に備え、適切な対策(例:耐火金庫、サーバールームの防水対策)を講じます。
    サーバールームや機密情報を扱うエリアには温度・湿度管理システムを設置します。
  • 物理的保護手段
    監視カメラ、警報システムを設置し、不審者の侵入を防ぎます。
    資産が保管されている場所には施錠可能な保管設備を設置します。

4. 資産管理に関する方針

当社は当社の情報資産を適切に管理し、その価値を維持するとともに、不正使用や漏洩を防ぎます。

  • 資産の特定と分類
    すべての情報資産を特定し、「機密」「社内限定」「公開」のように分類します。
  • 資産台帳の作成と維持
    資産台帳を作成し、情報資産の所有者、保管場所、更新日時などの情報を記録します。
    資産台帳は定期的に更新・見直しを行います。
  • 資産の使用と廃棄
    資産の使用にあたっては、承認された目的でのみ利用します。
    不要になった資産は、安全かつ適切な方法で廃棄します(例:データの消去、物理媒体の破砕)。
  • 教育と周知
    従業員に資産管理の重要性を教育し、ポリシーの遵守を促します。

5. 情報の転送に関する方針

当社は、情報の転送時における機密性、完全性及び可用性を保護するため、以下の対策を実施します。

  • 機密情報は暗号化技術(例:TLSやVPN)を使用して転送します。
  • 外部に情報を送信する際には、承認された通信手段のみを利用します。
  • 転送記録を監視・記録し、不正な転送が発生しないよう管理します。

6. 利用者エンドポイント機器のセキュリティを保った構成及び取扱いについての方針

当社は、利用者のエンドポイント機器が安全に使用されるよう、以下の基準を定めます。

  • デバイスには認証機能(例:パスワード、バイオメトリクス)を必須とします。
  • アンチウイルスソフトウェア及びOSの最新パッチを適用することを義務付けます。
  • 紛失や盗難時には即座に当社に報告し、リモートワイプ機能を実行可能な体制を整えます。

7.ネットワークセキュリティ方針

当社のネットワークは、以下の対策を通じて不正アクセス及びサイバー攻撃から保護します。

  • ファイアウォール及び侵入検知・防御システム(IDS/IPS)を導入します。
  • ネットワークの分離(例:内部ネットワークと外部ネットワークの分離)を実施します。
  • 定期的な脆弱性スキャンを実施し、問題を特定・修正します。

8.情報セキュリティインシデント管理方針

当社は、情報セキュリティインシデント発生時に迅速かつ効果的に対応するため、以下を行います。

  • インシデント対応チームを設置し、役割と責任を明確化します。
  • インシデントの報告、調査及び解決プロセスを文書化します。
  • 再発防止策を実施し、従業員に対する教育を強化します。

9.バックアップ方針

当社は、データの消失や破損に備え、以下のバックアップ方針を定めます。

  • 定期的なバックアップを自動化し、安全な場所に保存します。
  • バックアップの復元手順を定期的にテストします。
  • 暗号化されたバックアップデータを使用し、アクセス制御を徹底します。

10.暗号及び鍵管理に関する方針

当社は、暗号及び鍵管理を以下の通り実施します。

  • 暗号鍵は安全なハードウェアセキュリティモジュール(HSM)に保存します。
  • 暗号化アルゴリズムは最新の業界標準(例:AES-256)を採用します。
  • 鍵のライフサイクル管理(生成、配布、破棄)を適切に実施します。

11.情報の分類及び取扱いに関する方針

当社の情報資産は、以下の基準で分類されます。

  • 情報を「機密」「社内限定」「公開」などに分類します。
  • 各分類ごとに適切なアクセス制御と取扱い基準を定めます。
  • 情報分類基準の定期的な見直しを行います。

12.技術的ぜい弱性の管理に関する方針

当社は、技術的ぜい弱性を特定し、迅速に対応するために以下を実施します。

  • 定期的なぜい弱性スキャン及びペネトレーションテストを実施します。
  • セキュリティパッチの適用プロセスを標準化します。
  • ぜい弱性管理に関する教育を従業員に実施します。

13.セキュリティに配慮した開発に関する方針

当社は、セキュリティを考慮したシステム開発を以下の通り進めます。

  • セキュリティ要件を開発プロセスに統合します。
  • コードレビューやセキュリティテストを実施します。
  • IPAやその他のセキュリティガイドラインを遵守します。

14.クラウドサービスの利用に関する方針

当社は、クラウドサービス利用時に以下の基準を遵守します。

  • データの保存先及び取り扱い条件を確認します。
  • クラウドプロバイダーと契約前にセキュリティ体制を評価します。
  • 利用終了時にはデータを適切に削除します。

15.プライバシー及びPIIの保護に関する方針

当社は、個人情報保護法及びGDPRなどの法令を遵守し、以下を実施します。

  • PIIを必要最小限で収集し、目的外利用を禁止します。
  • PPIIへのアクセスを認可された従業員に限定します。
  • PPIIの保存及び廃棄プロセスを文書化します。

16.取り外し可能な記憶媒体の管理に関する方針

当社は、USBメモリや外付けHDDなどの記憶媒体を以下の通り管理します。

  • 記憶媒体の暗号化を義務付けます。
  • 紛失防止のために記録とトラッキングを実施します。
  • 使用後は適切にデータを削除します。

17. データ保持に関する方針針

当社は、法令及び業務ニーズに従い、以下の基準でデータを保持します。

  • 必要な期間を明確に定め、それを超えたデータは適切に廃棄します。
  • データ保持に関するルールを従業員に周知徹底します。

18. データマスキングに関する方針

当社は、以下の条件でデータマスキングを実施します。

  • 本番環境とテスト環境のデータを区別し、テスト環境にはマスキングデータを使用します。
  • 個人情報,重要な業務情報はマスキングを実施します。
  • データマスキングポリシーを定期的に更新します。

19.暗号の利用に関する方針

当社は、データの機密性を保つため、以下の暗号利用方針を定めます。

  • 機密データはすべて暗号化して保存します。
  • 暗号化方式とプロトコルの安全性を定期的に確認します。

  1. ホーム
  2. お問い合わせ
  3. ISMS基本方針