情報セキュリティ基本方針

株式会社ケイマックス（以下「当社」）は、当社の事業活動において取り扱うお客様情報、取引先情報、技術情報、営業情報および個人情報などの情報資産を重要な経営資源と認識しています。
当社は、情報資産の適切な保護および管理を経営上の重要課題と位置付け、情報資産の機密性・完全性・可用性を維持するため、情報セキュリティマネジメントシステム（ISMS）を構築・運用し、継続的な改善に努めます。

基本方針に基づき、以下の事項を実施します。

1. 適用範囲

本方針は、当社のすべての役員、従業員、契約社員、派遣社員、業務委託先および当社の情報資産を取り扱うすべての関係者に適用されます。

2. 報セキュリティ管理体制

当社は、情報セキュリティを適切に推進するため、経営層の責任のもと情報セキュリティ管理体制を整備します。また、情報セキュリティ責任者を任命し、情報セキュリティに関する管理および運用を統括します。

3. 情報資産の管理

当社は、情報資産を適切に識別・分類し、その重要度に応じた管理策を実施します。また、情報資産の利用・保管・廃棄に関するルールを定め、適切な管理を行います。

4. リスクアセスメント

当社は、情報資産に関するリスクを定期的に識別・分析・評価し、必要なリスク対策を実施します。リスク管理プロセスは、事業環境の変化や新たな脅威に対応するため、継続的に見直します。

5. 法令・規制および契約の遵守

当社は、情報セキュリティおよび個人情報保護に関する法令、規制、ガイドラインならびに契約上の義務を遵守します。

6. 人的セキュリティ

当社は、従業員および関係者に対して情報セキュリティ教育および訓練を実施し、情報セキュリティ意識の向上を図ります。また、従業員に対して守秘義務を明確にし、情報資産の適切な取り扱いを徹底します。

7. 物理的セキュリティ

当社は、オフィス、サーバー機器、重要書類などの情報資産を保護するため、入退室管理、機器管理、媒体管理などの物理的セキュリティ対策を実施します。

8. 技術的セキュリティ

当社は、情報システムおよびネットワークの安全性を確保するため、以下の技術的対策を実施します。

• アクセス制御および認証管理
• マルウェア対策
• ネットワークセキュリティ対策
• ログ管理および監視
• バックアップおよび復旧対策

9. 外部委託管理

当社は、業務を外部委託する場合、委託先に対して情報セキュリティ対策を求め、契約および管理を通じて適切な監督を行います。

10. 情報セキュリティインシデント管理

当社は、情報セキュリティインシデントが発生した場合、迅速に対応し、原因分析および再発防止策を講じます。また、必要に応じて関係機関および関係者へ適切に報告します。

11. 事業継続管理

当社は、災害、システム障害、サイバー攻撃などによる事業中断リスクに備え、事業継続の観点から必要な対策を整備します。

12. 監査および継続的改善

当社は、情報セキュリティマネジメントシステムの有効性を定期的に評価するため、内部監査およびマネジメントレビューを実施します。
その結果を踏まえ、情報セキュリティ管理体制および対策の継続的な改善を行います。

13. 違反への対応

当社は、本方針および関連規程に違反した場合、社内規程に基づき適切な措置を講じます。