情報セキュリティ基本方針

当社は、顧客のウェブサイトデータ・トラフィック情報・構造化データ・および当社が業務上取り扱うすべての情報資産を、重要度に応じて分類・管理します。

• 顧客サイトのアクセスログ・構造化データは、AWS / GCP上の暗号化ストレージにて保管します
• 保存データはAES-256暗号化、通信はTLS 1.3により保護します
• 顧客データへのアクセスは担当プロジェクトメンバーに限定し、最小権限の原則を適用します
• 不要になったデータは速やかに安全な方法で削除します

当社は、不正アクセス・マルウェア・情報漏洩等のセキュリティリスクを継続的に評価し、適切な技術的・運用的対策を講じます。

• ソフトウェアおよびインフラの脆弱性パッチを定期的に適用します
• 多要素認証（MFA）を社内全システムへ適用します
• 不審なアクセスを検知するログ監視・アラートを常時稼働させます
• 年1回以上のセキュリティレビューを実施します

情報セキュリティインシデント（不正アクセス・データ漏洩等）が発生または発生が疑われる場合、当社は以下の対応を行います。

• インシデント検知後、速やかに原因調査・被害範囲の特定を行います
• 影響を受けたお客様に対し、検知から72時間以内に初期報告を行います
• 再発防止策を策定し、報告書としてお客様に提供します
• 必要に応じ、監督官庁への報告を行います

当社は、役員・従業員・業務委託先に対し、情報セキュリティの重要性を周知徹底し、適切な教育・訓練を実施します。

• 入社・契約時に情報セキュリティポリシーへの同意と誓約を必須とします
• 業務委託先との間で機密保持契約（NDA）を締結します
• フィッシング・ソーシャルエンジニアリングに関する定期的な啓発を行います

当社は、個人情報保護法・不正競争防止法・その他関連する法令・規制・業界標準を遵守します。また、ISO/IEC 27001（ISMS）の考え方を参照し、情報セキュリティマネジメントの継続的改善に取り組みます。

個人情報の取扱いについては、別途定めるプライバシーポリシーに従います。

本方針は、技術環境の変化・法令改正・事業環境の変化に応じて定期的に見直し、改善します。改定時はウェブサイト上での告知をもって通知に代えます。