情報セキュリティ方針

1. 目的

株式会社SiNCE（以下「当社」）は、当社ビジネス支援サービスを運営するにあたり、多くの情報資産を利用しております。当社は、情報セキュリティシステムを適切に実現し、情報資産の保護に努めることは、社会の信頼のもとに企業活動を促進するための必要不可欠な要件であるとともに、重大な社会的責務であると認識しております。また、ニューノーマル環境への変化に伴う情報セキュリティの変化に対応できる情報セキュリティマネジメントシステムを確立、実施、維持、かつ継続的に改善し、お客様信頼確保及び事業損失を最小限に留めることを目的とし、情報セキュリティ方針（以下「本方針」）を定め、これを推進します。

2．情報セキュリティの定義

情報に対する下記の性質(情報セキュリティの3大要素)を維持します。

1.機密性(confidentiality)

• 認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性。

2.完全性(integrity)

• 正確さ及び完全さの特性。

3.可用性(availability)

• 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

3．適用範囲

基本方針を当社の管理する情報資産のすべてに対して適用する。情報資産の範囲は、電子的機器並びに電子データにとどまらず、紙媒体を含めたすべての形態を含む。

組織	株式会社SiNCE
ロケーション	本社（〒106-0032 東京都港区六本木1-4-5アークヒルズサウスタワー16F）
対象人数	全従業員（業務委託含む）
事業・業務	データドリブン / データ活用支援、マーケティングDX / D2C / 採用DX、業務効率改善／業務自動化・高度化
資産	上記業務、各種サービスにかかわる書類、データ、情報システム及びネットワーク
適用除外範囲	なし

4．実施事項

1.情報セキュリティ管理体制の構築

• 当社は、ISMS管理責任者を設置するとともに、情報セキュリティ委員会を組織します。これにより、全社にわたる情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるよう積極的な活動を行います。
• 情報セキュリティ委員会は情報セキュリティ基本方針書を策定、経営者への承認を経た上で、当該文書を従業員並びに外部関係者へ公表、通知いたします。

2.情報セキュリティ管理規程の整備

• 当社は、適用範囲の全ての情報資産を脅威（漏えい、不正アクセス、改ざん、紛失、破損）から保護するために、本方針に基づいた内部規程を整備し、情報資産の適切な管理を行います。

3.法的及び規制の要求事項並びに契約上の要求事項の順守

情報セキュリティに関する法的及び規制の要求事項並びに契約上の要求事項を取り扱い、順守します。

• 1.適用法令および契約上の要求事項の特定
• 2.知的財産権
• 3.記録の保護
• 4.プライバシー及び個人を特定できる情報（PII）の保護

4.事業継続性管理

• 当社は、災害や故障などによる事業の中断を最小限に抑え、事業継続能力を確保します。

5.情報セキュリティ教育の実施

• 当社は、情報セキュリティの重要性を認識させ、情報資産の適切な取り扱いを徹底させるため、情報セキュリティの教育・訓練を適用範囲すべての従業員に対して、定期的に実施します。

6.情報セキュリティ事件・事故の対応

• 当社は、万が一情報セキュリティの問題が発生した場合迅速に対応し、その被害を最小限に留めます。また、再発防止を含む適切な対策を講じます。

7.継続的改善

• 当社は、環境変化に合わせるため、情報セキュリティマネジメントシステムの実施状況を定期的に評価し、継続的な改善に努めます。

8.逸脱および例外

• 当社は、情報セキュリティマネジメントシステムの規定から逸脱する事項を管理・統括する組織・方法を明確にする。情報セキュリティマネジメントシステムに準拠することが得策でない事項が発生した際の対処方法を明確にすることで逸脱発見者が迅速に対応を行えるようにプロセスを整備します。

9.脅威環境によって生じる要求事項の順守

• 情報セキュリティ方針は、現在の及び予想される情報セキュリティの脅威環境によって生じる要求事項を取り扱い、順守します。

10.個別方針に関する取り扱い

• トピック別の個別方針は、従業員及び関係する外部関係者にとって適切で、アクセス可能かつ理解可能な形式で伝達する(例えば、情報セキュリティの意識向上、教育及び訓練のプログラムに従う)。

5．責任と義務及び罰則

1. 基本方針を含めた情報セキュリティマネジメントシステムに対する責任は代表取締役社長が負う。そのために代表取締役社長は、適用範囲の従業員が必要とする資源を提供するものとする。
2. 適用範囲の従業員は、お客さま情報を守る義務があるものとする。
3. 適用範囲の従業員は、本方針を維持するため策定された規定や手順を順守する義務を負うものとする。なお、義務を怠り違反行為を行った従業員は就業規則に定めるところにより処分する。

6．個別方針

情報セキュリティ対応に係る個々の管理策方針は、別途、マニュアル、規程文書、手順書等を整備、規定します。

7．情報セキュリティのための方針群のレビュー

情報セキュリティのための方針群のレビューは以下を含める。

1. 各々の情報セキュリティのための方針には、その方針の作成、レビュー及び評価についての管理責任を与えられた責任者を置く。
2. 情報セキュリティのための方針群のレビューには、組織環境、業務環境、法的状況又は技術環境の変化に応じた、組織の情報セキュリティのための方針群及び情報セキュリティの管理への取組みに関する、改善の機会の評価を含める。
3. 情報セキュリティのための方針群のレビューでは、マネジメントレビューの結果を考慮し、反映する。
4. 改訂された情報セキュリティのための方針は、管理層から承認を得る。

8．改訂履歴

2023年2月24日制定
代表取締役
一筆将人