情報セキュリティ基本方針
SECURITY
- 基本方針策定の目的
- ウェルネス・コミュニケーションズ株式会社は、「人と企業を元気にするヘルスケアサービスカンパニー」として、企業や健保組合、医療機関等の法人顧客、法人に勤務する従業員やその家族、法人顧客の個人等を対象とした各種サービスを開発し提供する過程において、情報資産を安全、安心及び信頼 の下に管理し、または利活用していく前提において、適切な情報セキュリティ対策を確立することが必要不可欠であるとの認識に立ちJISQ27001:2014(ISO/IEC27001:2013)を適用した、情報セキュリティマネジメントシステム(以下、「ISMS」と言う。)を構築する。
ISMS の構築にあたっては、次の事項を内容とする情報セキュリティ基本方針を策定し、当社または当社サービスの運用する中で取扱う情報資産をあらゆる脅威から守るために必要な情報セキュリティの確保に最大限取り組むこととし、当社または当社のパートナーで業務を行うすべての者は、この目的を果たすため、情報セキュリティ基本方針に従った業務に責任を負うとともに、遵守しなければならない。
- 情報セキュリティの目標
- 当社では、外部委託・外部からの派遣者を含め、外部または内部で働く人々の取り扱う、個人情報を含む当社の顧客情報が、不当に暴露されたり、内容を改竄されたり、処理を妨害されたりしないようにする利害関係者の要求事項を満たすことを目標とし、外部及び内部の状況を的確に把握し、課題を明確にした上で、必要な管理策をとる。
また、それぞれの個人情報を含む顧客の利活用においては、本人の(明示的な)同意が反映されることを目標とする。
個人情報の保護に関しては、個人情報保護方針に記載する。
- 情報資産の管理方針
- (1)機密性・完全性・可用性の確保
業務内容の重要性及び情報セキュリティへの要求の高さを考慮して、施設・情報機器及び業務情報に対する認可されていないアクセス、損傷及び妨害を防止するため、セキュリティ区域内で厳重に管理される。
さらに、当社と外部の情報処理委託機関及び法人顧客等の組織間で交換される、情報の紛失・盗聴・改竄又は誤用からの保護にも、管理策を策定し維持する。
許可されていない利用者のアクセスを防止するための管理策を策定する一方、許可された利用者の運用を損なうことの無いよう、ウイルス等の悪意のあるソフトウエアからの保護策も講じる。
そのために、以下を行う。
A) リスクアセスメントを体系的に実施できるように、リスク評価基準及びリスクアセスメント方法を確立する。
B) 当社事業に適したリスクマネジメントを戦略的に構築できるように環境を整備する。
(2)情報セキュリティの管理体制
当社においては、社長を情報セキュリティ責任者として、情報セキュリティの維持、管理を行うための情報セキ ュリティ委員会を設置する。 また、ISMS 推進事務局を設置し、個人情報保護・セキュリティには特段の配慮を行う。
情報の公開に関しては情報セキュリティ委員会において詳細を定める。
また、個人情報保護及び情報セキュリティ上の要求事項及び知的所有権、個人情報の取得・利用・提供に関し、適用法令を識別し、違反してはならないものとする。
(3)基本方針の徹底のためのセキュリティ教育と違反者の罰則
当社では、人的な誤り・盗難・不正行為・設備の誤用を防止するため、適宜セキュリティ教育を実施し、違反者には罰則を課する。
このセキュリティに関する審査・契約・罰則は、外部からの派遣者・委託先入場者にも適用する。
(4)事業継続管理
情報セキュリティ障害及びサービス喪失に伴う影響を分析(リスクアセスメント)し、事業継続に対して計画・維持し、定期的に再評価を行う。
(5)システムの開発及びメンテナンス
全てのシステム開発ライフサイクルを含む、システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保護しなければならない。
(6)制定・評価・見直し
本情報セキュリティ基本方針は、社長の承認により制定し、情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、情報セキュリティ委員会により定期的に対策基準の評価・見直しを実施することとし、このための必要な措置を規定する。
制定・施行:2006年12月1日
改訂:2020年5月25日
ウェルネス・コミュニケーションズ株式会社
代表取締役社長 松田 泰秀