情報セキュリティ方針
1. 基本方針
NDソフトウェア株式会社(以下、当社という)は、「高度な技術と安心のサポートでコンピュータシステムの未来を創造する」という企業使命を持ち、「お客様第一主義」を経営基本方針として、介護・福祉・医療分野の業務支援ソフトウェアの開発・販売・運用サポートを中心に、経営理念である「誰もがすこやかに暮らせる社会の実現」を目指した事業活動を行っています。
当社としては、CSR(企業の社会的責任)を向上させるための根幹としてコーポレートガバナンスおよびコンプライアンスの達成を位置づけており、その手段としてISMS(Information Security Management System)の運用は必要不可欠なものとなっています。また、セキュリティに関する安全性を確保し、維持向上させていくことは、お客様満足度を向上させるためにも大変重要な事項と考えています。
また、当社としても、様々な脅威から、当社の情報資産の安全性を確保することが、経営上の重要な課題であり、これに対応すべくISMSの適切な整備を推進します。
当社は、お客様および社員・協力会社との信頼関係の上に成り立ったビジネスを行うために、情報資産の保護を重要施策と位置づけ、全役職員が一体となって、安全な情報の保護と提供を保証することにより、お客様の信頼を獲得し、顧客満足の向上を図っていきます。
2. 行動方針
- ・当社は、社内で創出された重要事項やお客様からお預かりした経営リソースの中核となる情報資産をリスク評価し様々な脅威から保護すると同時に、万が一被害が顕在化した場合においても迅速な復旧を行える体制を整えます。
- ・当社は、事業継続計画を策定し、企業としての永続的な事業継続を行います。
- ・当社は、社内における重要事項はもとより、お客様・社員・協力会社より預託された情報資産をより安全に取り扱う事の意義を全社員が認識します。
- ・当社は、物理的・技術的なセキュリティ対策はもちろん、教育・訓練を実施し人的な面においてもセキュリティ意識の高揚を図ります。
- ・当社は、経営陣を中心に、ISMSに必要な資源が利用可能となるよう、また関連する管理層がその責任の領域においてリーダシップを発揮できるよう支援します。
- ・当社は、情報セキュリティに関わる法令、規制ならびに契約事項を遵守します。
- ・当社は、内部監査・マネジメントレビュー等により、情報セキュリティパフォーマンスとISMSの有効性を評価、分析し、継続的にISMSを改善していきます。
制定日 : 2007年7月1日
改訂日 : 2023年4月1日
NDソフトウェア株式会社
代表取締役社長 松山 庸哉
情報セキュリティ個別方針
1. アクセス制御方針
当社の情報資産に対するアクセスは、その情報資産のリスクレベルに応じてアクセス許容範囲を設定します。その際、社員区分(従業員、派遣社員、協力会社社員など)、職位・職層、業務上の必要性などを考慮します。
また、すべての情報資産は、許可のないアクセスから可能な限り保護されなければならず、不正利用や誤使用などの不適切なアクセスから保護するために、外部ネットワークからの不正侵入防止、利用者の識別・認証、情報資産へのアクセス権限の適切な設定、不正アクセスの早期発見、アクセス記録の取得などの対策を実施し維持・改善します。
2. 情報分類(及び取扱い)方針
情報は、法的要求事項、価値、重要性、及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から、分類します。
保持している帳票類、電子データは機密性に応じて、極秘、部外秘、社外秘、パートナー外秘、公開の5段階に区分し、区分に合わせラベルを貼付し容易に識別可能とします。情報は、情報資産リストに記載・保管し、定期的に評価します。
3. 物理的及び環境的セキュリティ方針
取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために物理的セキュリティ境界を定め、建物のすべての出入り口を含めサーバー室、執務室等のセキュリティを保つ領域はICカードによる入退管理システムにより、認可されたものだけがアクセスを許すことを確実にし保護します。
4. バックアップ方針
災害又は媒体故障の発生の後に、重要な情報及びソフトウェアの回復を確実にするために、定期的にバックアップを実施します。また、主事業所の災害による被害から免れるために、十分離れた場所にバックアップデータを保管します。
5. 情報の転送方針
重要な情報が含まれる情報の通信では原則電子メールを使用しない。また社外に向けファイルを添付しメールする際は自動的に暗号化送信を行い、別メールでパスワードの伝達を行う前に送り先の間違いをチェックします。
重要な情報が含まれる文書をFAXで送信する際には、送信先に着信を電話等で確認します。
6. マルウェアからの保護方針
マルウェアから情報を保護するために、予防又は定常作業として、コンピュータ及び媒体を走査(スキャン) するための、マルウェアの検出・修復ソフトウェアの導入及び定期的な定義ファイルの更新を行います。
使用できるアプリケーションをホワイトリスト化し、認可されていないソフトウェアの使用を禁止します。マルウェアの攻撃からの回復に関する手順書に基づく教育により平時の準備を行い、有事に備えます。
7. 技術的ぜい弱性の管理方針
技術的ぜい弱性の悪用を防止するために、アクセスできる担当者をシステム上で限定し、情報に対するアクセスログを監視、管理します。インターネットの脆弱性を考慮し、個人情報をメールで送付する場合には、ファイルを暗号化して送付する等の諸対策を講じます。
8. 暗号による管理策方針
保持する情報の機密性、真正性及び完全性を保護するために、持ち運び可能な若しくは取外し可能な媒体装置または通信によって伝送される情報を保護する管理策として暗号及びディジタル署名を利用します。
暗号化を行う暗号鍵については、容易な解読を防止するために、より複雑な鍵体系とします。
9. 通信のセキュリティ方針
ネットワークにおける情報のセキュリティ及び接続したネットワークサービスの保護を確実にするために、外部ネットワークと内部ネットワークを分離し、さらに内部においても情報を共有するグループごとに分離します。
拠点間を結ぶ広域のネットワークについてはVPNを構築します。また、許可されていないアクセスからネットワークサービスを保護するために、ネットワークに接続する機器と使用者を管理し制限します。
10. プライバシー及び個人を特定できる情報の保護方針
当個人情報の取り扱いにあたり、「個人情報の保護に関する法律」および関連法令を遵守し、主管する省庁のガイドラインや業界ガイドラインを守ります。
個人情報を取り扱う部門では、個人情報管理責任者を設置し、個人情報の管理を行います。
個人情報を広く一般から収集する場合、当社ホームページに公開しているプライバシポリシー(個人情報保護方針)を遵守します。
11. 供給者関係方針
業務を外部委託及び第三者が提供するサービスを利用する場合は、組織の資産に対する供給者のアクセスに関連するリスクを軽減するため及び経営効率の向上を図るために、供給者に求める情報セキュリティ要求事項を特定し、事前に供給者と合意し、機密保持契約書を締結します。
また、合意内容の監視及びレビューを適時実施し、必要に応じて合意内容を見直します。
12. 媒体の取扱い方針
媒体に保存された情報の認可されていない開示、変更、除去又は破壊を防止するために、取り外し可能な媒体はデータに暗号化を施します。特定の者にアクセス権限を限定する情報が保管された媒体は、情報セキュリティ契約締結業者に移送を依頼します。
重要な情報資産が保管された記憶媒体・紙は、ファイルシュレッダーツールやシュレッダーを利用するか破壊、焼却を行い、読み取り不能な状態で廃棄します。
13. モバイル機器及びテレワーキング方針
モバイル機器の利用に関するセキュリティを確実にするために、保護されていない環境における作業のリスクを考慮に入れ、ソフトウェアのインストール制限、データ格納制限、パッチ適用、アクセス制御、バックアップ等の対策を施します。
テレワーキングを行う場所でアクセス、処理及び保存される情報を保護するために、物理的セキュリティ対策、安全な遠隔アクセス方法、バックアップ等の対策を施します。
14. 情報セキュリティインシデント管理方針
発生したセキュリティに関連する事故、事象及びセキュリティ弱点に関して早期に把握し関係者へ伝達、円滑かつ的確に対応することで深刻な被害への進行を防ぐとともに、原因となった対応策の改善をはかるため、一貫した効果的な情報セキュリティインシデントの管理を実施します。
15. 情報セキュリティの意識向上、教育及び訓練方針
従業員及び関係する場合は契約相手に対し、情報セキュリティに関する各自の責任及びその責任を果たす方法について認識させることを狙いとし、定期的に職務に関連する組織の方針及び手順についての適切な意識向上のための教育及び訓練を実施します。
16. クラウドサービス利用のための情報セキュリティ方針
クラウドサービスを安全に利用するためにアクセス及び管理、情報の保護、地理的要因への対策を確実にするため、クラウドサービス特有のリスクを考慮に入れ、クラウドサービス提供事業者と提供条件の確認、アクセス制御、バックアップ、暗号化、ログ取得等の対策を施します。
17. クラウドサービス提供のための情報セキュリティ方針
クラウドサービスを安全に提供するために情報セキュリティ要求事項、内部関係者(担当職員)のリスク、アクセス制御、仮想化セキュリティ、お客様情報の保護、情報共有への対策を確実にするため、情報セキュリティの役割と責任の明確化、準拠法や適用される法令の明確化、アクセス制御機能、暗号化、バックアップ、セキュリティ教育及び訓練等の対策を施します。
改訂日 : 2023年4月1日
NDソフトウェア株式会社
代表取締役社長 松山 庸哉