情報セキュリティ方針

DX推進室 おかやま(代表 中西 輝。以下「当方」といいます)は、お客様からお預かりする情報の保護を業務の最優先事項と位置づけ、以下のとおり情報セキュリティ方針を定めます。

• 個人情報保護法その他関連法令を遵守します
• お預かりする情報を、業務上必要な範囲でのみ取り扱います
• 個人事業主としての規模に見合った、現実的かつ実効的なセキュリティ対策を継続します
• 万一、情報の漏洩・紛失・破損等の事故が発生した場合は、お客様への速やかなご報告と再発防止に全力で取り組みます

本方針は、DX推進室 おかやま が行うすべての業務、および業務に従事するすべての者(代表本人および将来的な業務委託先を含む)に適用されます。

必要最小限の収集

業務遂行に必要な情報のみをお預かりし、不要な情報は求めません。お客様の社内システムやIDをお預かりする場合も、必要最小限の権限・期間に限定します。

適切な管理

• 業務用PC・スマートフォンには強固なパスワード(またはPIN・生体認証)を設定
• 業務用PCのストレージは暗号化
• クラウド上のデータは、必要に応じてバックアップを実施
• パスワードは使い回さず、可能な限り二段階認証を有効化

業務上必要な範囲でのみ使用

お預かりした情報は、契約書および本方針に定める利用目的の範囲内でのみ使用します。他のお客様の事案や、当方の営業活動・事例紹介等への流用は、お客様の事前同意なくしては行いません。

• 業務用PCおよび書類は、第三者の目に触れない環境で取り扱います
• 外出時はPC・書類の置き忘れ・盗難を防止し、離席時には画面ロックを徹底します
• カフェ等の公共空間では、機密性の高い情報を画面に表示しません
• 紙媒体の機密書類は、不要になった時点で速やかに裁断・廃棄します
• 業務用PCを譲渡・廃棄する際は、データを完全に消去します

• 業務用PCのOS・アプリケーションを定期的にアップデート
• ウイルス対策ソフトを導入し、最新の状態に保つ
• 不審なメール・添付ファイル・URLは開かない
• 公衆 Wi-Fi で機密情報を扱う際は、必要に応じて VPN を利用
• クラウドサービスへのアクセスは、強固なパスワード+可能な限りの二段階認証で保護
• 業務用デバイスの紛失時は、リモートロック・リモート消去で速やかに対応

業務効率と品質のため、当方ではクラウドサービスを積極的に活用しています。サービスの選定にあたっては、以下の観点を確認しています。

• 提供事業者の信頼性・運営実績
• セキュリティ対策・暗号化の実装状況
• プライバシーポリシー・利用規約の内容
• 必要なデータの所在(国内・海外)の把握

特にお客様の機密情報を扱う可能性のあるサービスについては、より慎重に選定を行います。

現時点で当方は代表1人で業務を行っていますが、将来的に業務の一部を外部に委託する場合は、以下を遵守します。

• 秘密保持義務を含む業務委託契約を締結
• 委託先の選定基準を設け、適切な事業者を選ぶ
• 必要最小限の情報のみを共有
• 定期的に取扱状況を確認

お問い合わせフォームのメール送信に利用している Resend 等のクラウドサービス事業者についても、当方が責任をもって監督します。

万一、情報の漏洩・紛失・破損等のセキュリティインシデントが発生した、または発生のおそれがあると判明した場合、以下のとおり対応します。

1. 速やかな事実確認と被害拡大の防止
2. 影響を受けるお客様への速やかなご報告
3. 原因の調査と再発防止策の策定
4. 個人情報保護法に基づく、個人情報保護委員会への報告(該当する場合)
5. 必要に応じて警察・関係機関への通報

情報セキュリティの脅威は日々変化します。代表自らが、以下を継続的に行います。

• 個人情報保護法・サイバーセキュリティ関連法令の動向把握
• 新たな脅威・攻撃手法に関する情報収集
• セキュリティ関連の書籍・公的機関の発信(IPA等)を通じた学習
• 必要に応じた研修・勉強会への参加

本方針およびセキュリティ対策は、定期的に、また必要に応じて見直し、継続的に改善します。法令の改正、技術の進歩、新たな脅威の出現等に応じ、適切に運用を更新します。