情報セキュリティポリシー

本情報セキュリティポリシー(以下「本ポリシー」という。)は、株式会社フューチャープランニング(以下「会社」という。)が、業務上取り扱う顧客、取引先等(以下「顧客等」という。)の情報資産および会社の情報資産をセキュリティ上の各種の脅威から適切に保護することにより会社の事業活動を正常かつ円滑に行うことを目的とする。 本ポリシーは、会社の情報資産の保護に関する会社の基本方針であり、会社の情報資産の保護のための全ての施策は、この基本方針に則って実施するものとする。
また、本ポリシーが有効に機能するよう、すべての役職員がこれに関与し、これを支持しなければならない。

情報資産

情報資産とは

会社にとっての情報資産とは、情報と情報システム、ならびにそれらが正当に保護され使用され機能するために必要な要件の総称とし、ハードウェア・ソフトウェア、ネットワーク、各種データファイルのみならず、システム開発・運用のために必要な要員やドキュメント、役職員が業務上知り得た顧客情報等を含むものとする。
情報資産は会社の重要な資産のひとつであり、会社の情報資産の機密性・完全性・可用性が失われると会社はビジネス上の損害を被る可能性が大きく、また、顧客等へ損害を与える場合もある。よって、会社は会社の情報資産に対する管理者を設置し、さまざまな脅威(故障、災害、誤処理、不正使用、破壊、盗難、漏洩等)による被害を最小限にするために必要な対策を行う。

情報資産の分類

会社の情報資産は、業務上の重要性、機密性、完全性、可用性等の視点から分類のうえ、適切に管理するものとする。

情報資産へのアクセス

会社は、会社の情報資産がその目的に沿って適切に使用されるよう、正当な必要性に基づくアクセスのみを許可する。よって、会社はこのために必要な時間、資源を投入し、ハードウェア・ソフトウェア、ネットワーク、各種の記録媒体等へのアクセスを管理・監視する。

情報資産の私的利用の禁止

役職員は、会社の情報資産を私的に利用してはならない。

役員による確認

役員は、会社の情報資産が適切に管理・保護されていることを確認する必要がある。よって、会社は定期的にそれらの調査を行い、各部門からの報告を求める。

会社の意思決定

会社の意思決定は、情報資産の適切な利用と保護に背反するものであってはならない。
情報管理責任者、情報管理担当者は役職員に対して、本ポリシーに違反する行為を命じてはならない

情報システム

安全対策基準の策定

情報システムは、本ポリシーに準拠し、セキュリティのために必要な要件を充足しなければならない。よって、会社は安全対策基準として情報システムに関連する規程等を策定する。

安全対策基準の遵守

会社は、情報システムの構築、運用において、すべての役職員に安全対策基準を遵守させなければならない。

セキュリティ管理態勢

全社セキュリティ管理

会社は、会社の情報資産の保護のための統括責任者として情報管理責任者を置く。また、会社の情報資産の保護を全社統一的な視点で行うために情報セキュリティ管理委員会を設置し、必要なセキュリティ管理体制を整備するものとする。
情報セキュリティ管理委員会の委員長は情報管理責任者とし、また情報管理部を情報セキュリティ管理委員会の事務局とし、情報管理部長を情報管理責任者とする。
情報セキュリティ管理委員会は、本ポリシーや情報セキュリティに関する各種の規程を確立し、有効に機能させる職務を担う。

部門セキュリティ管理

部門においては、情報セキュリティ管理委員会は部門ごとの情報管理担当者を任命する。情報管理担当者は、自部門における情報資産の使用と適切な管理について責任を負い、部門における安全対策の周知、維持・管理を実施し、それを有効に機能させる職務を担う。
また、情報セキュリティ管理委員会では部門における情報資産管理を支援するものとする。

監査体制

監査(システム監査)部門は、会社が本ポリシーおよびこれに基づいた取決めや手順を遵守していることを検証する職務を担う。

法令遵守

情報資産に関する法令の遵守

会社および役職員は、職務の遂行において使用する会社の情報資産に関連する法令を遵守し、これに従わなければならない。また、各部門の情報管理担当者は各部門に関連する法令の周知の責任を負う。

役職員の参加と義務

役職員の義務

役職員は、本ポリシーおよび情報セキュリティに関する各種の規程を遵守しなければならない。

セキュリティ教育

会社は、会社の情報資産の保護に関する役職員の義務を周知徹底し、会社の情報資産を保護するためのセキュリティ水準を維持・向上させるため、すべての役職員に対して情報セキュリティに関する教育を継続的に実施する。

セキュリティポリシー違反の検知と対応

会社は、本ポリシーに対する違反を知った場合、就業規則における懲戒の対象とすることがある。

外部委託

契約の締結

会社は、外部委託先と本ポリシーならびに会社で定める規程等と同等以上の情報セキュリティに関する要件を記載した契約を締結するものとする。

安全対策の確認

会社は、外部委託先との契約を締結した部門においては、委託期間中の外部委託先において必要な安全対策が確保されていることを確認しなければならない。

以上

2021年3月1日:制定