ISMSについて
情報セキュリティ方針
1 ISMSの確立
当社は、当社が提供するサービスにおいて、IT による技術術開発や製品、サービスを開発する事業者として高度にセキュアな情報セキュリティや情報セキュリティ機能を有していることが期待されていることを自覚し、取引先の要求、社会的な要請並びに当社の事業方針を鑑み、ISMS推進のための組織の確立、当社の事業に関連する情報セキュリティ管理策の策定を行い、ISMSを確立するものとする。
2 取引先の要求
当社は、当社の事業に関連する取引先の期待に応えるため、取引先からお預かりしている情報について、責任者の管理のもと、定められた規程並びに手順に従い、情報を取り扱い、取引先との情報セキュリティに関するご契約を遵守することにより、これらの情報の安全管理を確実に行うとともに、取引先向けのサービスの継続的提供に努めるものとする。
3 社会的要請
当社は、個人情報保護法、不正競争防止法等、情報セキュリティに関する法令、規制、及びその他の規範を遵守するものとする。
4 事業上の要求
当社は、当社の事業目標を達成し、取引先満足度向上のため、情報セキュリティ管理策を策定し、情報セキュリティ基盤を構築するものとする。
a) ISMS目標
当社は、毎年ISMS目標を設定し、情報セキュリティ基盤の確立及び継続的改善を行うものとする。
b) 情報セキュリティ管理策の実施
当社は、情報資産を漏洩・改ざん・紛失等の脅威から保護するため、下記の方針に従い管理策を実施するものとする。
- セキュリティ方針
- 外的なリスク(ゼロデイアタックなど)、内的なリスク(ヒューマンエラーなど)については、完全に防御することを目指すだけではなく、完全には防御することができなかった場合においてもセキュリティが維持されてリスクを回避することができるという方針を原理としたセキュリティ設計を行う。
- 物理的セキュリティ対策
- 情報資産への外部脅威(不正なアクセスなど)や、内部要因(ミスによる破損など)が、物理的に不可能もしくは困難であるような方法を選択し採用する。
- 論理的セキュリティ対策
- ヒューマンエラーによるセキュリティ事故が、原理的に不可能もしくは困難であるような方法を選択し採用する。
- その他対策
- 外部組織のセキュリティ情報を活用する。
- 常に最新のセキュリティ情勢を理解し、適切な技術で継続的に更新する。
c) 情報セキュリティ事件・事故発生の予防並びに是正
当社は、万一情報セキュリティ事件・事故や違反が発生した場合には、被害や損害を最小限にくい止めるための体制を構築し、速やかに適切な是正処置を講じ、再発防止に努めるものとする。
d) 事業継続管理の実施
当社は、重大な障害または災害に起因する情報資産への影響を最小限にし、当社の事業活動の中断に対処するとともに、事業継続管理のための枠組みを確立し、事業継続計画を作成、維持、試験するものとする。
5 基本方針の見直し
当社は、監査の結果及び当社の外部環境の変化を踏まえ、基本方針の見直しを適時実施する。
制定日:2016 年 10 月 31 日
改定日:2017 年 8 月 1 日
株式会社 MetaMoJi
代表取締役専務 浮川初子
ISMS について
弊社では、弊社クラウドサービスの運用に関して、審査登録機関である BSI グループジャパン株式会社より ISMS の認証(認証登録番号:IS 663162)を取得し、サービスの運用を行っております。
<登録日>
2017 年 3 月 29 日
<登録範囲>
クラウドサービス運用業務
ISMS における弊社の取り組みについて
弊社では、弊社のクラウドサービスの運用に関して、以下の内容を実施しています。
クラウドサービスのシステムについて
クラウドサービスのシステムに関する設計・構築・運用はすべて弊社が自社で行っています。
クラウドインフラについて
弊社クラウドサービスのシステムは Amazon Web Services,Inc.社が提供する AWS クラウドサービス(以下、「AWS」といいます)上に構築されています。サービスを構成するインフラ層以下のセキュリティは AWS のセキュリティにより保護されています。
データの所在について
AWS における日本の国内リージョン内に保管されています。
データ利用範囲の制限
弊社は、クラウドサービスのシステム運用ポリシーにおいて、バックアップやログデータ等、お客様データを含むすべてのデータについて、利用範囲を弊社のクラウドシステム内に制限して運用しています。
脆弱性対策について
一定の頻度で脆弱性に関する情報の収集を実施し、情報の収集と脆弱性への対策を行うとともに定期的に第三者機関による診断や社内での検査を実施して、脆弱性の検知を行っています。
データの保存について
弊社では、お客様データが保存されるデータベースについてはセキュリティの面についても十分考慮して設計するとともに、お客様データが保存される際は、お客様ごとに異なる暗号鍵を用い、適切な強度で暗号化して保存されています。