- TOP
- 情報セキュリティ基本方針
情報セキュリティ基本方針
情報セキュリティ基本方針
株式会社LYST(以下「当社」といいます。)は、経営コンサルティング、事業開発支援、マーケティング支援、DX支援、サイバーセキュリティ支援、研修その他の事業活動を通じて、顧客、取引先、役職員その他の関係者からお預かりする情報ならびに当社が保有する情報を、重要な経営資源として認識しています。
当社は、データおよびデジタル技術の積極的な活用と、情報セキュリティの確保を経営の両輪と位置づけます。
情報資産を事故、災害、犯罪、過失、サイバー攻撃その他の脅威から保護し、社会および顧客からの信頼に応えるため、ここに情報セキュリティ基本方針を定め、全社的かつ継続的に情報セキュリティの維持・向上に取り組みます。
1.経営者の責任
当社の代表取締役は、情報セキュリティおよびサイバーセキュリティを重要な経営課題として認識し、情報資産を適切に管理・保護するために必要な方針、組織、規程、体制および経営資源を整備します。
また、代表取締役の責任のもと、情報セキュリティに関する取組状況を定期的に確認し、必要な改善を行います。
2.法令、契約および社内規程の遵守
当社は、情報セキュリティ、サイバーセキュリティ、個人情報保護、知的財産権その他の情報管理に関係する法令、国が定める指針、業界ガイドライン、契約上の義務および社内規程を遵守します。
当社の役員、従業員および業務に関与する者に対しても、これらの遵守を求めます。
3.情報セキュリティ管理体制の整備
当社は、情報セキュリティを適切に管理するため、情報セキュリティ管理責任者および担当者を定め、役割、責任および権限を明確にします。
情報セキュリティに関する重要事項、事故、異常およびリスクについては、速やかに経営者へ報告し、全社的な体制で対応します。
4.情報資産の適切な管理
当社は、顧客、取引先、役職員その他の関係者から取得または提供を受けた情報ならびに当社が保有する情報について、その重要度、機密性、完全性および可用性を考慮し、適切に分類・管理します。
情報資産の取得、利用、保管、共有、持出し、複製、送信、廃棄その他の取扱いについて、必要な管理手順を定め、不正アクセス、漏えい、紛失、盗難、改ざん、破壊、誤送信その他の事故の防止に努めます。
5.リスクアセスメントの実施
当社は、事業環境、情報システム、技術、法令、社会情勢およびサイバー攻撃の変化を踏まえ、情報資産に関するリスクを定期的に特定・分析・評価します。
評価したリスクについては、その影響度および発生可能性に応じて、回避、低減、移転または受容等の対応方針を決定し、必要な対策を講じます。
6.人的・組織的・物理的・技術的安全管理措置
当社は、情報資産を適切に保護するため、リスクに応じて、人的、組織的、物理的および技術的な安全管理措置を実施します。
主な取組には、以下を含みます。
-
利用者およびアクセス権限の適切な管理
-
パスワードおよび多要素認証の適切な運用
-
端末、ネットワークおよびクラウドサービスの安全管理
-
マルウェア、不正アクセス、フィッシングおよび標的型攻撃への対策
-
ソフトウェア、OSおよび機器の脆弱性管理
-
データの暗号化、バックアップおよび復旧対策
-
電子メール、Webサイトおよび外部記憶媒体の安全な利用
-
入退室、機器保管および書類管理等の物理的対策
これらの対策は、技術の進歩、事業環境および脅威の変化に応じて継続的に見直します。
7.DX、クラウドサービスおよび生成AIの安全な活用
当社は、DXの推進にあたり、データ、クラウドサービス、生成AIその他のデジタル技術を、安全かつ適切に活用します。
新たなシステム、クラウドサービス、AIサービスその他の外部サービスを導入または利用する場合は、サービス提供者の信頼性、情報管理体制、利用規約、データの保存・利用条件、アクセス権限、障害時の対応その他のリスクを事前に確認します。
生成AIその他のAIサービスを利用する場合は、顧客の機密情報、個人情報、未公表情報、営業秘密その他の重要情報を、当社が認めていないサービスへ入力しません。
また、AIが生成した情報については、正確性、適法性、知的財産権、偏りおよび情報漏えいのリスクを確認したうえで利用します。
8.委託先およびサプライチェーンの管理
当社は、業務委託先、クラウドサービス事業者、システム事業者、販売・協業パートナーその他の外部組織に情報資産の取扱いを委託する場合、委託先の情報セキュリティ管理体制を確認し、必要な契約上の措置を講じます。
委託業務の内容、取扱情報、責任範囲、再委託の条件、事故発生時の報告、契約終了時の情報返却・消去等を明確にし、必要に応じて委託先の実施状況を確認します。
当社は、自社のみならず、取引先およびサプライチェーン全体を通じた情報セキュリティリスクの低減に努めます。
9.教育および意識向上
当社は、役員、従業員および業務に関与する者に対し、情報セキュリティ、個人情報保護、サイバー攻撃、クラウドサービスおよび生成AIの適切な利用等に関する教育・訓練を定期的に実施します。
また、日常業務における情報セキュリティ上の責任を周知し、一人ひとりが適切に判断し、行動できる組織風土の醸成に努めます。
10.情報セキュリティインシデントへの対応
当社は、情報漏えい、不正アクセス、マルウェア感染、端末の紛失・盗難、システム障害その他の情報セキュリティインシデントまたはその予兆を早期に発見し、適切に対応するための報告・連絡体制および対応手順を整備します。
インシデントが発生した場合は、被害の拡大防止、原因調査、影響範囲の特定、復旧、関係者への連絡、法令等に基づく報告および再発防止策を速やかに実施します。
また、重大なインシデントについては、代表取締役を含む経営層が対応を指揮します。
11.事業継続および復旧
当社は、自然災害、サイバー攻撃、システム障害、通信障害その他の事象が発生した場合においても、重要な業務を継続し、または早期に復旧できるよう、事業継続計画および情報システムの復旧体制を整備します。
重要なデータについては、適切なバックアップを実施し、その復旧可能性を定期的に確認します。
また、必要に応じて代替通信手段、代替業務手順および緊急連絡体制を整備し、訓練または確認を実施します。
12.点検、監査および継続的改善
当社は、本基本方針、関連規程および情報セキュリティ対策の遵守状況ならびに有効性を定期的に点検・評価します。
点検、監査、事故、教育、リスク評価その他の結果に基づき、必要な是正措置および改善措置を実施します。
また、本基本方針は、原則として年1回、または法令、事業内容、情報システム、社会情勢もしくは脅威環境に重大な変化が生じた場合に見直します。
13.違反への対応
当社は、本基本方針、関連規程、法令または契約に違反する行為が確認された場合、事実関係を調査し、就業規則、契約その他の定めに基づいて適切に対応します。
また、違反の原因を分析し、必要な再発防止策を講じます。
14.本基本方針の公開
当社は、本基本方針を役員、従業員および業務に関与する者に周知するとともに、当社Webサイト等を通じて社外に公開します。
当社は、情報セキュリティに関する取組を継続的に改善し、顧客、取引先および社会から信頼される企業であり続けることを目指します。
株式会社LYST
代表取締役 亀川賢治
制定日 2015年1月1日
最終改定日 2026年4月1日
