HOME法務・方針 / INFO-SECURITY

情報セキュリティ方針

株式会社大将水産(以下「当社」)は、お客様の個人情報、取引先情報、従業員情報、その他当社が保有する全ての情報資産を重要な経営資源と認識し、適切に保護・管理することを基本方針として定め、組織全体で情報セキュリティの確保に取り組みます。本方針は、その基本的な考え方と実施事項を定めるものです。

  1. 第1条(目的)

    本方針は、情報セキュリティに関する当社の基本的な考え方、責任体制、実施事項を明確にし、情報資産を脅威から保護することを目的とします。

    具体的には、情報資産の機密性(権限のある者のみがアクセスできる状態)、完全性(情報が正確で改ざんされていない状態)、可用性(必要なときに利用できる状態)の三要素(CIA)を確保することが、本方針の究極的な目的です。

  2. 第2条(定義)

    本方針における用語の定義は以下のとおりとします。

    1. 「情報資産」:当社が保有または管理する全ての情報(電子データ、書類、音声、映像等)および情報を取り扱うための機器・システム・ネットワーク・サービス。
    2. 「情報セキュリティインシデント」:情報資産の機密性、完全性、可用性を脅かす事象(情報漏洩、改ざん、破壊、不正アクセス、サービス停止等)。
    3. 「従業員」:当社の役員、正社員、契約社員、パート、アルバイト、派遣社員、業務委託先スタッフを含む、当社の業務に従事する全ての者。

  3. 第3条(適用範囲)

    本方針は、当社の全ての従業員、および当社が保有・管理する全ての情報資産に適用されます。

    業務委託先においても、本方針に準じた情報セキュリティ水準の確保を求めます。

  4. 第4条(基本理念)

    当社は、以下の基本理念に基づき、情報セキュリティを推進します。

    1. 情報セキュリティは経営課題である。
    2. 情報資産は顧客・取引先・従業員からの信頼の証である。
    3. 情報漏洩は企業価値を大きく損なう。
    4. 継続的な改善により、変化する脅威に対応する。
    5. 全従業員が情報セキュリティの担い手である。

  5. 第5条(組織体制と責任)

    代表取締役を最高情報セキュリティ責任者として位置づけ、情報セキュリティに関する最終的な意思決定および責任を負います。

    必要に応じて、情報セキュリティ責任者を任命し、具体的な施策の企画・推進・管理を担当させます。現時点では、代表取締役が情報セキュリティ責任者を兼任しています。

    全ての従業員は、本方針および関連する社内規程を理解し、遵守する義務があります。情報セキュリティ上の問題を発見した場合は、速やかに所定の窓口に報告することが義務付けられます。

    情報セキュリティに関する懸念、インシデントの予兆、疑問点等は、上長または情報セキュリティ責任者に遅滞なく報告・相談する体制を整備します。

  6. 第6条(情報資産の分類と管理)

    当社は、保有する情報資産を重要度に応じて以下のように分類し、それぞれに適切な保護措置を講じます。

    • 極秘情報:経営情報、未公開情報、個人情報等
    • 機密情報:取引先との契約情報、営業秘密等
    • 社内情報:業務マニュアル、内部連絡等
    • 公開情報:ウェブサイト掲載情報等

    各分類に応じて、アクセス権限、保管方法、送信方法、廃棄方法等を定めます。特に極秘情報・機密情報については、厳格な管理を行います。

  7. 第7条(組織的安全管理措置)

    情報セキュリティに関する社内規程、業務手順、チェックリスト等を整備し、定期的に見直します。

    重要な情報にアクセスできる従業員の範囲を明確にし、アクセス権限を業務上の必要性に応じて最小限に制限します(最小権限の原則)。

    情報セキュリティ対策の実施状況を定期的に点検し、改善を図ります。

  8. 第8条(人的安全管理措置)

    人は情報セキュリティの最も重要な要素であり、同時に最大の脆弱性にもなり得ます。当社は以下の人的管理措置を講じます。

    情報セキュリティ教育。採用時および継続的に、全従業員を対象に情報セキュリティ教育を実施します。教育内容には、個人情報の適切な取扱い、パスワード管理の重要性、フィッシングメール・ソーシャルエンジニアリングへの警戒、機密情報の持出し制限、SNS利用時の注意点、インシデント発生時の報告手順等を含みます。

    秘密保持義務。全従業員に対し、入社時に秘密保持に関する誓約書の提出を求めます。誓約書には、業務上知り得た情報の目的外利用の禁止、第三者への開示の禁止、退職後も継続する秘密保持義務等を明記します。

    退職時・退任時の対応。退職または退任の際には、業務上貸与した機器、書類、電子データ、アクセス権限、各種アカウント等を全て返却・無効化します。あわせて、退職後も継続する秘密保持義務について再度確認を行います。

    規程違反への対応。本方針または関連する社内規程に違反する行為が発覚した場合、就業規則に基づき適切な処分を行います。重大な違反については、法的措置を含む対応を検討します。

  9. 第9条(物理的安全管理措置)

    重要な情報資産を取り扱う区域(事務所、サーバー設置場所等)への入退室を管理し、権限のない者の立入りを制限します。

    業務用機器(パソコン、スマートフォン、外部記憶媒体等)および書類は、施錠可能な場所に保管し、盗難・紛失を防止します。

    書類の廃棄時にはシュレッダー等を使用し、電子データは物理破壊または復元不可能な方法で完全消去します。

  10. 第10条(技術的安全管理措置)

    アクセス管理。業務システムへのアクセスにはID・パスワードを必須とし、重要システムには多要素認証(MFA)の導入を推進します。パスワードは複雑性・長さ・定期変更の基準を定めます。アクセス権限は最小権限の原則に基づいて付与し、定期的に見直して不要な権限を削除します。

    通信の暗号化。本ウェブサイトは全ページで HTTPS(TLS 1.2 以上)を適用しています。社内ネットワークおよびリモートアクセスにおいて適切な暗号化を実施し、機密情報のメール送信時は、パスワード付き圧縮ファイル等の暗号化措置を講じます。

    マルウェア・不正アクセス対策。業務用端末にウイルス対策ソフトを導入し、定義ファイルを常時最新化します。ファイアウォールにより不正通信をブロックし、不審なメール、Web サイトへのアクセスを防止する措置を講じます。

    脆弱性管理。OS、アプリケーション、ファームウェアのセキュリティパッチを速やかに適用します。使用するソフトウェアの脆弱性情報を定期的に収集し、対応します。

    データ保護。重要データの定期的なバックアップを実施し、バックアップデータは別拠点に保管します。復旧テストを定期的に実施し、バックアップの有効性を確認します。

    ログ管理。システムへのアクセスログ、操作ログを記録し、異常なアクセスの早期検知のため、ログを定期的に確認します。ログの改ざん防止措置を講じます。

  11. 第11条(委託先管理)

    業務の一部を外部に委託する場合、委託先の情報セキュリティ体制を事前に確認します。個人情報等の重要情報を取扱う委託先とは、秘密保持契約および情報セキュリティに関する取決めを締結します。

    委託先における情報セキュリティの実施状況を定期的に確認し、必要な改善を要求します。

    特にクラウドサービス、システム開発・保守業者等、情報資産に深く関与する委託先については、より厳格な管理を行います。

  12. 第12条(インシデント対応)

    情報セキュリティインシデント(情報漏洩の疑い、不正アクセス、マルウェア感染、システム障害等)が発生した場合、以下の手順で対応します。

    1. 速やかな事実確認と影響範囲の特定。
    2. 被害拡大の防止措置(該当端末のネットワーク切断等)。
    3. 情報セキュリティ責任者および関連部署への報告。
    4. 証拠の保全。

    事実関係が判明次第、影響を受ける可能性のある関係者(お客様、取引先、監督官庁、警察等)への通知を行います。特に個人情報漏洩等の場合は、法令に基づく通知・報告を速やかに実施します。

    インシデントの原因を究明し、再発防止策を策定・実施します。必要に応じ、適切なタイミングで事実関係を公表します。

  13. 第13条(事業継続管理)

    大規模災害、サイバー攻撃等により事業継続が困難になる事態に備え、重要業務の継続および早期復旧のための計画を整備します。三陸地域は過去に大規模災害の経験があり、当社は災害対応の重要性を経営方針の一部として位置づけています。

  14. 第14条(継続的改善)

    情報セキュリティを取り巻く環境は常に変化しています。当社は以下の体制で継続的改善を実施します。

    定期レビュー。本方針および関連する社内規程は、年1回以上定期的に見直します。

    臨時レビュー。以下の場合には、定期レビューを待たずに見直しを実施します。

    • 重大なセキュリティインシデントが発生した場合
    • 関連法令の重要な改正があった場合
    • 事業内容の重要な変更があった場合
    • 新たな重大な脅威が顕在化した場合

    情報収集。政府機関(内閣サイバーセキュリティセンター、独立行政法人情報処理推進機構等)、業界団体、専門機関からの情報を定期的に収集し、必要な対策を講じます。

    監査。必要に応じて、内部監査または外部専門家による情報セキュリティ監査を実施します。

  15. 第15条(遵守すべき法令・規格等)

    当社は、以下の法令、ガイドライン、規格等を遵守します。

    主要法令。

    • 個人情報の保護に関する法律(個人情報保護法)
    • 特定電子メールの送信の適正化等に関する法律
    • 不正アクセス行為の禁止等に関する法律
    • 不正競争防止法
    • サイバーセキュリティ基本法
    • 電気通信事業法

    参照ガイドライン・規格。

    • 経済産業省「サイバーセキュリティ経営ガイドライン」
    • 独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威」
    • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
    • 一般財団法人日本情報経済社会推進協会(JIPDEC)のガイドライン
    • ISO/IEC 27001(情報セキュリティマネジメントシステム)の考え方を参考とします。

    これらの改正・更新情報を定期的に確認し、必要な対応を行います。

  16. 第16条(関連方針)

    本方針は、以下の関連方針とあわせて機能します。

  17. 第17条(本方針の公表・改定)

    本方針は、本サイト上で公表します。

    本方針は、法令の改正、技術環境の変化、事業内容の変更等に応じて適宜改定します。重要な改定時には、改定内容および施行日を本サイト上で告知します。

  18. 第18条(お問い合わせ)

    本方針に関するお問い合わせは以下までご連絡ください。

    株式会社大将水産
    情報セキュリティ責任者(現在は代表取締役が兼任):代表取締役 大野 広貴
    所在地:〒029-2205 岩手県陸前高田市高田町字大隅93番地1
    メールアドレス:[email protected]
制定日:2026年4月24日
最終改定日:2026年4月24日
株式会社大将水産