クラウド日程調整 | waaq Link（ワークリンク）

情報セキュリティポリシー

1. 目的

お客様から信頼される企業として、お客様情報のセキュリティに関するインシデントの防止を図ることにより、お客様の信頼確保及び事業損失を最小限に留めることを目的とし、業務上発生する社内及び顧客の情報漏洩はもちろん、不正利用・改ざん・ウイルスの感染などの情報に関するあらゆるリスクに関し、先端技術で危機管理を行い、顧客及び業務データのセキュリティ対策に付いては万全の対策を施します。

2. 情報セキュリティの定義

(1) 機密性：許可されていない個人、エンティティ（団体等）又はプロセスに対して、情報を使用不可又は、非公開にする特性。（情報を漏えいや不正アクセスから保護すること。）

(2) 完全性：資産の正確さ及び完全さを保護する特性（情報の改ざんや間違いから保護すること。）

(3) 可用性：認可されたエンティティ（団体等）が要求したときに、アクセス及び使用が可能である特性。（情報の紛失・破損やシステムの停止などから保護すること。）

3. 適用範囲

【組織】：waaq株式会社
【施設】：waaq株式会社（本社）
【業務】：コミュニケーション円滑化・効率化ソフトの開発・提供、及び日程調整ツール・ソフト受託開発
【資産】：上記業務、サービスにかかわる書類、データ、情報システム
【ネットワーク】：個別ネットワーク

4. 実施事項

(1) 適用範囲の全ての情報資産を脅威（漏えい、不正アクセス、改ざん、紛失・破損）から保護するための情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善するものとする。
(2) 情報資産の取り扱いは、関係法令及び契約上の要求事項を遵守するものとする。
(3) 重大な障害または災害から事業活動が中断しないように、予防及び回復手順を策定し、定期的な見直しをするものとする。
(4) 情報セキュリティの教育・訓練を適用範囲すべての社員に対して、年に２回以上実施するものとする。また、新入社員には、特別なセキュリティトレーニングを実施するものとする。

5. 責任と義務及び罰則

(1) 情報セキュリティの責任は、代表取締役が負う。そのために代表取締役は、適用範囲のスタッフが必要とする資源を提供するものとする。
(2) 適用範囲のスタッフは、お客さま情報を守る義務があるものとする。
(3) 適用範囲のスタッフは、本方針を維持するため策定された手順に従わなければならないものとする。
(4) 適用範囲のスタッフは、情報セキュリティに対する事故及び弱点を報告する責任を有するものとする。
(5) 適用範囲のスタッフが、お客さま情報に限らず取り扱う情報資産の保護を危うくする行為を行なった場合は、社員就業規則に従い処分を行なうものとする。

6. 定期的見直し

情報セキュリティマネジメントシステムの見直しは、環境変化に合わせるため定期的に実施するものとする。

7. センシティブデータの保護

以下に、当社がセンシティブデータを保護するために実施する具体的な方策を記載する。

(1) データの暗号化

・すべてのセンシティブデータは、転送時および保存時に暗号化される。
・使用する暗号化アルゴリズム：AES-256ビット暗号化（または他の適切な暗号化方式）
・SSL/TLS暗号化を使用し、クライアントとサーバー間の通信を保護する。

(2) アクセス制御

・役割ベースのアクセス制御を実装し、必要最小限の権限原則を適用する。
・アクセスログを記録し、定期的に監査を行う。

(3) データのバックアップ

・定期的にデータをバックアップし、災害発生時に迅速に復旧できるようにする。
・バックアップデータは、定期的に検証する。
・保存期間: 366世代
・周期: 毎日
・災害復旧計画を策定し、年1回以上テストを実施する。

(4) インシデント発生時の対応と通知

・重要なレベルを判断し、必要だと判断した場合に担当者へ原則メールで通知
・通知タイミング：弊社で事象が発覚してから24時間以内

(5) 第三者評価とコンプライアンス

・年に1回以上、外部の専門家によるセキュリティ評価を実施する。
・個人情報保護法およびその他の適用される法規制を遵守する。

令和4年6月15日（制定）
令和6年10月3日（改訂）
waaq株式会社
代表取締役CEO 半谷尚瑛

資料請求フォーム