情報セキュリティ基本方針 （ISMS準拠）

目的

スマイルアンドスマイル合同会社は、顧客および関係者の大切な情報を守ることを最も重要な責務の一つと位置づけ、ISO/IEC 27001の要求事項に基づく情報セキュリティ管理体制を構築し、継続的な改善を行っています。

リスクアセスメントの実施

• 情報資産に対するリスクを定期的に特定・評価し、分類・管理しています。
• リスクの深刻度および発生可能性に応じて、優先順位を定めた対策を実施しています。
• 新たなリスクや環境の変化が確認された際は、速やかに対応・再評価を行います。

情報の機密性・完全性・可用性の確保

• 情報へのアクセスは業務上必要な者に限定し、認証および権限管理によって制御しています。
• データの改ざんや破損を防ぐため、定期バックアップや整合性チェックを実施しています。
• 重要な業務システムは可用性を維持するため、保守および監視体制を整備しています。

管理責任者の選任と運用体制

• 情報セキュリティ責任者を定め、方針の実施・監督・教育・運用状況の評価を担っています。
• すべての関係者に対して方針の周知を行い、それぞれの責任と役割を明確にしています。

技術的・物理的対策

• ファイアウォール、ウイルス対策ソフト、脆弱性診断ツールなどを導入・更新し、攻撃からの防御体制を維持しています。
• 重要な情報資産は原則としてクラウドまたは暗号化された電子環境で保管し、アクセスログの記録・監査も実施しています。
• 物理的な資料の保有は最小限とし、書庫等は設けず、持ち出しを防ぐための電子化を推進しています。

教育・啓発活動

• 代表者および関係者に対して、定期的または必要に応じた情報セキュリティ教育・訓練を行っています。
• 最新のインシデント事例や脅威情報を共有し、セキュリティ意識の向上を図っています。

インシデント対応と報告体制

セキュリティインシデント発生時には以下の対応を行います：

• 関係者は異常・不正を検知した際、即時に情報セキュリティ責任者へ報告します。
• 報告内容には、発生日時、状況、影響、初期対応を含めます。
• 責任者は初動対応を行い、必要に応じて社外専門家・関係機関（警察・消費者庁等）と連携します。
• インシデント後は、原因分析と再発防止策を講じ、対応履歴を記録・評価します。

法令・契約の遵守

• 個人情報保護法、著作権法など関連法令や業界ガイドラインを遵守しています。
• 顧客・委託先との契約条件を厳格に管理し、機密保持を徹底しています。
• 法令・社会的要請の変化に応じて、社内ルールも速やかに見直しています。

継続的改善

• 定期的な自己点検や内部レビューを通じて、管理体制や文書の改善を継続しています。
• 外部監査や関係者の意見も踏まえて、実効性のある改善策を実施しています。

制定日・改定日

• 制定日：2024年2月10日
• 改定日：2025年6月25日