メインコンテンツへスキップ

情報セキュリティポリシー

Amanda
  • 更新

1. 適用範囲

本ポリシーは、ISMSの範囲で定義されたAI AVATARの情報資産を利用するすべてのユーザーに適用されます。会社の資源を保護する責任は、すべての従業員の責任です。

このポリシーは、AI AVATARによって運用される、またはAI AVATARが第三者と契約しているすべての情報システムを対象とします。「情報システム」という用語は、全体の環境を定義し、すべての文書、物理的および論理的な制御、要員、ハードウェア(例:デスクトップ、ネットワーク機器、無線機器)、ソフトウェア、情報を含みますがこれらに限定されません。

本ポリシーでは利用者に求められる基本的な責任事項を定義していますが、これに限定されるものではありません。AI AVATARにおける他の情報セキュリティポリシー、基準、手順により、さらなる責務が規定されています。すべてのユーザーは、それらのポリシー、基準、手順を読み、理解し、遵守する必要があります。これらの文書の内容に不明点がある場合には、AI AVATARのサポートチームに連絡してください。情報セキュリティ部門および関係部門は、当該ポリシーに起因する問題や不整合について共同で解決にあたります。 

2. ポリシー声明

AI AVATARは、重大な情報資産およびクライアントの機密情報を、起こりうる重大な脅威から保護するために、リスクベースのアプローチを採用し、情報セキュリティの原則を組織文化に埋め込み、強固な情報セキュリティ構造を維持する責任をすべての従業員に課します。

3. 目的

このポリシーは、AI AVATARが自社の重要な情報資産を識別し保護する意図を示すものです。会社が採用しているセキュリティの原則は以下の通りです:

  1. 機密性:情報は許可された人のみがアクセスできるべきである
  2. 完全性:情報は許可された人のみが変更できるべきである
  3. 可用性:情報はそれを必要とする人に提供されるべきである

情報およびインフラへのリスクは、ユーザー、ベンダー、ハッカー、元従業員など、さまざまな要因から発生します。ウイルスやワームによるリスクも常に存在します。さらに、災害発生時に重要業務を継続し、全体の業務を許容可能な期間内に回復させるためには、事業継続計画および災害復旧計(BCP/DRP)の実施が不可欠です。

このような状況においては、会社および顧客の情報を保護することはすべての従業員の責任です。社内で運用されているすべてのプロセスと手順も極めて重要であり、採用された情報セキュリティの原則に準拠しなければなりません。

4. ポリシーの項目および条項

4.1. 文書の説明

すべての従業員およびユーザーが、このポリシーおよび他の関連するセキュリティポリシーを遵守する責任を負います。AI AVATARチームは、このポリシーを必要に応じて見直し、更新する責任を負います。

4.2. 目的および達成計画

機能的目的 実施内容  必要なリソース  責任者 頻度 結果の評価
情報セキュリティインシデントの数を最小化すること インシデント管理 人員/プロセスおよび技術 CISO/IT責任者 必要に応じて

報告されたインシデントのデータ

 

4.3. セキュリティ意識向上プログラム

セキュリティ意識向上の取り組みは、上級管理職、中間管理職、チームリーダー、部門責任者、サポートスタッフ、そして第三者を含む、組織のあらゆる階層において実施することが重要です。

情報セキュリティ意識向上セッションは継続的な取り組みであり、すべての従業員および契約者が自分に関係する情報セキュリティポリシーを認識することを保証するものです。加えて、会社が採用する他の法令、規制、管理上のベストプラクティスと合わせて、すべての手順、ガイドライン、情報セキュリティにおけるベストプラクティスを含みます。

オンラインでの年次情報セキュリティ意識向上は、新規入社者に対するオンボーディングおよび導入時に人事部門が実施するセッションに加えて実施されます。

4.4. 能力

会社は、ISMSの範囲内にある従業員および契約者が、その業務を遂行するために適切なスキルと能力を持っていることを確認し、それらの記録を保持しなければなりません。

4.5. 監視・測定・分析および評価

情報セキュリティマネジメントシステムを維持することに加え、その継続的な取り組みおよび成果を監視し、測定することが不可欠です。会社で実施されている特定の管理策に対してメトリクスを特定するための詳細な文書化されたプロセスがあり、それにより、特定されたメトリクスの測定を実施・確認するための手法も特定されます。測定におけるインプットおよびアウトプットは定期的に見直されます。

4.6. 継続的改善

AI AVATARの継続的改善に関する方針は以下の通りです:

  1. ISMSの有効性を継続的に改善すること
  2. 現在のプロセスを、ISO/IEC 27001および関連規格で定義されたベストプラクティスに沿うように強化すること
  3. ISO/IEC 27001認証を取得し、継続的に維持すること
  4. 情報セキュリティに関する積極性のレベルを向上させること
  5. 情報セキュリティのプロセスと管理をより測定可能にし、適切な意思決定のための確かな根拠とすること
  6. 収集された過去データに基づいて、関連する指標を定期的に見直し、変更が適切かどうかを評価すること
  7. 改善のためのアイデアを定期的な管理会議で見直し、優先順位や期間、効果を評価すること

4.7. 法的および契約上の要件の遵守

これらの規約の解釈においては、日本の法律が準拠法となります。加えて、本サービスに関しては、「国際物品売買契約に関する国際連合条約(CISG)」の適用は除外されます。本サービスに関する紛争が発生した場合には、当社本社所在地を管轄する裁判所が専属的な裁判管轄権を有します。

4.8. 見直し

企業情報セキュリティポリシーおよびその他のセキュリティポリシーは、定期的に見直されなければなりません。この見直しは、以下の状況において行われます:

  1. 12か月ごとに1回
  2. 会社が使用する技術に重要な変更があった場合
  3. 外部の脅威環境に重要な変化があり、リスクプロファイルの見直しが必要な場合
  4. 情報セキュリティに関する顧客の要件・ガイドラインに重要な変更があった場合 

4.9. 情報伝達

  1. 情報ポリシーは、すべての従業員および契約者に対して、電子メールを通じて配布されます。
  2. 利害関係者、メディア、金融市場に関するすべての連絡は、必要に応じて、記者会見、会議、メールを通じて経営チームのみが行います。Jackから許可を得ない限り、従業員はいかなるメディアや金融市場とも連絡を取ることはできません。
  3. すべての従業員は日常業務において、会社の代表かつ広報担当者として行動し、プロジェクトおよびKRA(主要業務成果)に基づきクライアントと話すことが許可されています。内部情報は機密として保持されるものとします。
  4. AI AVATARのウェブサイト上の情報は、Jackおよび経営委員会の承認に基づきアップロードされます。
  5. 社内外の利害関係者との連絡は、会社の立場および戦略に沿って、状況に応じて行われ、Jackが契約要件に基づき対外的な連絡を行う権限を持ちます。
  6. 会議やカンファレンスで発表を行う場合は、Jackの確認を受ける必要があります。

5. 施行・違反対応

会社が定めたポリシーおよび手順に従わない従業員に対しては、必要な懲戒処分が取られます。
同様に、そのような行為を助長したり、目撃しながらも関係当局に報告しなかった従業員に対しても処分が行われます。
このポリシーに違反したと認められた従業員は、懲戒処分の対象となる可能性があります。

関連記事

Powered by Zendesk