情報セキュリティの確保と個人情報保護に関するポリシー
制定:平成15年6月2日
改正:平成29年6月15日
株式会社シフト
代表取締役社長 時澤 豊孝
当社は、お客さまとの信頼関係を第一とした企業理念に基づき、情報サービスにおける情報システムなどの情報資産の機密性、保全性および可用性など情報セキュリティについて、災害、機器の障害、故意・過失などのリスクを未然に防止し、お客さまに安全且つ充実したサービスを提供いたします。
また、当社は、個人情報が個人の人格と密接な関連を有するものであり、個人が「個人として尊重される」ことを定めた憲法第13条の下、慎重に取扱われるべき、との理念の下、個人情報の性格と重要性を十分認識し、その適正な取扱いを図ります。
このため、当社事業推進における情報セキュリティの確保と個人情報保護に関し適切に管理運営することを目的とし本ポリシーを策定しました。
(1)リスクの分析と対策
当社は、情報サービスにおける情報資産を情報セキュリティのリスクから保護するために、各資産に発生しうるリスクを分析し、対策を立て、それを情報セキュリティの確保と個人情報保護の基本ルールとして遵守します。
(2)組織的な取り組み
社長を委員長とする情報セキュリティ管理委員会等を設置し、情報セキュリティの確保と個人情報保護を推進します。
個人情報の取扱いなどに関する本人からの苦情および相談などを受付て対応する窓口を常設します。
定期、不定期を問わず継続して必要な改善を行います。
(3)個人情報の保護と適正な管理
当社の事業内容および規模を考慮した適切な個人情報の取得、利用および提供を行います。
個人情報の目的外利用を行いません。
個人情報を直接に取得する場合は、あらかじめ利用目的等を明示し本人の同意を得ることとします。また、前記以外の方法で取得する場合は、あらかじめ利用目的を本人に通知または公表します。
前述の利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ本人の同意を得ることとします。
個人情報を第三者へ提供する場合は、あらかじめ本人の同意を得ることとします。
併せて、個人情報の漏えい、滅失またはき損を防止および是正する措置を講じます。
(4)情報取扱いの原則
情報資産の取扱いにあたっては、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を講じます。
(5)情報セキュリティ事故への対応
情報セキュリティに関連する事故が発生した場合は、発見者は情報セキュリティの確保と個人情報保護に関する規程に基づき速やかに情報セキュリティ管理者および責任者など定められた手順でその内容を報告するとともに、必要に応じて緊急措置を行います。また、その事故原因を分析するとともに再発防止策を講じます。
個人情報の漏えい等の事故が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係などを公表します。
(6)法令およびその他の規程の遵守
情報資産の取扱いに関連して、社内規程・基準ならびに適用される法律およびその他の規則を遵守します。
特に、個人情報については、その取扱いに関する法令、国が定める指針その他の規範を遵守します。
(7)事業継続管理
災害・故障・過失などの偶発的に発生するサービス・業務の妨害および故意など、意図的に発生する情報資産の悪用などにより事業の中断を許容レベルに抑え、事業の継続を確保します。
(8)従業者への周知徹底ならびに教育
情報セキュリティの確保と個人情報保護の重要性を従業者に周知し、適切な取扱いおよび管理を徹底します。
このため従業者は、職務に応じて情報セキュリティの確保と個人情報保護に関する教育を受けることとします。
本ポリシーは、平成29年9月15日より施行します。
本ポリシーは、少なくとも1回/年は見直し、必要に応じて改正します。