情報セキュリティ基本方針

  • ホーム
  • 情報セキュリティ基本方針

株式会社MentorFor(以下、当社)は、お客様からお預かりする当社の情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。

1.経営者の責任

当社は、代表取締役CEO主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。

2.社内体制の整備

当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。

3.従業員の取組み

当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。

4.法令及び契約上の要求事項の遵守

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。

5.違反及び事故への対応

当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。

情報セキュリティガイドライン

1.目的

本ガイドラインは、当社における情報資産の漏洩、改ざん、破壊、紛失、不正利用等のリスクを低減し、適切な情報セキュリティを確保することを目的とします。

2.適用範囲

本ガイドラインは、当社の役員、従業員(正社員・契約社員・派遣社員)、当社の社内業務に従事する業務委託、メンター・研修講師等の業務に従事する業務委託、アルバイトなどすべての就業者に適用されます。

3.情報セキュリティ管理体制

  • 情報セキュリティ責任者(CISO相当):当社のコーポレート責任者がこれを担い、全社の情報セキュリティ管理を統括します。
  • 経営層による監督:情報セキュリティに関する重要な意思決定や対応は、代表取締役CEO、取締役COO、情報セキュリティ責任者の3者により共同で行います。
  • 実行責任者:部門単位での具体的な対応は、コーポレート責任者の指示のもと、各部門長が担います。

4.基本方針

  • 情報セキュリティは全従業員の責務とする。
  • 取り扱う情報の機密性・完全性・可用性を確保する。
  • 法令、契約、社内規定等を遵守する。
  • セキュリティインシデントには迅速・適切に対応する。

5.情報資産と分類と取り扱い

区分内容例取扱方法
極秘情報顧客情報、従業員の個人情報、未公開の財務情報閲覧制限、暗号化保存、ログ取得、アクセス権管理
社外秘業務マニュアル、契約書、営業資料関係者のみ閲覧可、社外持出制限
社内資料社内報告書、日報、会議議事録社内利用に限定
公開情報ホームページ、プレスリリース制限なし

6.情報セキュリティ管理

6-1. 情報セキュリティ責任者の設置

情報セキュリティ責任者はコーポレート責任者が担い、代表取締役CEO、取締役COOと共に情報セキュリティの管理を行う。

6-1-1. 情報セキュリティ本部の設置

インシデントやトラブルが発生した場合は代表取締役を筆頭に、情報セキュリティ責任者と関係部署の責任者と共に問題解決及び再発防止に努める。

6-2. アクセス制御

最小権限の原則を徹底

  • ID・パスワードの定期変更を推奨する。
  • 退職者・異動者・業務委託解除者の権限は速やかに無効化する。

6-3. デバイス管理

  • 社員の業務用PCは管理部門で一括管理し貸与し、私物デバイスの業務利用は原則禁止(例外時は許可制)とする。
  • 貸与PCについて覗き見防止シートを配布し利用する。
  • 画面ロック設定を行いPINコードを要求する。
  • 業務委託、外部講師、外部メンターについては、弊社のガイドラインに基づいたセキュリティ対策と同等水準の運用を求める。

6-4. ネットワーク管理

  • 公衆Wi-Fi利用時は行わない。
  • クラウドサービス利用時は2段階認証を推奨する。

6-5. 情報の持ち出し・共有

  • USBメモリ利用は原則禁止とする。
  • 外部共有は社内指定の手続きを遵守する。
  • メール添付時はパスワード別送を徹底する。

7.セキュリティインシデント対応

7-1. インシデントの定義

  • 情報漏洩、誤送信、不正アクセス、マルウェア感染など。

7-2. 通報・対応手順

  • インシデントを発見したら即時、上長・セキュリティ責任者に報告する。
  • 初動対応(ネットワーク遮断、アクセス制限等)を実施する。
  • 原因分析・再発防止策を講じ、関係者に報告する。

7-3. 教育・啓発

  • 入社時セキュリティ研修を実施する。
  • 半年に1度の定期研修・eラーニングを実施する。
  • フィッシングメール訓練等を実施する。
  • 業務委託及び外部講師、外部パートナーへセキュリティ対策のチェックシートを配布し対策と改善を求める。

8.違反と制裁

本ガイドラインに違反した場合は、就業規則に則り処分対象または契約に基づく契約解除や損害賠償請求を行うことがあります。

9.改訂・見直し

本ガイドラインは、情報セキュリティ環境の変化や業務の実態に応じて、必要に応じて見直し・改定します。

制定日:2025年6月2日
株式会社Mentor For
代表取締役CEO 池原真佐子