SECURITY情報セキュリティ基本方針

情報セキュリティ基本方針

情報セキュリティの定義と基本方針策定の目的

ウェルネス・コミュニケーションズ株式会社におけるネットワーク健診システム及び HSS ASPサービスシステム(HSS : Health Support System)等の利用者となるお客様・取引先や社内の情報資産を保護するために、「ISMS情報セキュリティマネジメントシステム」(平成18年5月20日制定JIS Q 27001) の定めるところにより、当社における継続的かつ安定的な事業の継続を確保するとともに、顧客および その従業員等からの安全、安心及び信頼の下に健康管理業務を構築するため、適切な情報セキュリティ対策を実施することが必要不可欠である。このため、当社においては、情報セキュリティ対策の包括的な規程として、次の事項を内容とする情報セキュリティポリシーを策定し、当社の情報資産をあらゆる脅威から守るために必要な情報セキュリティの確保に最大限取り組むこととする。 当社で業務を行うすべての者は、この目的を果たすため、ポリシーの実施に責任を負うとともに、ポリシーを尊重し、遵守しなければならない。

情報セキュリティの目標

当社では、外部からの委託・派遣者を含めそこで働く人々の取り扱う、当社が受託した企業の従業員や健康保険組合の組合員の健康情報が、不当に暴露されたり、内容を改竄されたり、処理を妨害されたりしないようにすることを目標とし、必要な管理策をとる。また、それぞれの個人情報の利活用には、本人の(明示的な)同意が反映されることを目標とする。個人情報の保護に関しては、個人情報保護方針に記載する。

情報資産の管理方針

(1)機密性・完全性・可用性の確保

業務内容の重要性・機密性への要求の高さを考慮して、施設・情報機器及び業務情報に対する認可されていないアクセス、損傷及び妨害を防止するため、セキュリティ区域内で厳重に管理される。さらに、当社と外部の情報処理委託機関及び顧客企業・健保組合等の組織間で交換される情報の紛失・盗聴・改竄又は誤用からの保護にも、管理策を策定し維持する。許可されていない利用者のアクセスを防止するための管理策を策定する一方、許可された利用者の運用を損なうことの無いよう、ウイルス等の悪意のあるソフトウエアからの保護策も講じる。 そのために、以下を行う。

a)リスクアセスメントを体系的に実施できるように、リスク評価基準およびリスクアセスメント方法を確立する。
b)当社事業に適したリスクマネジメントを戦略的に構築できるように環境を整備する。

(2)情報セキュリティの管理体制

当社においては、社長を情報セキュリティ責任者として、情報セキュリティの維持、管理を行うための情報セキュリティ委員会を設置する。また、ISMS推進事務局を設置し、個人情報保護・セキュリティには特段の配慮を行う。情報の公開に関しては情報セキュリティ委員会において詳細を定める。また、個人情報保護及び情報セキュリティ上の要求事項および知的所有権、個人情報の取得・利用・提供に関し、適用法令を識別し、違反を避けるよう留意する。

(3)基本方針の徹底のためのセキュリティ教育と違反者の罰則

当社では、人的な誤り・盗難・不正行為・設備の誤用を防止するため、適宜セキュリティ教育を実施し、違反者には罰則を課する。このセキュリティに関する審査・契約・罰則は、外部から登録された派遣者・委託先入場者にも適用する。

(4)事業継続管理

情報セキュリティ障害及びサービス喪失に伴う影響を分析(リスクアセスメント)し、事業継続に対して計画・維持し、定期的に再評価を行う。

(5)システムの開発及びメンテナンス

特に、ネットワーク健診事業及びHSS ASPサービス事業の基幹業務の委託先による業務用システム開発および保守時の情報のセキュリティ保持のために、変更管理手順を厳格に実施する。

(6)制定・評価・見直し

本情報セキュリティ基本方針は、社長の承認により制定し、ポリシー及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、情報セキュリティ委員会により定期的に対策基準の評価・見直しを実施することとし、このための必要な措置を規定する。

制定・施行:2006年12月1日
ウェルネス・コミュニケーションズ株式会社
代表取締役社長 松田 泰秀

CONTACT
お問い合わせ

  • 03-6858-3261
  • メールでお問い合わせ