情報セキュリティ基本方針
フューエルド株式会社(以下「当社」といいます)は、アプリケーション開発、Webサービス開発、デザイン、システム運用支援その他の事業活動において、顧客、取引先、利用者、従業者その他関係者からお預かりする情報資産を重要な経営資産と認識します。
当社は、情報資産の機密性、完全性、可用性を確保し、情報漏えい、改ざん、紛失、不正アクセス、サービス停止等のリスクを低減するため、情報セキュリティ管理体制を整備し、継続的な改善に取り組みます。
1基本方針
フューエルド株式会社(以下「当社」といいます)は、アプリケーション開発、Webサービス開発、デザイン、システム運用支援その他の事業活動において、顧客、取引先、利用者、従業者その他関係者からお預かりする情報資産を重要な経営資産と認識します。
当社は、情報資産の機密性、完全性、可用性を確保し、情報漏えい、改ざん、紛失、不正アクセス、サービス停止等のリスクを低減するため、情報セキュリティ管理体制を整備し、継続的な改善に取り組みます。
2適用範囲
本方針は、当社の役員、従業員、業務委託先、協力会社その他当社の情報資産を取り扱うすべての者に適用します。
対象となる情報資産には、顧客情報、利用者情報、個人情報、要配慮個人情報、開発資料、ソースコード、設計資料、認証情報、契約情報、営業情報、財務情報、社内文書、クラウドサービス上のデータ、業務端末および情報システムを含みます。
3法令・契約・ガイドラインの遵守
当社は、個人情報保護法、不正アクセス禁止法、著作権法、各種契約上の秘密保持義務、委託契約、利用規約、その他情報セキュリティに関係する法令、規制、ガイドラインを遵守します。
特に、健康情報、病歴、障害、診療・服薬・検査等に関する情報を取り扱う場合には、要配慮個人情報に該当し得る情報として、取得、利用、保管、共有、削除において慎重に取り扱います。個人情報保護委員会のガイドラインでは、病歴、心身の障害、健康診断等の結果、医師等による診療・指導等に関する情報は要配慮個人情報に含まれるとされています。
4情報セキュリティ管理体制
当社は、情報セキュリティ責任者を定め、情報資産の管理、アクセス権限の管理、インシデント対応、委託先管理、教育、監査、改善活動を推進します。
情報セキュリティに関する重要事項は、経営者が責任を持って判断し、必要な人員、予算、仕組みを整備します。
5情報資産の管理
当社は、取り扱う情報資産を識別し、重要度に応じて分類・管理します。少なくとも以下の分類を設けます。
| 区分 | 例 | 管理方針 |
|---|---|---|
| 公開情報 | Webサイト、公開資料 | 改ざん防止と公開前確認を行う |
| 社内情報 | 社内議事録、業務資料 | 社外共有を制限する |
| 顧客機密情報 | 仕様書、契約資料、未公開画面、分析データ | 関係者限定で管理する |
| 個人情報 | 氏名、メール、アカウント情報、利用履歴 | 目的外利用を禁止し、アクセス制限する |
| 要配慮情報 | 健康・疾患・服薬・診療関連情報 | 最小限取得、厳格な権限管理、共有制限を行う |
| 認証情報 | パスワード、APIキー、秘密鍵、トークン | 個人保管禁止、専用管理、漏えい時即時無効化する |
| ソースコード | GitHub等のリポジトリ | 権限管理、レビュー、秘密情報混入防止を行う |
6アクセス管理
当社は、情報資産へのアクセスを業務上必要な者に限定し、最小権限の原則に基づいて管理します。
Google Workspace、GitHub、AWS、Slack、App Store Connect、Firebase、その他業務システムについて、原則として多要素認証を有効化し、退職・契約終了・担当変更時には速やかにアクセス権限を削除または変更します。
個人データを取り扱うシステムについては、担当者とアクセス範囲を明確にし、必要に応じてログを取得・確認します。個人情報保護委員会のガイドラインでも、個人データの安全管理措置として、組織体制、取扱状況の確認、漏えい等への対応体制、アクセス制御、認証、不正アクセス防止等が求められています。
7クラウドサービス・外部サービスの利用
当社は、業務に利用するクラウドサービスおよび外部サービスについて、提供元、利用目的、保存される情報、アクセス権限、ログ、バックアップ、退職時の権限削除方法を確認したうえで利用します。
顧客情報、個人情報、要配慮情報、ソースコード、認証情報を外部サービスに保存または連携する場合は、情報セキュリティ責任者またはプロジェクト責任者の承認を必要とします。
8開発・運用におけるセキュリティ
当社は、アプリケーションおよびWebサービスの開発・運用において、以下を実施します。
- ソースコードレビュー
- 本番環境へのアクセス制限
- 開発環境、ステージング環境、本番環境の分離
- APIキー、秘密鍵、トークン等のソースコード混入防止
- 脆弱性情報の確認と必要な修正
- ログの適切な取得と保管
- 本番データの開発環境への無断利用禁止
- 障害・インシデント発生時の記録と再発防止
9端末・ネットワークの管理
当社は、業務に使用するPC、スマートフォン、タブレットその他端末について、OSおよびソフトウェアの更新、画面ロック、盗難・紛失時の報告、不要なソフトウェアの利用制限を行います。
業務端末に顧客情報、個人情報、要配慮情報、認証情報を保存する場合は、必要最小限とし、暗号化、アクセス制限、バックアップ、削除ルールを定めます。
10委託先・協力会社の管理
当社は、業務委託先、外部エンジニア、デザイナー、協力会社に情報資産を取り扱わせる場合、秘密保持義務、情報の利用目的、再委託、アクセス権限、契約終了時の返却・削除、インシデント発生時の報告義務を契約または合意文書で明確にします。
海外在住のメンバーまたは海外拠点の協力者が情報を取り扱う場合には、取り扱う情報の種類、保存先、アクセス権限、外部サービスの利用状況を確認し、必要な安全管理措置を講じます。
11教育・周知
当社は、役員、従業員、業務委託先その他関係者に対し、情報セキュリティに関する教育と周知を行います。
特に、個人情報、健康情報、顧客機密、ソースコード、認証情報、生成AI利用、フィッシング、不審なファイル・URL、端末紛失、クラウド共有設定に関する注意事項を定期的に周知します。
12インシデント対応
当社は、情報漏えい、紛失、不正アクセス、マルウェア感染、認証情報漏えい、ソースコード漏えい、誤送信、クラウド共有設定ミス、サービス停止等のインシデントまたはその疑いを確認した場合、速やかに情報セキュリティ責任者へ報告し、被害拡大防止、原因調査、関係者への連絡、再発防止を行います。
個人データまたは要配慮情報の漏えい等が発生した場合には、法令および個人情報保護委員会のガイドラインに従い、必要に応じて本人通知および当局報告を行います。
13バックアップと事業継続
当社は、重要な情報資産について、消失、改ざん、ランサムウェア、クラウド障害、人的ミス等に備え、必要なバックアップを取得し、復旧方法を確認します。
IPAの中小企業向けガイドライン第4.0版でも、従来の「情報セキュリティ5か条」に「バックアップを取ろう」が追加され、6か条となっています。当社でも、顧客成果物、ソースコード、重要資料、契約情報、運用データについてはバックアップ方針を明示します。
14継続的改善
当社は、事業内容、技術環境、法令、顧客要求、セキュリティリスクの変化に応じて、本方針および関連規程を定期的に見直し、改善します。
本方針は、少なくとも年1回、または重大なインシデント、事業内容の変更、重要なシステム変更があった場合に見直します。