インターネットを活用してビジネスを拡大している当社にとって、「セキュリティの確保」は、ビジネス上の基盤であり「セキュリティの確保」無しにはビジネスが成り立たない。セキュリティ関連の事件が発生した場合の営業機会の損失は著しく、お客様との関係に与える影響は甚大である。当社にとって、当社のサービスを利用する全てのお客様への安心を提供し、当社の事業を継続・拡大していくためにも、ライフラインであるセキュリティの強化は必須である。そのために、当社は、ネットワークコンピュータ上を流通する情報やコンピュータ及びネットワークなどの情報システム（以下、情報資産）を第４の資産と位置付け、重要な資産として保護・管理しなければならない。当社は、ここに、情報資産を保護する「情報セキュリティマネジメント」を実施するための、『情報セキュリティポリシー』を策定する。

『情報セキュリティポリシー』は、当社の情報資産を、故意や偶然という区別に関係なく、紛失、改ざん、破壊、漏洩等から保護するための管理策をまとめた文書である。

当社の情報資産を利用する者は、情報セキュリティの重要性を認知し、この『情報セキュリティポリシー』を遵守しなければならない。

制定日：2008年10月14日
代表取締役社長　デービット・リーブレック

本情報セキュリティ基本方針（以下、「本基本方針」）は、当社グループが会計事務所とその関与先企業、地方公共団体を対象として、常に最新の情報通信技術（ICT）の最適な活用を通して、各種情報サービスを提供していることに鑑み、情報の適切な管理を実現し、お客様に安心して当社のサービスをご利用いただくために、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」を踏まえ、当社グループにおける情報セキュリティを確保するための対策、体制等の基本事項を定めたものです。
応じて適切に行います。

(1) 当社グループは、情報セキュリティの確保が経営上の最重要課題であると認識し、全社を挙げてこれに取り組みます。

(2) 当社グループは、役員及びすべての社員が、倫理観を保持し、法令、行政機関、その他が定めた規範及び社内規定を遵守する体制を整備し、これを継続的に改善します。

(3) 当社グループは、情報セキュリティを脅かす事象を発見した場合には、原因分析を徹底して行い、再発防止策を検討しこれを実行します。

(1) 情報セキュリティとは、当社が扱う情報資産を「機密性」、「完全性」、「可用性」に関する脅威から保護することをいい、サイバーセキュリティを含むものとします。

(2) サイバーセキュリティとは、情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置と情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置を講じ、その状態が適切に維持管理されていることをいいます。

当社グループは、情報セキュリティを脅かす様々な要因を事業遂行上のリスクとして認識し、以下の内容の情報セキュリティ体制を整備します。

(1) 株式会社ＴＫＣの代表取締役社長の諮問機関である「リスク管理委員会」が当該リスクのマネジメントを統括するものとします。「リスク管理委員会」は部門担当取締役と執行役員で構成しています。

(2) 「リスク管理委員会」は、専門的見地から当社グループの情報セキュリティ対策に関する戦略全体の検討を行う「情報セキュリティ小委員会」を下部組織として設置しています。

(3) 取締役会は、最高情報セキュリティ責任者（CISO: Chief Information Security Officer）を任命し、当社グループにおける情報セキュリティ対策の実行に関し責任と権限を付与するものとし、CISO は、職務の執行状況を取締役会に定期的に報告します。

(4) CISOの下に「情報セキュリティ戦略室」を配置し、当社グループにおける情報セキュリティ対策の実行を担い、その職務の執行状況をCISO及び、「情報セキュリティ小委員会」に定期的に報告します。

(1) 情報セキュリティ対策フレームワークの構築

1. 当社グループは、グループ内において守るべき資産を特定し、その所在や内容を把握するとともに、ネットワークの構成などを踏まえ、情報セキュリティリスクが事業にいかなる影響があるかを分析し、リスクに応じた対策の実施計画を策定します。
2. 計画が確実に実施され、その実行を評価、及び継続的に改善するためのプロセス（PDCA）を整備します。

(2) 関連規定の整備および法令等の順守

1. 当社グループは、情報セキュリティ対策を適切に実施するための関連社内規定を整備し、役員及びすべての社員に周知徹底させます。かつ、情報セキュリティに関連する法令または社内規定の違反に対して、厳しく対処します。
2. 情報セキュリティへの取り組みに関して、ステークホルダーからの信頼性を高めるべく適切に開示します。

(3) グループのセキュリティ対策  当社グループは、関係企業やソフトウェア開発の外部委託先等のビジネスパートナーを含め、当社グループの情報セキュリティに関する方針等を周知すると共に、指針等に基づく適切な情報セキュリティ対策を求めます。

(4) リソースの確保

1. 当社グループは、情報セキュリティ対策の着実な実施に備え、必要な経営資源を確保・投入します。
2. 当社グループは、情報セキュリティ対策を実施する上で必要な人材の育成と確保を計画的、継続的に行います。
3. 当社グループは、外部の情報共有活動に参加し、当社グループへの情報セキュリティ対策に反映します。

(5) ITシステムの管理  当社グループは、ITシステムの管理について、自組織で対応する部分と外部に委託する部分とを適切に切り分け、セキュリティ対策を効率的かつ確実に実施します。

(6) 情報セキュリティ監査  当社グループは、情報セキュリティ対策を対象に、被監査部門である実施部門から独立した監査部門が、監査計画、監査対象、監査項目を定め、その遵守状況等を定期的に監査します。かつ、被監査部門は、監査結果を活用して情報セキュリティ対策の実施を改善します。

(7) 教育・訓練  当社グループは、情報セキュリティ対策を対象に、被監査部門である実施部門から独立した監査部門が、監査計画、監査対象、監査項目を定め、その遵守状況等を定期的に監査します。かつ、被監査部門は、監査結果を活用して情報セキュリティ対策の実施を改善します。

1. 当社グループは、情報セキュリティの重要な課題はヒューマンエラーへの対策であると捉え、役社員ひとり一人の意識向上を目的として定期的な教育を実施します。
2. 当社グループは、特に重要と考える情報セキュリティ対策について、毎月、すべての役社員がチェックリストに基づく確認を実施します。

(8) 情報セキュリティインシデント対応

1. 情報セキュリティインシデントに対応するために、CISOの指揮の下、専門チーム（CERT: Computer Emergency Response Team / CSIRT: Computer Security Incident Response Team 等）を組織します。
2. 初動対応マニュアルを整備し、関係者に周知徹底させるとともに、定期的かつ実践的な訓練を行います。
3. CISOは、重大な情報セキュリティインシデントが発生した場合には、「リスク管理委員会」に報告するものとします。
4. 「リスク管理委員会」は、前項の報告があった場合、当該情報セキュリティインシデントの対応方針を決定するとともに、再発防止を指示し、必要に応じて取締役会に報告するものとします。
5. 情報セキュリティインシデントに関して、官公庁への届けや関係者への通知を、状況に応じて適切に行います。

本基本方針の改廃は「リスク管理委員会」にて検討し、取締役会審議に基づき決定するものとします。

以上