インターネットを活用してビジネスを拡大している当社にとって、「セキュリティの確保」は、ビジネス上の基盤であり「セキュリティの確保」無しにはビジネスが成り立たない。セキュリティ関連の事件が発生した場合の営業機会の損失は著しく、お客様との関係に与える影響は甚大である。当社にとって、当社のサービスを利用する全てのお客様への安心を提供し、当社の事業を継続・拡大していくためにも、ライフラインであるセキュリティの強化は必須である。そのために、当社は、ネットワークコンピュータ上を流通する情報やコンピュータ及びネットワークなどの情報システム(以下、情報資産)を第4の資産と位置付け、重要な資産として保護・管理しなければならない。当社は、ここに、情報資産を保護する「情報セキュリティマネジメント」を実施するための、『情報セキュリティポリシー』を策定する。
『情報セキュリティポリシー』は、当社の情報資産を、故意や偶然という区別に関係なく、紛失、改ざん、破壊、漏洩等から保護するための管理策をまとめた文書である。
当社の情報資産を利用する者は、情報セキュリティの重要性を認知し、この『情報セキュリティポリシー』を遵守しなければならない。
制定日:2008年10月14日
代表取締役社長 デービット・リーブレック
本情報セキュリティ基本方針(以下、「本基本方針」)は、当社グループが会計事務所とその関与先企業、地方公共団体を対象として、常に最新の情報通信技術(ICT)の最適な活用を通して、各種情報サービスを提供していることに鑑み、情報の適切な管理を実現し、お客様に安心して当社のサービスをご利用いただくために、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」を踏まえ、当社グループにおける情報セキュリティを確保するための対策、体制等の基本事項を定めたものです。
応じて適切に行います。
(1) 当社グループは、情報セキュリティの確保が経営上の最重要課題であると認識し、全社を挙げてこれに取り組みます。
(2) 当社グループは、役員及びすべての社員が、倫理観を保持し、法令、行政機関、その他が定めた規範及び社内規定を遵守する体制を整備し、これを継続的に改善します。
(3) 当社グループは、情報セキュリティを脅かす事象を発見した場合には、原因分析を徹底して行い、再発防止策を検討しこれを実行します。
(1) 情報セキュリティとは、当社が扱う情報資産を「機密性」、「完全性」、「可用性」に関する脅威から保護することをいい、サイバーセキュリティを含むものとします。
(2) サイバーセキュリティとは、情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置と情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置を講じ、その状態が適切に維持管理されていることをいいます。
当社グループは、情報セキュリティを脅かす様々な要因を事業遂行上のリスクとして認識し、以下の内容の情報セキュリティ体制を整備します。
(1) 株式会社TKCの代表取締役社長の諮問機関である「リスク管理委員会」が当該リスクのマネジメントを統括するものとします。「リスク管理委員会」は部門担当取締役と執行役員で構成しています。
(2) 「リスク管理委員会」は、専門的見地から当社グループの情報セキュリティ対策に関する戦略全体の検討を行う「情報セキュリティ小委員会」を下部組織として設置しています。
(3) 取締役会は、最高情報セキュリティ責任者(CISO: Chief Information Security Officer)を任命し、当社グループにおける情報セキュリティ対策の実行に関し責任と権限を付与するものとし、CISO は、職務の執行状況を取締役会に定期的に報告します。
(4) CISOの下に「情報セキュリティ戦略室」を配置し、当社グループにおける情報セキュリティ対策の実行を担い、その職務の執行状況をCISO及び、「情報セキュリティ小委員会」に定期的に報告します。
(1) 情報セキュリティ対策フレームワークの構築
(2) 関連規定の整備および法令等の順守
(3) グループのセキュリティ対策 当社グループは、関係企業やソフトウェア開発の外部委託先等のビジネスパートナーを含め、当社グループの情報セキュリティに関する方針等を周知すると共に、指針等に基づく適切な情報セキュリティ対策を求めます。
(4) リソースの確保
(5) ITシステムの管理 当社グループは、ITシステムの管理について、自組織で対応する部分と外部に委託する部分とを適切に切り分け、セキュリティ対策を効率的かつ確実に実施します。
(6) 情報セキュリティ監査 当社グループは、情報セキュリティ対策を対象に、被監査部門である実施部門から独立した監査部門が、監査計画、監査対象、監査項目を定め、その遵守状況等を定期的に監査します。かつ、被監査部門は、監査結果を活用して情報セキュリティ対策の実施を改善します。
(7) 教育・訓練 当社グループは、情報セキュリティ対策を対象に、被監査部門である実施部門から独立した監査部門が、監査計画、監査対象、監査項目を定め、その遵守状況等を定期的に監査します。かつ、被監査部門は、監査結果を活用して情報セキュリティ対策の実施を改善します。
(8) 情報セキュリティインシデント対応
本基本方針の改廃は「リスク管理委員会」にて検討し、取締役会審議に基づき決定するものとします。
以上