Security Policy
株式会社riwka(以下「当社」という)は、情報セキュリティの確保を事業運営における最重要課題の一つであると認識しています。お客様および取引先の信頼に応え、社会的な責任を果たすため、以下の基本方針に基づき情報セキュリティ管理を徹底し、継続的な事業活動の安定に努めます。
1.目的
本基本方針は、当社のすべての情報資産を適切に保護し、そのセキュリティを確保することを目的として策定されたものであり、業務の円滑化と高い信頼性の維持を目指します。
2.情報資産の保護と管理
当社は、顧客情報、業務データ、社内資料など、当社の業務に関わるすべての情報資産について、機密性、完全性、および可用性を確保します。情報資産は、その重要性に応じて適切に分類し、取得から廃棄に至るライフサイクル全体を通じて、漏えい、滅失、毀損、不正利用を防止するため、厳重に管理・保護します。
3.法令および規範の遵守
当社は、個人情報保護法、不正アクセス禁止法、著作権法などの情報セキュリティに関する国内関連法令に加え、GDPR(一般データ保護規則)等の海外法令、国が定める指針、ガイドライン、および契約上の義務を遵守します。
4.情報セキュリティ管理体制の構築と運用
当社は、情報セキュリティマネジメントシステムを確立し、代表取締役を情報セキュリティ統括責任者として、明確な責任体制のもと、全社的な管理体制を構築・運用します。この体制を通じて、情報セキュリティ対策の実効性を確保します。
5.従業者への教育と意識向上
当社は、すべての従業者(役員、社員、業務委託先を含む)に対し、情報セキュリティに関する定期的な教育・訓練を実施します。これにより、情報セキュリティに対する意識向上を図るとともに、日々の業務における実践力を強化し、情報セキュリティ対策の定着を促進します。
6.生成AIの適切な利用と管理
当社は、生成AIの業務利用に関するリスクを認識し、適切な利用と管理に関する内部基準(例:機密情報の入力禁止、出力内容の精査等)を定め、全従業者に対しその遵守を徹底します。これにより、生成AIの活用による新たな情報セキュリティリスクの最小化に努めます。
7.従業者(全員)の責任と義務
すべての従業者(役員、社員、業務委託先を含む)は、情報セキュリティに関する関連法令、本基本方針、および別途定める情報セキュリティ規程、その他関連する社内ルールを遵守し、情報資産のセキュリティ確保に積極的に努めなければなりません。情報セキュリティに関する懸念事項や事故の兆候を発見した場合は、速やかに所定の手順に従い報告する義務を負います。
8.外部委託先の管理
当社は、業務の全部または一部を外部に委託する場合、当社の情報セキュリティ基準を満たす委託先を選定します。契約において情報セキュリティに関する義務を明確にするとともに、委託業務の実施状況を定期的に確認し、必要かつ適切な監督を行います。また、再委託についても同様の管理水準を求め、情報セキュリティを確保します。
9.情報セキュリティインシデントへの対応
万が一、情報セキュリティ上の事故やその可能性が発生した場合には、迅速かつ適切に対応します。被害の拡大防止、原因の究明、復旧作業に努めるとともに、関係者(顧客、取引先、監督官庁等)への適切な報告と再発防止策の実施を徹底します。
10.継続的改善
当社は、情報セキュリティの取り組みを定期的に見直し、内部監査結果、技術の進歩、社会情勢の変化、および法的要件の変化に応じて継続的な改善を行います。本基本方針は、年1回以上、または必要に応じて随時見直します。
以上
制定日:2025年3月21日