情報セキュリティ方針

1. 適用範囲

本方針は、当社の役員・従業員・業務委託者等、当社業務に従事するすべての関係者に適用します。

2. 基本原則

当社は、情報資産の「機密性」「完全性」「可用性」を適切に維持するため、技術的・組織的な対策を講じます。

3. アクセス管理

当社は、情報資産や各種クラウドサービスに対するアクセス権限を、業務上必要な範囲に限定して付与します（最小権限の原則）。

また、担当変更・退職・プロジェクト離任等により不要となった権限は、速やかに剥奪します。

4. 多要素認証

当社は、GitHub、Google Workspace、Slack等の主要な業務システムにおいて多要素認証を原則として必須とし、不正アクセスの防止に努めます。

5. 認証情報の管理

当社は、パスワード、APIキー、秘密鍵等の機密情報について、適切な方法で管理します。

具体的には、パスワードマネージャや環境変数等を活用し、不要な共有・記載・保管を避けます。

6. 本番環境の管理

当社は、本番環境や本番データへのアクセスを必要最小限に制限します。

本番環境の閲覧・操作権限は、原則として代表取締役および当該チームのテックリード等、業務上必要な者に限定します。

また、本番データについては、原則としてローカル端末へのダンプ・持ち出しを行いません。

7. 委託先管理

当社は、業務遂行に必要な範囲で外部サービスを利用し、個人情報等の取扱いを委託する場合があります。

この場合、委託先の適切な選定および管理・監督を行い、必要な安全管理措置の確保に努めます。

8. ログ管理

当社は、不正アクセスや障害等の兆候を把握し、事後に追跡できるよう、必要に応じてログの取得・確認等を行います。

9. インシデント対応

情報セキュリティ上の事故（漏えいの疑いを含む）が発生または発生が疑われる場合、当社は被害拡大の防止、原因究明、再発防止に取り組みます。

対外的な連絡・対応は、原則として代表取締役が責任をもって実施します。必要に応じて、関係者への連絡等の適切な対応を行います。

10. 教育・周知

当社は、関係者に対し、本方針および関連ルールの周知・遵守を求め、必要に応じて教育・啓発を行います。

11. 継続的改善

当社は、本方針および関連するルール・運用を必要に応じて見直し、情報セキュリティの継続的な改善に取り組みます。

お問い合わせ窓口

本方針に関するお問い合わせは、下記までご連絡ください。