株式会社ファーストブランド

情報セキュリティ基本方針

はじめに

株式会社ファーストブランド(以下、弊社)は、インターネットを通じて、喜びと驚きと便利さを提供することで「感動」を届け、世の人々の「幸せ」を妥協することなく追求し続けます。そのためには、人々の「幸せ」を生む「“こころ”が感じられるサービス」を提供する私たちも「幸せ」でなければならないと考えます。

弊社は、企業理念に基づいた志を決して忘れることなく、「“こころ”が感じられるサービス」を提供する“エモーショナル・インターネットサービスカンパニー”です。“エモーショナル”という言葉にはさまざまな解釈がありますが、文化的には「感動させる」という意味合いを持ちます。単なる「インターネット・サービス企業」ではなく「 心が感じられるサービス」を提供し、世の人々の幸せを追求する「インターネット・サービス企業」として社会に貢献する。この志を胸に、“エモーショナル・インターネットサービスカンパニー”として、全社員の幸せと共に世の人々の幸せを追求し続け、社会貢献へ寄与してゆきます。

以上の目的のため、弊社では情報セキュリティの重要性や、情報セキュリティが損なわれた際に全てのステークホルダの皆さまにどのような影響があるかを認識したうえで、関連する法律・法令・規格や各種の規範に照らして弊社が選択できる適正な方針や目的を設定し、対策を実施・運用・改善できるよう、以下のとおり「情報セキュリティ基本方針」を定めます。

弊社の課題とステークホルダの期待
  1. 情報セキュリティの重要性と、情報セキュリティが損なわれた場合の影響について、全ての従業者に認識させ、理解の度合いを高めること。
  2. 法律や法令はもちろん、弊社の情報セキュリティや個人情報保護に関する規程に反しないよう、契約関係や作業手順を構築、提案、同意、運用、監視、改善、維持し、情報セキュリティに関する弊社の目的を達成するために、必要な施策を業務プロセスへ適正に実装すること。
参照規格
  1. JIS Q 22313(『社会セキュリティ ― 事業継続マネジメントシステム ― 手引』
  2. JIS Q 22320(『社会セキュリティ ― 緊急事態管理 ― 危機対応に関する要求事項』
  3. JIS Q 27000(『情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントシステム ― 用語』
  4. JIS Q 27001(『情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントシステム ― 要求事項』
  5. JIS Q 27002(『情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントの実践のための規範』
  6. JIS Q 27014(『情報技術 ― セキュリティ技術 ― 情報セキュリティガバナンス』
  7. JIS Q 27017(『情報技術 ― セキュリティ技術 ― JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範』
  8. JIS Q 31000(『リスクマネジメント ― 指針』
  9. JIS Q 31010(『リスクマネジメント ― リスクアセスメント技法』
  10. JIS Q 38500(『情報技術 ― ITガバナンス』
  11. JIS Q 15001(『個人情報保護マネジメントシステム ― 要求事項』)
適用範囲

物理的な適用範囲

  1. 大阪本社
  2. 東京営業所

組織的な適用範囲

  1. 弊社の全ての事業部門に所属する役員、従業員(パート、アルバイト、インターンを含む)

業務の適用範囲

  1. 電話受付による、弊社サービスのご利用者様、あるいはお取引先様への応対。
  2. ウェブサイトとコンテンツの企画、制作、納品、販売、および保守・運用業務。
  3. ソフトウェアの企画、開発、納品、販売、および保守・運用業務。
  4. 印刷物の企画、制作、納品、販売業務。
  5. 人員の面接・採用・退職処理。
  6. インターン研修の受け入れ。
  7. 上記の全てにつき管理系部門で行う、必要な管理業務。
情報セキュリティ目的
  1. 情報セキュリティの基本的な維持事項である「機密性」「完全性」および「可用性」を確保し維持すること。
  2. 日本国内の法律・法令・条例または日本国が批准する条約が要求する事項に対して違反しないこと。
  3. 重大な障害または災害から事業活動が中断しないように、予防および回復手段と手順を策定し、定期的な見直しを行うこと。
  4. 情報セキュリティの教育・訓練を全ての従業員に対して定期的に実施すること。
  5. 情報セキュリティ上の諸規程へ違反している事象や、情報セキュリティの観点から是正が必要と判断された弱点を報告・調査し、対応すること。
責任と体制
  1. 情報セキュリティの責任は、弊社の情報セキュリティ委員長である代表取締役が負う。そのために代表取締役は、適用範囲の従業員が情報セキュリティ目的を達成するために必要とされる資源を提供する。
  2. 弊社の従業員は、顧客情報やユーザ情報あるいは取引先情報を適正に守る義務がある。
  3. 弊社の従業員は、本方針を維持するために策定された規程や手順に従わなければならない。
  4. 弊社の従業員は、情報セキュリティを損なう事故(インシデント)及び情報セキュリティにかかわる欠陥や問題あるいは兆候を速やかに報告する責任を負う。
  5. 弊社の従業員は、情報資産を保護するための管理策の有効性を損なうような行為を行った場合に、弊社の就業規則に従って処分を受ける。
  6. 弊社のトップマネジメント(役員会)は、代表取締役を委員長とした「情報セキュリティ委員会」を組織し、弊社の情報セキュリティ方針や目的、ISMS の確立、実装、運用、維持、改善にかかわる決定を行ってコミットし、決議の内容を全従業員に通知して、各部門での ISMS 運用にかかわるリーダーシップも支援する。
  7. 以上の体制を確立・維持するため、「情報セキュリティ事務局」を設置し、情報セキュリティ委員会への通知ならびに報告の義務を課する。また、情報セキュリティ事務局は関係当局との連絡や、リスクアセスメント、管理策の有効性測定、適用宣言等の、弊社が要求する情報セキュリティマネジメントに関連したプロセスの結果について、内部監査責任者とともに責任を負う。
継続的な運用

弊社の情報セキュリティマネジメントシステムは、情報セキュリティ委員会によって見直しされ、環境変化に合わせて継続的に改善し運用する。

株式会社ファーストブランド 代表取締役 河本扶美子

改訂履歴
  1. 制定日:2006年11月27日
  2. 改訂日:2007年4月1日
  3. 改訂日:2008年6月9日
  4. 改訂日:2011年4月20日
  5. 改訂日:2012年4月20日
  6. 改訂日:2014年4月18日
  7. 改訂日:2015年3月4日
  8. 改訂日:2019年5月30日
  9. 改訂日:2021年12月24日

情報セキュリティ対策の効果

弊社は過去に15年近くにわたって「情報セキュリティマネジメントシステム」(ISMS)を構築・維持・改善することにより、お客様や取引先様に対するベネフィットとして「安心、安全」をご提供し続けてまいりました。現在は認証を受けておりませんが、ISMS を維持していた際に導入した上記の「情報セキュリティ基本方針」や社内規程、手順、帳票類につきましては、以下の点を基準として施策を起案・検討しつつ、認証とは関係なく全社あるいは特定の部門に導入・実施しております。

法律・条例等をベースとして更に各種のルールを遵守し尊重します

コンプライアンスを掲げる企業では当然のことですが、弊社の情報セキュリティ施策は法令を遵守するだけではなく、JIS の各規格や経済産業省が発行するガイドライン等も含めて遵守し尊重すべき「ベースメント」と見做しております。

情報セキュリティ施策 (1)

具体的な施策の例 / 「様式:FBIS-04-016 法令及び法律等の変更管理シート」による法律・法令の変更管理

これで何が向上するの?

最新の法令やガイダンスを参照したり、それらの改正にかかわる情報を社内へ告知して共有することにより、法令やガイダンスの周知はもちろんのこと、社内規程や現状の施策について再検討する機会が作れます。これは、情報セキュリティマネジメントと個人情報保護マネジメントの運用において PDCA サイクルを有効に活用するための手段となります。

個別の契約で規定されている要件を遵守します

クライアント企業様や取引先企業様との個別契約に明記されている要件を遵守し、業務フローの調整ならびに帳票・記録類の扱いについて柔軟に対応できるよう、各従業員と情報セキュリティ事務局の間で円滑なコミュニケーションが図られるように体制を整えております。

また弊社から業務を委託するにあたっては、与信調査と並行して、弊社が指定する「情報セキュリティ・ベンチマーク」での業務体制確認などを実施させていただいており、特に開発業務に関しては一定のセキュリティレベルを保っていただけるよう推奨事項を定めております。

情報セキュリティ施策 (2)

具体的な施策の例 / 情報セキュリティ管理者, CPO (Chief Privacy Officer) の専任
「FBIS-04-032 委託業務に関する情報セキュリティ管理のお願い」を配布

これで何が向上するの?

弊社と取引先企業様とで同意できる明確な基準を設け、同一レベルの施策や管理体制を維持できます。また、それぞれの事情で特別の施策を導入する際にも、契約内容や双方の社内規程に照らして是非を評価できます。

競合他社よりもすぐれたサービスを追求します

案件並びに弊社が提供するサービスについて現状の問題点を把握し、情報セキュリティ上の解決策を提案すると共に、お客様からの信頼を高められるよう社内での取り組みを常に向上させてゆきます。

情報セキュリティ施策 (3)

具体的な施策の例 / 定期的な小テストによる問題点の把握と社内規程の周知

これで何が向上するの?

情報セキュリティにかかわる施策や攻撃は、良いものであれ悪いものであれ、すぐに新しいパターンや方法が登場しています。これらの変化に対応するため、事務局が最新の動向を把握しつつ社内や取引先様へ周知したり、新しい手順やルールを模索することにより、短期間で社内の情報管理を向上するように努めております。また、定期的な研修や小テストを実施して規程を周知するとともに、現状の運用に問題点がないかどうか反省する機会を作っています。

業務とタスクを明確化して、情報を適正に扱うビジネスプロセスを目指します

社内規程や帳票類の策定にあたっては「プライバシーに配慮した設計(Privacy by Design)」の観点を採用して、開発段階のシステム設計だけでなく、個人データへ適正にアクセスするビジネスプロセスの設計にも適用し、改善に努めております。

情報セキュリティ施策 (4)

具体的な施策の例 / 「FBIS-04-028 個人情報特定シート」によって個人データの流れを特定し検討

これで何が向上するの?

情報セキュリティのレベルを維持したり向上させるために有効なアプローチの一つは、業務で情報資産を取扱うにあたって、プロアクティブに(先んじて)資産の特徴や取り扱いリスクを把握して安全性を確保することです。そのため、事業やキャンペーンなどを始めるにあたっては、当該の部門と情報セキュリティ事務局が共同で情報の流れを把握したり、考えられるリスクを特定するように努め、お客様から預かる情報資産を適切に運用・保護できるようにしています。