イー・ビー・ヘルス・ケア株式会社は、お客さまの健康づくりを応援し、ITを活用して大切な健康を守るためのお手伝いをすることを企業理念として掲げ、業務を実施しています。当社は、個人の健康に関わる情報はもとより、科学的な根拠にもとづく健康づくりのための科学的なデータなど、取り扱う情報資産の安全の確保と、正確性・体系性の維持こそが、お客さまの信頼のもとで事業を展開していくために不可欠の責務であると深く認識しています。当社は、そのために、この「情報セキュリティ基本方針」を定め、取り扱う情報資産の適切な保護対策を実施するための指針とします。この方針に沿って、情報セキュリティマネジメントシステムを確立し、情報セキュリティ対策を推進します。
【情報セキュリティの当社目的と維持】
1. お客から委託され取扱う資産の消失、盗難、不正使用、漏えいを防止することを、当社の目的とする。情報セキュリティとして、お客から委託され取扱う資産及び当社が取得した個人情報、及び当社が保有する資産について、機密性、完全性、可用性を確保し、維持する。
【適用範囲】
2. 当社における、全ての業務に関する情報資産を適用範囲とし、役員、契約社員、派遣社員、パートタイマ従業員、アルバイト従業員を含む全従業員の、東京の事業所及びその他業務に利用する情報システム上での活動を対象とする。
【社長の責任】
3. 社長は、従業員の中から情報セキュリティ管理責任者を任命する。社長は、これらの者が行う情報セキュリティマネジメントシステムの活動に必要な経営資源を提供する。社長は、リスクアセスメントの枠組み、リスク受容基準、及びリスクの受容可能レベルを決め、リスクアセスメントの結果、残留リスク、管理策の採否結果、及び、構築された情報セキュリティマネジメントシステム、これらを推進するセキュリティ計画の承認、決定を行う。
また、定期的な内部監査、マネジメントレビューを実施し、採用した管理策の有効性の評価、実施した改善の有効性の評価、リスクアセスメントの結果及びマネジメントシステムならびにこの基本方針を見直し、情報セキュリティマネジメントシステムの継続的な改善を実施する。
【管理者の義務】
4. 情報セキュリティ管理責任者は、情報セキュリティマネジメントシステムを確立し、導入、運用、監視、見直し、維持及び改善を図る。
【資産の特定とリスクアセスメントおよび管理策の選択】
5. 情報セキュリティ管理責任者は、事業上取扱う個人情報や企業秘密情報とその管理責任者を特定する。特定した資産に対して、当社の事業規模や事業内容に見合ったリスクアセスメント方法を定め、資産の保護のために合理的で適切な管理策を選択する。社長はリスク受容基準及びリスクの受容可能レベルを決定する。社長及び情報セキュリティ管理責任者は、リスクアセスメントの結果、リスクアセスメント方法やこれらの基準・水準を、当社や事業、技術、社会などの環境変化に応じて見直す。
【個人情報保護】
6. 当社が取り扱う個人情報を保護するための管理策を実施すると共に、本人が持つ “自己の個人情報をコントロールする権利” の考え方を尊重し、法律や省庁の指針及び規範に則り、個人情報の利用目的の特定と公表・通知、法令と利用目的に限定した取得、利用・提供を行う。また、個人情報に関する苦情に対応すると共に、開示等が必要な保有個人データについての開示等の対応を行う。
【法令の遵守】
7. 不正競争防止法に基づいて顧客および当社の秘密情報を管理する。また、著作権法に準じて著作物の権利を尊重するためにソフトウェア等を適切に管理する。その他業務上関連する法令を明確にし、遵守する。
【従業者の義務】
8. 役員や契約社員を含むすべての従業者は、「情報セキュリティ基本方針」および情報セキュリティマネジメントシステムに関する社内規定・手順書を遵守して行動する。違反した場合には、当社の就業規則等に則り懲戒処分を適用する。
【教育】
9. 社長の支持のもと、情報セキュリティ管理責任者は、情報セキュリティに関する教育及び訓練を実施する。
制定 2021年1月26日