情報セキュリティ基本方針

当社は、当社及びグループ各社（以下「当社グループ」といいます。）がお客様・取引先・従業員等からお預かりする情報資産の重要性を深く認識し、その機密性・完全性・可用性を確保することを社会的責任と考えます。本方針は、当社グループの情報セキュリティに関する基本的な考え方と行動指針を定めるものであり、以下に示す方針を具現化するための情報セキュリティ体制を構築し、最新の技術動向、社会的要請の変化、経営環境の変動等を常に認識しながら、その継続的改善に、当社グループを挙げて取り組むことをここに宣言します。

1. 目的（基本姿勢・背景）

当社グループは、業務遂行においてお客様・取引先・従業員等の重要な情報資産を取り扱っています。情報は企業価値を支える基盤であり、その漏えい・改ざん・喪失は信頼失墜や事業継続に重大な影響を及ぼします。当社グループは情報セキュリティを経営課題の一つとして位置づけ、全役員・従業員が一体となり、安全で信頼性の高いサービス提供と社会的責任の遂行を目指します。

2. 適用範囲

本方針は、当社グループ全ての会社並びにその役員、従業員及び業務委託者に適用します。また、当社業務に関連して機密情報を取り扱う協力会社や取引先についても、本方針の趣旨を理解し遵守することを求めます。対象範囲は業務形態や雇用形態を問わず、全ての情報資産へのアクセスや利用を行う者を含みます。

3. 基本方針（機密性・完全性・可用性）

当社グループは、保有・管理する情報資産について、①機密性（権限ある者のみがアクセス可能であること）、②完全性（改ざんや破壊から保護され正確性が保たれること）、③可用性（必要なときに利用できること）の確保に努めます。これらを守るため、適切な管理体制・物理的/技術的対策・運用ルールを整備し、従業員・関係者に周知徹底します。

4. 法令・規範の遵守

当社グループは、個人情報保護法、不正アクセス禁止法、著作権法、労働関係法令等、情報セキュリティに関する各種法令・規範・契約上の義務を遵守します。業務遂行にあたっては、法的要求事項を的確に把握し、組織全体でこれを順守する体制を構築します。また、国内外の法規制動向も注視し、必要に応じて方針や運用を改定します。

5. 教育・啓発

当社グループは、役員・従業員・協力会社等を対象に、情報セキュリティに関する教育・啓発活動を実施します。新入社員研修、eラーニング等を通じて、情報資産の適切な取扱いやリスク事例、事故発生時の対応方法を周知徹底します。また、日常業務の中で意識を高める施策を継続的に行います。

6. リスク管理と対策

当社グループは、不正アクセス、マルウェア感染、情報漏えい、物理的盗難・紛失など、情報セキュリティ上のリスクを特定・評価し、評価結果に基づく優先順位に従い対策を実施します。システムの脆弱性診断やパッチ適用、アクセス権限管理、バックアップ体制強化等の技術的対策に加え、業務プロセスの改善や物理的管理措置も講じます。

7. インシデント対応

情報セキュリティに関する事故や重大な懸念が発生した場合、当社グループは速やかに関係部署と連携して影響範囲の特定と被害拡大防止措置を実施します。当該インシデントの対策体制を明確化し、関係者間の連絡・報告ルートを確立して被害拡大防止に努めるとともに、必要に応じて外部機関や関係当局への報告も行います。また、発生原因の究明と再発防止策を策定・実行することにより、今後の同様の事故発生を組織的に防止します。

8. 継続的改善

当社グループは、情報セキュリティ管理体制の運用を通じて、PDCAサイクルに基づく継続的な改善を行います。内部監査やリスクアセスメントの結果を踏まえ、方針・手順・技術的対策を見直し、環境変化や新たな脅威に対応します。改善活動は経営層のレビューを経て全社的に実施します。

9. 責任と義務

情報資産の適切な管理、機密保持義務の履行、事故や違反行為の早期報告は、全ての関係者の基本的な義務であり、当社グループは、役員・従業員に対して、当該役員・従業員による違反や過失によって生じた損害について、就業規則や契約に基づき、懲戒処分や損害賠償等の措置が取られる場合があることも含め、本方針を理解し遵守する責任を認識させるよう努めます。

制定日：2026年2月16日

ヒトトヒトホールディングス株式会社
代表取締役　松本　哲裕