1. 目的

情報の漏えい、改ざん、滅失、不正アクセス等のリスクから情報資産を保護し、 安心してサービスをご利用いただける環境を維持します。

2. 適用範囲

本方針は、当社が取り扱う情報資産（個人情報、注文情報、決済関連情報、業務情報、システムおよびネットワーク） 並びに当社の役員・従業者および委託先に適用します。

3. 管理体制

• 情報セキュリティの責任者を定め、管理体制を整備します。
• 規程・手順を整備し、権限と責任を明確化します。
• 定期的な点検と見直しを実施します。

4. リスク管理

情報資産の重要度に応じてリスクを評価し、優先順位を付けて対策を実施します。 環境変化や新たな脅威を踏まえ、適宜見直します。

5. 技術的・物理的安全管理措置

• アクセス権限管理、認証の強化、不要アカウントの整理
• ログの取得・保全、監視、脆弱性情報の収集と対応
• バックアップの取得と復旧手順の整備
• マルウェア対策、端末・媒体の管理

6. 教育・啓発

役員・従業者に対し、情報セキュリティの重要性を周知し、必要な教育・啓発を継続的に実施します。

7. 委託先管理

業務委託やクラウドサービスの利用にあたり、委託先の安全管理措置を確認し、 契約等により適切な管理を求めます。

8. インシデント対応

事故発生時の報告・連絡体制を整備し、原因究明、被害拡大防止、再発防止を迅速に実施します。 必要に応じて関係機関への報告・通知を行います。

9. 法令等の遵守

個人情報保護法その他関連法令・ガイドライン、契約上の義務を遵守します。

10. 継続的改善

監査・点検結果、環境変化、技術動向を踏まえ、管理体制と安全管理措置を継続的に改善します。