情報セキュリティ方針

本方針は、当社の役員および社員に加えて、業務委託先、パートナー企業など、当社の情報資産を取り扱うすべての関係者に適用されます。また、情報資産は、物理的な媒体だけでなく、電子的なデータ、およびクラウドサービス上に保存されるデータを含む、当社の事業活動において取り扱う全ての情報とします。。

当社は、情報セキュリティに関する組織体制を確立し、情報資産の適切な管理を行うとともに、以下の点に注力します。

• 情報セキュリティ管理責任者を配置し、情報セキュリティ対策の推進および実施に関する責任と権限を明確にします。
• 外部サービスの評価と選定: HubSpotのような外部SaaSを利用する際は、そのサービスのセキュリティ対策、プライバシー保護体制、認証取得状況（例：ISO 27001、SOC 2など）を厳格に評価・選定します。
• 責任分界点の明確化: 当社が管理すべきセキュリティ領域（アクセス管理、設定ミス防止など）と、外部サービスプロバイダ側が責任を持つセキュリティ領域（インフラの物理的セキュリティ、ネットワークセキュリティ、サービス自体の脆弱性管理など）を明確に理解し、適切に管理します。
• データ処理契約の締結: HubSpotを含む個人情報を取り扱う外部サービスとの間では、適切なデータ処理契約（DPA）を締結し、個人情報保護に関する取り決めを明確にします。

当社は、情報資産の機密性、完全性、可用性を維持するために、適切なセキュリティ対策を講じます。

• アクセス管理:
  HubSpotを含む情報システムへのアクセス権限を適切に管理し、二要素認証の義務付けや最小権限の原則に基づき、不要なアクセスを制限します。
• 設定管理:
  HubSpotのようなクラウドサービスのセキュリティ設定（データ共有設定、公開設定など）を適切に行い、情報漏洩リスクを低減します。
• 技術的対策:
  不正アクセス、マルウェア、DoS攻撃など、様々なサイバー攻撃から情報資産を保護するため、最新の技術的対策を導入し、継続的に見直します。
• 物理的対策:
  情報資産が保管される施設や機器への物理的な侵入、損傷を防ぐための対策を実施します。
• バックアップと復旧:
  万が一の事態に備え、データのバックアップと迅速な復旧計画を策定し、定期的にテストを実施します。クラウドサービス上のデータについては、サービスプロバイダのバックアップ体制に依存しつつも、当社として必要なデータの可用性を確保するための措置を検討します。

当社は、情報セキュリティに関する関連する法令、国が定める指針その他の規範、および契約上の義務を遵守します。特に、データ保護に関する国内外の法令、ガイドライン（日本の個人情報保護法における外国への移転規制など）への対応を徹底します。

当社は、すべての役員、社員、および関係者に対し、情報セキュリティに関する継続的な教育と啓発活動を実施し、情報セキュリティ意識の向上と周知徹底を図ります。

当社は、情報セキュリティに関する事故や問題が発生した場合には、迅速かつ適切に対応するとともに、その原因を究明し、再発防止に努めます。また、新しい技術の導入やサービス利用状況の変化に応じて、定期的に情報セキュリティ方針および対策を見直し、継続的に改善します。