はじめに

当社は、お客様の個人情報を保護するため、技術的・組織的な対策を総合的に講じます。本ページは、セキュリティ方針と主な対策をわかりやすく解説します。

1. 組織的対策

• 情報セキュリティ責任者および担当部門を設置し、定期的な教育・訓練を実施します。
• セキュリティポリシーを全従業員に周知し、遵守状況を定期的に見直します。
• インシデント対応体制を整備し、発生時には迅速に影響範囲の特定・通知・是正を行います。

2. 人的対策

• 新規採用時・異動時の権限確認と最小権限の原則を徹底します。
• 定期的な教育・啓発活動を実施し、情報漏えいリスクの認識を高めます。
• 重要情報へのアクセスは、認証・承認プロセスを経た事業者・従業員に限定します。

3. 物理的対策

• データ保管設備の入退室管理を実施します。
• 機器の盗難・紛失を防ぐため、施錠・監視・災害対策を講じます。

4. 技術的対策

• 通信の暗号化（TLS）を標準化します。
• ウェブアプリケーションは最新のセキュリティパッチを適用します。
• 認証・認可には多要素認証（MFA）の導入を推奨・実施します。
• セキュリティ監視（不審なアクセスの検知・アラート）を継続します。
• データベースは権限分離・暗号化・バックアップの保護を実施します。

5. 継続的改善

• 定期的なリスク評価と対策の見直しを実施します。
• 内部監査・外部監査を年に1回以上実施します（法令要件に応じて調整）。
• セキュリティインシデントの教訓を反映した再発防止策を策定します。

6. 自己診断と教育

従業員向けの定期的なセキュリティ教育・模擬訓練を実施し、誤操作やソーシャルエンジニアリングに対する耐性を高めます。

7. ベンダー・第三者提供先の管理

外部委託先にも適切なセキュリティ要求を課し、契約で情報セキュリティ条項を定め、必要に応じて監査を実施します。

8. インシデント対応

情報漏えい・紛失・改ざんなどのセキュリティ事故が発生した場合、即時に関係部門と連携し、影響範囲の把握・被害最小化・再発防止策を講じます。該当時点の連絡先は下記窓口をご参照ください。

• 連絡窓口: info@gain.co.jp
• 対応時間: 平日9:00-18:00（祝日・年末年始を除く）

9. 改定履歴

本方針は、必要に応じて改定します。更新時には本ページにてお知らせします。