株式会社TIMEWELL 情報セキュリティ基本方針
1. 基本宣言
株式会社TIMEWELL(以下、当社)は、挑戦者を支援する挑戦インフラ事業を通じて、人々が気兼ねなく挑戦できる豊かなコミュニティ空間を創出することを目指しています。
当社は、当社が保有する全ての情報資産(顧客情報、サービス提供に関わるデータ、システム、ネットワーク等)の機密性・完全性・可用性を確保・向上し、関係法令・規範を遵守するとともに、継続的改善に努めることをここに宣言します。
また、内閣府が示すサイバーセキュリティ方針及び日本工業規格JIS Q 15001:2006をはじめとする国内外の関連基準を適切に順守し、情報セキュリティマネジメントを徹底してまいります。
2. 法令・規範・標準の遵守
当社は、情報セキュリティに関する国内外の法令、内閣府のサイバーセキュリティ戦略や関連ガイドライン、JIS Q 15001:2006をはじめとする各種規範・標準・業界ベストプラクティスを遵守します。これらの要件を反映したルールや手続きを社内規程に明示し、これを確実に実行・運用します。
3. 情報セキュリティ管理体制および推進体制の構築
当社は、情報資産を適正かつ安全に管理するため、情報セキュリティ管理責任者(CISO相当)を任命し、情報セキュリティ委員会等の組織を設置します。これらにより、下記を実施します。
- セキュリティポリシーや運用規程の策定・維持・見直し
- インシデント発生時の迅速な対応体制(緊急対応マニュアル、インシデントハンドリング手順)の確立
- 情報資産の分類、保護レベル設定、アクセス権管理、認証・認可、ログ監視等の技術的・組織的対策の実行
4. 従業者教育・訓練の実施
当社は、全ての従業者(正社員、派遣、業務委託先を含む)が情報セキュリティの重要性を深く理解し、実践できるよう、以下を行います。
- 定期的なセキュリティ教育・訓練・啓発活動
- フィッシング対策訓練等の実務的トレーニング
- 最新の脅威動向や技術情報の共有を通じた、組織全体のセキュリティリテラシー向上
5. リスクアセスメントと継続的改善
当社は、リスクアセスメント手法を用いて、情報資産に影響を及ぼし得る潜在的な脅威・脆弱性を特定・評価します。その結果に基づき、必要な管理策を計画・実施し、対策の有効性を検証します。また、サイバー攻撃手口の高度化や技術進歩に対応するため、定期的な見直しと改善を継続します。
6. 情報セキュリティマネジメントシステム(ISMS)の確立・運用・維持
当社は、JIS Q 15001:2006を始めとする関連規格に基づき、ISMSを確立・運用します。内部監査および外部監査・認証を通じて、ISMSが効果的かつ効率的に機能していることを検証・評価し、PDCAサイクルを回すことで、情報セキュリティレベルの持続的向上を図ります。
7. 利害関係者との連携・情報共有
当社は、規制当局、業界団体、セキュリティ専門企業、パートナー企業、顧客等の利害関係者と適切に連携し、最新のサイバー脅威情報や対策ノウハウを共有します。これにより、情報セキュリティに関する社会的課題解決や信頼性向上にも貢献してまいります。
8. 適用範囲および責任分担の明確化
本方針は、当社が扱う全ての情報資産および当社に関連する全ての従業者を対象とします。各従業者は、この方針および関連規程を理解し、遵守する責任を負います。違反行為に対しては、必要な処分を行い、再発防止策を講じます。
当社は以上の方針を実行力のある行動に移し、内閣府サイバーセキュリティ政策及びJIS Q 15001:2006等の基準に則り、TIMEWELL BASEにおける情報セキュリティ水準を高め、お客様並びに社会からの信頼獲得に努めてまいります。