情報セキュリティ方針

株式会社 Berry(以下、当社)は、当社の事業活動を行う上で、お客様の情報をはじめとした情報資産を守ることは重要な責務であると認識し、業務に携わらなければならない。

当社が保有する情報資産をあらゆる脅威から保護し、適切な安全管理を実現するための指針として、情報セキュリティ方針を策定し、当社事業にかかわるすべての要員が管理徹底を実践し、その維持を実現する。

(情報セキュリティの目的)

第1条 当社が保有する情報資産をあらゆる脅威から保護し、情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応え、適切な安全管理を実現することを目的とする。

(情報セキュリティによる保護対象)

第2条 当社における情報セキュリティの保護対象は、当社事業にかかわるすべての情報資産および情報処理機能を有する情報システムとする。

(適用範囲)

情報セキュリティ方針の適用範囲は、論理的、人的、物理的、環境的リソース含む、当社全従業員を対象とする。

(情報セキュリティ方針の責任)

第3条 次の各号に定める者は、当該各号に定める当社情報セキュリティ方針における責任を担うものとする。

1. 取締役会議メンバーおよび情報システムセキュリティ責任者

   当社における情報セキュリティに対し、リーダーシップを持ち当社全体の情報セキュリティ推進を担う。

2. 従業員

   取締役より指示のあった情報セキュリティに関する対応を遵守する。また、情報セキュリティに対する知識向上、意識向上に努める。

3. 外部委託業者・提携業者に対する対応

   当社の定めた情報セキュリティに関するすべての対応を遵守する。

(方針の位置付け)

第4条 情報セキュリティ方針は組織内へ向けた情報セキュリティ管理の方針を示すものとする。

情報セキュリティ基本方針は組織外へ向けた当社の情報セキュリティ管理に関する方針を示すものとする。

また、情報セキュリティ方針を基に、情報管理規程を策定し、セキュリティの維持、更新、変更等に対応する。

情報セキュリティ方針は、当社の他の規程と同等の位置づけの文書とする。

(情報セキュリティ委員会)

第5条 当社は、当社情報セキュリティの実施を推進するため、部門横断で情報セキュリティ委員会を設け、全社的な情報セキュリティマネジメントを遂行する。

情報セキュリティ委員会は、以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティに関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。

(情報セキュリティマネジメント)

第6条 情報資産保護のため、情報セキュリティマネジメントを以下の通りに進める。

1. リスク分析

   当社の情報資産に関するリスクアセスメント、リスクマネジメント全般は、情報セキュリティ委員会が行うこととする。

2. 情報セキュリティポリシーの策定

   『情報セキュリティポリシー』とは、情報セキュリティ基本方針、情報セキュリティ方針および情報セキュリティに関連する規程類と定義する。

   『情報セキュリティポリシー』の策定・評価・レビューは情報セキュリティ委員会が行うこととする。対策手順書に関しては、情報セキュリティ委員会より指名された各情報システムの担当者が策定し、運用しなければならない。

3. 対策の実施

   当社で策定した『情報セキュリティポリシー』に記述した対策は、計画的に実装しなければならない。情報システム部は、セキュリティ対策実装のための計画書を策定し、情報セキュリティ委員会の承認を得なければならない。

4. 教育・啓蒙

   当社は、情報資産を扱うすべての者に対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティ教育を行うこととする。 当社の情報資産に関わるすべての者は、当社が実施する情報セキュリティの教育を受けなければならない。

5. 評価

   情報セキュリティ委員会は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティポリシー』に反映させなければならない。

(違反時における罰則)

第7条 当社は、情報セキュリティ違反者に対し、厳格な処置をとることとする。

情報セキュリティ委員会は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じることとする。

(情報セキュリティ侵害時の対応)

第8条 当社は、当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。

2024 年 9 月 1 日