実力婚活力検定協会は、独立行政法人情報処理推進機構(IPA)のSECURITY ACTION「★★二つ星」の要件を満たす以下の「情報セキュリティ基本方針」を策定し、当社のセキュリティ対策の根拠となる最上位文書として提示します。
情報セキュリティ基本方針
1.目的と適用範囲
1.1 目的
本方針は、実用婚活力検定協会(以下「当社」という)が保有・取り扱う情報資産(顧客情報、技術情報、経営情報、個人情報を含む)を、情報漏洩、改ざん、紛失、利用妨害などのあらゆるリスクから保護し、社会的信頼の維持と事業の継続性を確保することを目的とする。
1.2 適用範囲
本方針は、当社のすべての情報資産および、当社の業務に関わる全従業員(役員、正社員、契約社員、派遣社員、業務委託先社員などを含む)に適用する。
2.経営層の責務とコミットメント
代表者は、情報セキュリティを経営上の重要課題と位置づけ、本方針の順守を徹底し、情報セキュリティ体制の維持・改善に必要な資源(予算、人員、設備)を確保する責務を負う。
1.情報セキュリティ体制を確立し、維持・管理する。
2.情報セキュリティに関する法令、国が定める指針、その他の規範及び契約上の要求事項を順守する。
3.全従業員に対し、情報セキュリティに関する教育・訓練を定期的に実施する。
3.情報資産のリスク対策と具体的な取り組み
当社は、情報資産を保護するため、特に発生しやすい主要リスクを想定し、以下の具体的な対策を講じる。
| No. | 想定される主要なリスク | 具体的な対策(コミットメント) |
| 3.1 | 不正アクセス・マルウェア感染 (標的型攻撃メール、ウイルスなど) | セキュリティソフト(EPP/EDR)を全業務PCに導入し、常に最新の状態に保つ。OSおよび業務用ソフトウェアのアップデートを義務化する。 |
| 3.2 | 情報漏洩(PC・デバイス紛失・盗難) | 全業務PCにディスク暗号化機能を適用する。業務データを個人PCや私有デバイスに保存することを原則禁止する。 |
| 3.3 | アカウントの乗っ取り (フィッシング、パスワードリスト攻撃など) | すべての業務用クラウドサービスおよび顧客向けサービスについて、二要素認証(2FA)を義務化する。強力なパスワードを設定し、パスワード管理ツールを利用する。 |
| 3.4 | データ消失・業務中断 (機器故障、ランサムウェアなど) | 重要なデータは、クラウドストレージなどを利用し、定期的なバックアップを取得し、事業継続のためのデータ復旧手順を定める。 |
| 3.5 | インシデント発生時の対応遅延 | 情報セキュリティ上の問題が発生した場合に備え、初動対応手順および社内・社外(取引先・IPAなど)への連絡体制を明確に定め、全従業員に周知する。 |
4.順守および罰則
1.全従業員は、本基本方針およびこれに基づく関連規程(個別ルールブック)を順守する。
2.情報セキュリティ教育・訓練に全員が参加することを義務とする。
3.本方針および関連規程に違反した者に対しては、就業規則に基づき懲戒処分の対象とする。
5.継続的改善
情報セキュリティ体制は、技術や環境の変化に対応するため、定期的に評価し、継続的な改善(PDCAサイクル)を実施する。