進工合同会社（以下「当社」といいます）は、「LCK EC」（以下「本サービス」といいます）の提供にあたり、お客様からお預かりする情報資産及び当社が保有する情報資産の機密性、完全性、可用性を維持することが、当社の重要な社会的責務であると認識しております。

当社は、情報セキュリティの確保を経営上の最重要課題の一つと位置づけ、以下の情報セキュリティ方針を定め、役員及び従業員に周知徹底し、情報セキュリティの維持・向上に努めます。

本方針における「情報資産」とは、以下のものを指します。

1. お客様の個人情報及び取引情報
2. 当社の事業活動に関する情報（営業情報、技術情報、経営情報等）
3. 情報システム（ハードウェア、ソフトウェア、ネットワーク機器等）
4. 上記情報を記録した媒体及び書類

当社は、情報セキュリティを確保するため、以下の管理体制を構築します。

2.1 情報セキュリティ責任者の設置

当社は、情報セキュリティ責任者を設置し、情報セキュリティに関する統括管理を行います。

2.2 情報セキュリティ委員会の設置

情報セキュリティに関する重要事項を審議・決定するため、情報セキュリティ委員会を設置します。

2.3 部門責任者の任命

各部門に情報セキュリティ責任者を配置し、部門内の情報セキュリティの維持・向上を図ります。

当社は、情報セキュリティに関連する以下の法令、国が定める指針、その他の規範を遵守します。

• 個人情報の保護に関する法律
• 不正アクセス行為の禁止等に関する法律
• 電子署名及び認証業務に関する法律
• 特定電子メールの送信の適正化等に関する法律
• その他情報セキュリティに関連する法令・規範

また、お客様との契約に基づく守秘義務を遵守し、情報資産の適切な管理を行います。

当社は、情報資産を様々な脅威から保護するため、以下の対策を実施します。

4.1 技術的対策

1. アクセス制御：情報システムへのアクセスを適切に制限し、認証・権限管理を実施します。
2. 暗号化：重要な情報資産については、暗号化技術を用いて保護します。
3. ウイルス対策：最新のウイルス対策ソフトウェアを導入し、コンピュータウイルス等の不正プログラムからシステムを保護します。
4. ファイアウォール：外部ネットワークからの不正アクセスを防止するため、ファイアウォールを設置します。
5. 侵入検知・防御：不正アクセスの試みを検知・防御するシステムを導入します。
6. ログ管理：システムへのアクセスログを記録・保存し、定期的に監視します。
7. 脆弱性管理：システムの脆弱性を定期的に診断し、必要な対策を講じます。

4.2 物理的対策

1. 入退室管理：情報システムが設置されている区域への入退室を管理します。
2. 施錠管理：重要な情報資産を保管する場所は、施錠管理を徹底します。
3. 機器の管理：情報機器の持ち出し、持ち込みを適切に管理します。
4. 媒体の管理：情報を記録した媒体（USBメモリ、CD-ROM等）の取扱いルールを定め、管理します。
5. 廃棄管理：情報資産を廃棄する際は、復元不可能な方法で処理します。

4.3 人的対策

1. 従業員教育：全従業員に対し、情報セキュリティに関する教育・訓練を定期的に実施します。
2. 秘密保持契約：従業員及び業務委託先との間で秘密保持契約を締結します。
3. 権限の明確化：情報資産へのアクセス権限を明確にし、必要最小限の権限を付与します。
4. 職務分離：重要な業務については、職務を分離し、相互牽制が働く体制を構築します。

4.4 組織的対策

1. 規程の整備：情報セキュリティに関する規程・手順を整備し、定期的に見直します。
2. リスク評価：定期的に情報セキュリティリスクの評価を行い、必要な対策を講じます。
3. 監査の実施：情報セキュリティ対策の実施状況について、定期的に内部監査を実施します。
4. 委託先の管理：業務委託先における情報セキュリティ対策の実施状況を確認・監督します。

当社は、情報セキュリティインシデント（情報漏えい、不正アクセス、ウイルス感染等）が発生した場合に備え、以下の対応体制を整備します。

5.1 インシデント対応体制

情報セキュリティインシデントの発生に迅速に対応するため、インシデント対応チームを編成します。

5.2 報告・連絡体制

インシデントを発見した従業員は、直ちに情報セキュリティ責任者に報告します。情報セキュリティ責任者は、速やかに経営層及び関係部門に連絡し、対応を指示します。

5.3 初期対応

1. 被害の拡大防止措置を講じます
2. 証拠の保全を行います
3. 原因の調査を実施します

5.4 事後対応

1. 影響範囲の特定と被害状況の把握
2. お客様及び関係者への通知（必要に応じて）
3. 監督官庁への報告（法令に基づく場合）
4. 再発防止策の策定と実施
5. インシデント対応の検証と改善

当社は、災害、システム障害等の非常時においても、お客様へのサービス提供を継続できるよう、以下の対策を講じます。

1. バックアップ：重要な情報資産については、定期的にバックアップを取得し、安全な場所に保管します。
2. 事業継続計画：非常時における業務継続のための計画（BCP）を策定し、定期的に訓練を実施します。
3. 災害対策：地震、火災、水害等の災害に備えた対策を講じます。
4. システムの冗長化：重要なシステムについては、冗長化を図り、可用性を確保します。

当社が本サービスの提供にあたりクラウドサービスを利用する場合、以下の点を確認します。

1. クラウドサービス提供事業者の情報セキュリティ対策の妥当性
2. データの保管場所及び管理方法
3. サービスレベル（可用性、バックアップ等）の保証
4. 契約終了時のデータ返却・削除手順
5. 監査及び証明書の取得状況（ISO27001、SOC2等）

当社は、全従業員に対し、情報セキュリティに関する教育・訓練を実施します。

8.1 新入社員研修

新たに採用した従業員に対し、情報セキュリティの基本的な知識と当社の規程を周知します。

8.2 定期教育

全従業員に対し、年1回以上、情報セキュリティに関する教育を実施します。

8.3 専門教育

情報システムの管理者等に対し、専門的な知識・技術の習得のための教育を実施します。

8.4 訓練

情報セキュリティインシデント対応訓練、不審メール対応訓練等を定期的に実施します。

当社は、情報セキュリティ対策の実施状況を定期的に監査・点検します。

1. 内部監査：年1回以上、情報セキュリティに関する内部監査を実施します。
2. 自己点検：各部門において、定期的に情報セキュリティ対策の実施状況を自己点検します。
3. 外部監査：必要に応じて、外部の専門機関による監査を受けます。
4. 改善：監査・点検の結果、問題点が発見された場合は、速やかに改善措置を講じます。

当社は、情報セキュリティマネジメントシステムの継続的な改善に取り組みます。

1. 技術の進歩、環境の変化に応じて、情報セキュリティ対策を見直します
2. インシデントや監査の結果を踏まえ、必要な改善を行います
3. 情報セキュリティ方針及び関連規程を定期的に見直し、更新します
4. PDCAサイクル（Plan-Do-Check-Act）に基づき、継続的な改善活動を推進します

本サービスを安全にご利用いただくため、お客様におかれましても、以下の点にご注意ください。

1. ログイン情報の管理：ユーザーID、パスワード等のログイン情報は厳重に管理し、第三者に開示しないでください。
2. パスワードの設定：推測されにくい強固なパスワードを設定し、定期的に変更してください。
3. 共有の禁止：アカウントを他者と共有しないでください。
4. 不正アクセスの防止：公共のWi-Fi等、セキュリティが確保されていないネットワークからのアクセスはお控えください。
5. ソフトウェアの更新：ご利用のOS、ブラウザ、セキュリティソフトは常に最新の状態に保ってください。
6. 不審な挙動の報告：システムに不審な挙動を発見された場合は、速やかに当社までご連絡ください。

情報セキュリティに関するお問い合わせは、以下の窓口までご連絡ください。

制定日：2024年11月4日

最終改定日：2024年11月4日

本方針は、必要に応じて見直し、改定することがあります。