Information security policy

情報セキュリティ基本方針 / Basic Policy on Information Security 

株式会社デザインカフェ(以下、当社)は、お客様からお預かりした情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに従業員、社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。

本方針(情報セキュリティ基本方針)は独立行政法人情報処理推進機構(IPA)が推進する情報セキュリティ診断(TOP)、に基づき、当社の実情に合わせ独自に策定したものです。また策定にあたり、下記の手引きを参照に規定しています。
中小企業のためのクラウドサービス安全の手引き(IPA発行)
Web 会議サービスを使用する際のセキュリティ上の注意事項(IPA発行)
テレワークを行う際のセキュリティ上の注意事項(IPA発行)

1.経営者の責任 / Management’s Responsibility

当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。

  1. 経営者が、情報および物理セキュリティに対しての意識を持ち、継続的に維持改善していくために、定期的なチェックを行なっています。
  2. 情報資産に対してのセキュリティコストを適切に捻出し、安全に安心して業務に取り組める環境づくりに務めています。
  3. 「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」とする「need to knowの原則」に則り、情報を取り扱います。
  4. 基本方針における情報とは、当社が企業活動において入手および知り得た情報ならびに当社が業務上保有する全ての情報を対象とし、この情報の取り扱いおよび管理に携わる当社の「役員、社員」および当社の情報資産を取り扱う「業務委託先およびその従業員」が順守することとします。

2.社内体制の整備 / Development of internal systems

当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。

  1. 就業規則を通じた情報資産の定義、守秘義務の周知、定期研修を実施し、情報資産の適切な取り扱いを周知しています。
  2. お客様からお預かりしたデジタルファイル、各種資料はもちろん、弊社の成果物も含め、情報資産の機密性、完全性、可用性に基づいたアクセス権をスタッフ及び再委託先に設定し、業務での運用および管理を行なっています。
  3. 情報資産を適切に管理し、専門家の助言のもと技術的な対策を行なっています。
  4. 各種クラウドサービス、コミュニケーションツールなど外部サービスについても、セキュリティ対策が担保されたサービスを使用し、データセンター等が国内で運用管理され、国内法が適用されるサービスのみ利用しています。
  5. スタジオ及びラボ内へのアクセスはスマートセキュリティロックで物理的に監視し、スタッフ以外のアクセスを遮断しています。
  6. サイバーセキュリティ監視、ファイルサーバーをバックオフィス側で一元的にコントロールできる体制を整えています。
  7. テレワーク時におけるリスクマネジメントとして、当社規定のウェブ会議システムの使用、指紋認証ログイン、PC紛失時の追跡設定とディスクアクセス設定、クラウドへのアクセス遮断設定、VPNによるWiFI利用の徹底、エンドポイントセキュリティの実装を行なっています。

3.従業員の取組み / Employees’ efforts

当社の従業員は、情報セキュリティの為に必要とされる知識、技術を習得し、情報セキュリティの取組みを確かなものにします。

  1. お客様からお預かりしたデジタルファイル、各種資料はもちろん、弊社の成果物も含め、情報資産の機密性、完全性、可用性に基づいたアクセス権をスタッフ及び再委託先に設定し、業務での運用および管理を行なっています。
  2. 社内のファイルサーバーのログ管理、クラウドウェアのファイルアクセスログなど、情報資産へのアクセス履歴を管理しています。
  3. OSの定期的な更新、各種ソフトウェアのバージョンアップとセキュリティパッチ設定、無線LANの通信時の暗号化(VPN)の定期的なチェックと見直しを実施しています。

4.法令及び契約上の要求事項の遵守 / Compliance with legal and contractual requirements

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。

  1. 各種クラウドサービス、コミュニケーションツールなど外部サービスについても、セキュリティ対策が担保されたサービスを使用し、データセンター等が国内で運用管理され、国内法が適用されるサービスのみ利用しています。
  2. セキュリティ関連のソフトウェア、ハードウェアともにグローバルリスクの低い国で開発された製品で運用しています。

5.違反及び事故への対応 / Response to Violations and Accidents.

当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。

  1. 社内のファイルサーバーのログ管理、クラウドウェアのファイルアクセスログなど、情報資産へのアクセス履歴を管理しています。
  2. 社内スタッフへのインシデント発生時の伝達と対応方法について研修を通じて周知しています。
  3. サイバーセキュリティ保険に加入し、リスクファイナンシングで危機発生時の損失を担保しています。

「SECURITY ACTION」について / About SECURITY ACTION

Designcafe™は、独立行政法人情報処理推進機構(IPA)が推進する、情報セキュリティーの啓発運動「SECURITY ACTION」の二つ星を宣言しています。主にプロジェクトでやりとりされる各種資料データーや成果物としてのデザインデーター、個人情報等を重要な情報資産と捉え、適切な環境下で取り扱っています。「SECURITY ACTION」についてはこちらをご覧ください。

  

発効日:2019年5月20日(改定:2023年1月31日)
株式会社デザインカフェ
代表取締役 平澤 太(情報セキュリティ責任者)
マネージャー桑澤暁子(情報セキュリティ担当者)
連絡先:03-6661-1650