情報セキュリティ基本方針

1. 対象と目的

本方針は、エマルシア株式会社（以下「当社」）に関わるすべてのメンバー（正社員・業務委託を問わず）に適用されます。顧客データおよび社内情報を適切に保護し、信頼されるDXパートナーであり続けることを目的とします。

2. 基本ルール（全員必須）

① 端末管理

• OSおよびソフトウェアは常に最新状態を保つ
• ウイルス対策ソフトを導入し、定義ファイルを最新化する
• ノートPCはストレージ暗号化を有効にする（Windows: BitLocker、Mac: FileVault）
• 離席時は必ずスクリーンロックをかける

② パスワード管理

• パスワードマネージャーを使い、サービスごとに異なるパスワードを生成・管理する
• パスワードを自分で考えて設定したり、使い回したりしない
• すべての業務アカウントに多要素認証（MFA）を設定する
• 不審なログイン通知を受けた場合は即座に代表へ報告する

③ データ取り扱い

• 顧客データはGoogle Drive所定フォルダに保管し、ローカルへの複製を最小化する
• ローカルに保存した顧客データは、業務完了後30日以内に完全削除する
• ファイルはメールに添付せず、Google Driveのリンクで共有する

④ メール・コミュニケーション

• 添付ファイルやURLリンクは開く前に送信者を確認する
• 外部への一斉送信時はBCCを使用し、誤送信を防ぐ
• 不審なメールは開かず、代表へ転送・報告する

⑤ 無線LAN・ネットワーク

• 作業で使用するWi-FiはWPA2以上の暗号化が設定されているものを使う
• フリーWi-Fi（カフェ等）での顧客データ取り扱いは原則禁止

3. 守秘義務

業務上知り得た情報（顧客情報・社内情報・取引情報等）は、契約期間中および契約終了後2年間、第三者への開示・漏洩を禁止します。SNS・ブログ・口頭いずれも対象です。公開可能な情報か迷った場合は必ず代表に確認してください。

判断に迷ったら：「これを外部に話して問題ないか？」と一度自問する。迷ったら話さない、が原則。

4. 脅威情報の共有

以下の状況を把握した場合は、当日中にチャットまたは代表メールへ報告してください。

• フィッシングメール・不審メールを受信した
• マルウェア感染の疑いがある
• 業務アカウントへの不正アクセスの形跡がある
• 顧客・社内データの紛失・流出の可能性がある

5. セキュリティ事故対応手順

インシデントが発生・疑われた場合は、以下の手順で対応します。