当社は、ISO27001の要求事項に準拠した情報セキュリティマネジメントシステム(ISMS)の構築を実施し、2019年4月にISO27001の登録認証を取得しました。
上記に加えて、当社のサービスであるWiMS/SaaSは、ISO27017の要求事項に準拠したクラウドセキュリティの構築を実施し、2024年4月にISO27017の登録認証を取得しました。
基本理念
企業の課題解決に IT 投資で期待されることは、業務プロセス改革をはじめとした競争力の強化につながるシステムであり、一方で制度変更、コンプライアンスやコーポレートガバナンスの法令施行に伴う情報システムの継続的改革であると認識しております。
当社は、その時々の「ベストなITシステム」実現の支援要請に応えるために、顧客企業様の現場に深く入り込み、トレンドなテクノロジーの適切な利用と、豊富な経験に基づく業務スキルで実現いたします。
確かなクオリティとタイムリーなサービスを『お客様に本質的なところでご満足いただける』精神で提供してまいります。
そして、企業様のビジネスパフォーマンス向上に共に歩めるパートナーとして進化の努力を続けてまいります。
お客様に適切なソリューションサービスを提供するには、必要な情報の開示を受け、時には当社で一時的にお預かりすることもあります。
こうした情報は、個人情報を含め、全てが秘密情報であると認識し、信頼にたり得る情報管理が出来た上で当社の事業が存立するものと捉えています。
当社では、2005 年 4 月にプライバシーマークの認証を受け、個人情報の適切な保護に努めてまいりました。この度、お客様の信頼をより一層高めるべく、JIS Q 27001:2023に準拠した情報セキュリティマネジメントシステムを構築し、情報資産全般の適切な保護に取り組んでまいります。
情報セキュリティ基本方針
記
当社は、当社が扱う情報とそれを保護するセキュリティの重要性を認識し、当社従業員全員がセキュリティに対する高い意識をもって行動することで、お客様を含む社会全体の信頼に応え、当社の事業の発展に尽力してまいります。
これを達成するために、以下に掲げる情報セキュリティ基本方針を定め、情報セキュリティマネジメントシステムを実行します。
- 法令・規範の遵守
当社は情報セキュリティへの取り組みを、当社事業遂行における重要課題のひとつと認識し、関連諸法令及びその他の規範を誠実に遵守します。 - 社内体制、情報セキュリティ管理規則の策定及び継続的改善
当社は、法令及びその他の規範に準拠した情報セキュリティ管理規則を策定し、遵守します。これを達成するためにトップマネジメントのリーダーシップによる管理体制を整備し、組織として意思統一された情報セキュリティ管理を実施します。 また組織として継続的に改善を図ってまいります。 - 情報資産の保護と継続的管理
当社は保有する情報資産の価値に応じた適切な情報セキュリティ対策を実施し、情報セキュリティ事故の予防に努めます。定常的な監視に加えて、セキュリティ事故が発生した場合には、あらかじめ定めた緊急時対策に基づいて迅速に対応し、被害を最小限に抑えるとともに再発防止に努めます。 - 情報セキュリティ教育・訓練の実施
当社は、業務に従事する全ての従業員に対して、情報セキュリティの重要性を認識させるとともに、情報資産の適切な管理および利用を行っていけるよう、情報セキュリティ管理規則を周知徹底し、必要な教育・訓練を実施します。 - 見直し及び継続的改善
情報セキュリティに関する社会的変化、技術的変化及び法令等の変化に対応するために、情報セキュリティマネジメントシステムの定期的な見直しと改善を図ります。 - 情報セキュリティ目的の設定
当社は、情報セキュリティ活動に対して可能な限り定量的な情報セキュリティ目的を設定し、継続的な改善に取り組みます。情報セキュリティ目的を定めるための枠組みとして以下の重点テーマを定めます。
(1)お客様に安心いただけるセキュリティ水準を満たした製品・サービスの開発・提供を進めます。
(2)情報資産を危険にさらす恐れのある脆弱性や脅威を、適切なリスクアセスメントで特定し、情報資産価値を維持する対策を決定します。
以上
制定日:2018年 11月30日
株式会社ソリューション・アンド・テクノロジー
代表取締役社長 中山 桂智
クラウドセキュリティ基本方針
記
当社は、クラウドサービスの提供にあたり、クラウドサービス固有のセキュリティリスクを適切に管理し対策していくため、情報セキュリティ基本方針を拡充し、以下のクラウドセキュリティ基本方針を定め、情報セキュリティの確保に継続的に取り組んでまいります。
- クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項
お客様からの情報セキュリティ要求事項および、当社の情報セキュリティ基本方針を適用し、サービスの設計及び実装を行います。 - 認可された内部関係者からのリスク
クラウドサービスに対して、情報セキュリティリスクアセスメントを実施し、特定したリスクに対し管理策を実施します。 - 仮想化を含むお客様データの隔離
個々のお客様のデータを仮想化技術及びミドルウェアによる論理的な分離を併用しての隔離により、それぞれの情報セキュリティを確保します。 - 当社の担当社員によるお客様の資産へのアクセス
サービス提供を継続するうえで必要とする作業を除き、お客様資産へのアクセスは行いません。アクセスを行う担当社員は特定可能な仕組みの下でアクセスします。 - アクセス制御手順
適切な認証方式を用意します。 - 変更管理におけるお客様への通知
お客様に影響のあるクラウドサービスの変更に関しては、お客様へ通知を致します。また、お客様向けサポートサイトへの掲載を必要に応じて実施いたします。 - 仮想化セキュリティ
当社のクラウドサービスは、仮想化環境下およびミドルウェアによる論理的な分離を併用した環境において、お客様のデータはお客様ごとに論理的に隔離され提供されます。 - お客様データへのアクセス及び保護
クラウドサービス派生データを含むお客様のデータは、適切に管理します。 - お客様のアカウントのライフサイクル管理
お客様のアカウントは、サービス利用期間中はお客様が管理いただけるようになっています。解約時はお客様のアカウント情報を速やかに削除いたします。 - 違反の通知、並びに調査及びフォレンジックを支援するための情報共有方針
お客様に影響のあるセキュリティインシデントが発生した場合、速やかに通知いたします。また調査及びフォレンジック支援のための情報は共有いたします。
以上
制定日:2023年10月1日
株式会社ソリューション・アンド・テクノロジー
代表取締役社長 中山桂智