セキュリティポリシー

株式会社ラスク（以下、「当社」といいます。）は、お客様および当社の情報資産を様々な脅威から保護することが社会的責務であると認識し、情報セキュリティの確保を経営の重要課題と位置づけています。以下のとおり、情報セキュリティポリシーを定め、情報セキュリティマネジメントシステムを確立し、維持・改善に努めます。

1. 基本方針

当社は、AI技術の研究開発およびシステム開発を主たる事業とし、お客様の機密情報や個人情報をはじめとする重要な情報資産を取り扱っています。これらの情報資産を適切に保護し、情報セキュリティを確保することで、お客様および社会からの信頼を維持し、企業価値の向上を図ります。

2. 情報セキュリティ管理体制

当社は、情報セキュリティマネジメントシステムの効果的な運用のために、以下の体制を構築します。

• 情報セキュリティ統括責任者（CISO）を任命し、情報セキュリティに関する意思決定と責任を明確化します
• 各部門に情報セキュリティ管理責任者を配置し、部門における情報セキュリティの推進を図ります
• 情報セキュリティ委員会を設置し、全社的な情報セキュリティ対策の企画・立案・実施・監査を行います

3. 情報資産の管理

当社は、情報資産を適切に管理するため、以下の対策を実施します。

3.1 情報資産の分類と管理

• 情報資産を機密性、完全性、可用性に基づいて分類し、重要度に応じた管理を行います
• 情報資産の台帳を整備し、適切な管理責任者を定めます
• 情報資産のライフサイクル（作成、利用、保管、廃棄）全般にわたって適切な管理を行います

3.2 アクセス制御

• 情報資産へのアクセス権限は、業務上の必要最小限とし、適切な承認プロセスに基づき付与します
• 利用者の識別・認証を確実に行い、不正アクセスを防止します
• アクセス権限の定期的な見直しを実施します

4. 物理的・環境的セキュリティ

当社は、情報資産を物理的脅威から保護するため、以下の対策を実施します。

• サーバー室など重要な設備を設置する区域への入退室を管理します
• 情報機器、記録媒体等の盗難・紛失を防止するための措置を講じます
• 火災、水害、地震等の災害に対する防災・減災対策を実施します
• 無停電電源装置（UPS）の設置など、電源障害への対策を講じます

5. 技術的セキュリティ

当社は、技術的な情報セキュリティ対策として、以下を実施します。

5.1 ネットワークセキュリティ

• ファイアウォール、IDS/IPS等のセキュリティ機器を導入し、外部からの不正アクセスを防止します
• 通信の暗号化（SSL/TLS、VPN等）により、データの盗聴・改ざんを防止します
• ネットワークの監視を実施し、異常なトラフィックや不正アクセスを早期に検知します

5.2 マルウェア対策

• 全端末にウイルス対策ソフトを導入し、常に最新のパターンファイルに更新します
• 電子メールのフィルタリングにより、不審なメールや添付ファイルをブロックします
• マルウェア感染時の対応手順を策定し、迅速に対処できる体制を整えます

5.3 脆弱性管理

• OS、ミドルウェア、アプリケーション等のセキュリティパッチを速やかに適用します
• 定期的な脆弱性診断を実施し、セキュリティ上の弱点を特定・改善します
• 開発時にセキュアコーディング基準を遵守し、脆弱性の作り込みを防止します

5.4 ログ管理

• サーバー、ネットワーク機器、アプリケーション等のログを適切に記録・保管します
• ログの定期的なレビューを実施し、セキュリティインシデントの兆候を検知します
• ログの改ざんを防止し、証跡としての信頼性を確保します

6. 人的セキュリティ

当社は、全従業員に対して情報セキュリティの重要性を認識させ、適切な行動を促すため、以下の施策を実施します。

• 入社時および定期的に情報セキュリティ教育・訓練を実施します
• 就業規則に情報セキュリティに関する規定を定め、違反時の罰則を明記します
• 秘密保持契約（NDA）を締結し、機密情報の漏えいを防止します
• 標的型攻撃メール訓練など、実践的な訓練を定期的に実施します

7. 委託先管理

当社は、業務委託先における情報セキュリティを確保するため、以下の対策を実施します。

• 委託先選定時に、情報セキュリティ対策の実施状況を評価します
• 業務委託契約に情報セキュリティに関する条項を盛り込みます
• 委託先の情報セキュリティ対策の実施状況を定期的に監査・評価します
• 委託業務終了時の情報資産の返却・廃棄を確実に実施します

8. インシデント対応

当社は、情報セキュリティインシデントが発生した場合、迅速かつ適切に対応するため、以下の体制を整備します。

• インシデント対応手順を策定し、関係者に周知します
• インシデント対応チーム（CSIRT）を設置し、緊急時の連絡体制を整備します
• インシデント発生時の報告ルートおよびエスカレーション基準を明確化します
• インシデントの原因分析を行い、再発防止策を講じます
• 重大なインシデントについては、適切な開示を行います

9. 事業継続管理

当社は、災害やシステム障害等が発生した場合でも、重要な業務を継続できるよう、以下の対策を実施します。

• 事業継続計画（BCP）を策定し、定期的に見直します
• 重要データのバックアップを定期的に取得し、遠隔地に保管します
• システムの冗長化や災害対策システムの構築により、可用性を確保します
• 事業継続計画に基づく訓練を定期的に実施します

10. 法令・規制の遵守

当社は、情報セキュリティに関連する法令、規制、契約上の要求事項を遵守します。

• 個人情報保護法、不正アクセス禁止法等の関連法令を遵守します
• 知的財産権を尊重し、ソフトウェアライセンス等を適切に管理します
• お客様との契約に定められたセキュリティ要求事項を遵守します

11. 監査と見直し

当社は、情報セキュリティマネジメントシステムの有効性を評価するため、以下を実施します。

• 情報セキュリティ対策の実施状況について、定期的に内部監査を実施します
• 必要に応じて外部の専門家による監査を受けます
• 監査結果、インシデント、技術動向等を踏まえ、本ポリシーおよび関連規程を定期的に見直します
• マネジメントレビューを実施し、継続的な改善を図ります

12. 違反時の対応

当社は、本ポリシーに違反した従業員に対して、就業規則に基づき厳正に対処します。また、違反により損害が発生した場合は、損害賠償を請求することがあります。

制定日：2020年4月1日
最終改定日：2026年1月1日