制定日: 2025年7月11日

承認者: 代表取締役 二村 慈哉

1. 基本方針

株式会社エフ&ブレインズ(以下「当社」といいます。)は、お客様およびパートナー企業様の信頼を維持し、ECサイト、OMS、WMSのデータ連携サービス(以下「本サービス」といいます。)で取り扱う情報資産をあらゆる脅威から保護するため、ここに情報セキュリティポリシーを定めます。当社は、本ポリシーに基づき、情報セキュリティ管理体制を確立し、全従業員がこれを遵守することで、情報資産の機密性、完全性、可用性を確保し、継続的な改善に努めます。

2. 適用範囲

本ポリシーは、当社の管理下にある、本サービスの提供に関わる全ての情報資産(販売者および購入者の機密データを含む)ならびに、当社の役員、従業員、および業務委託先等、これらの情報資産にアクセスするすべての者に適用します。

3. 情報セキュリティ体制と継続的改善

  1. 当社は、情報セキュリティ管理の責任者として、情報セキュリティ管理責任者を任命し、情報セキュリティを統括する体制を構築します。
  2. 経営層が参加する会議体(情報セキュリティ委員会等)を定期的に開催し、情報セキュリティに関する重要事項を審議、決定します。
  3. 本ポリシーは、内外の環境変化や新たな脅威に対応するため、少なくとも年1回、または重大な変化があった場合に見直しを行い、経営層による承認を得た上で更新します。

4. データ保護と暗号化

  1. 当社は、取り扱う情報資産をその重要性に応じて分類し、適切に管理します。
  2. 個人情報を含むすべての機密データは、保管時にはAES-256または同等以上の強度を持つ暗号化方式を用いて暗号化します。
  3. インターネットを含む公共のネットワークを介してデータを転送する際は、TLSv1.2以上のプロトコルを用いて通信経路を暗号化し、データの盗聴や改ざんを防止します。

5. アクセス制御

  1. 当社は、「知る必要性(Need-to-know)」および「最小権限(Least privilege)」の原則に基づいたアクセス制御を実施します。
  2. 従業員および業務委託先の情報資産へのアクセス権限は、業務上の役割と責任に応じて必要最小限に限定して付与します。
  3. 情報システムへのアクセスログは、1年以上保持し、不正なアクセスを検知・追跡できる体制を整備します。
  4. すべての従業員のアクセス権限は、少なくとも年1回定期的にレビューを行い、異動、退職、役割変更に応じて遅滞なく見直しを実施します。

6. 技術的セキュリティ対策

6.1 ネットワークセキュリティ

当社は、従来の社内ネットワークに依存しないゼロトラスト・セキュリティモデルを採用しています。これにより、全てのアクセスを信頼できないものとして扱い、通信の都度、厳格な認証・認可を行います。物理的な境界ではなく、クラウドサービス(GCP)の仮想ネットワーク(VPC)上で、以下の対策を講じます。

  • クラウドネイティブな不正侵入検知・防御システム(Cloud IDS/IPS)を活用し、脅威を常時監視・防御します。
  • クラウド環境におけるファイアウォールルールを適用し、不要な通信をすべて遮断します。

6.2 エンドポイント保護

業務に使用する全てのサーバーおよびクライアント端末に、ウイルス対策ソフトまたはホスト侵入防止システム(HIPS)を導入します。定義ファイルは常に最新の状態に保ち、定期的なセキュリティスキャンを義務付けます。

6.3 セキュリティベースライン

安全な業務環境を維持するため、以下のセキュリティ基準を全社的に適用します。

  • パスワードは、文字数、大文字・小文字、数字、記号の組み合わせなど、十分に複雑なものを要求します。
  • 管理者権限を持つアカウントには、多要素認証(MFA)の適用を必須とします。
  • 業務用端末は、15分以上操作がない場合に自動的にスクリーンロックがかかるよう設定します。
  • 全従業員に対し、定期的な情報セキュリティ意識向上トレーニングを実施します。

7. 脆弱性管理

  1. 当社は、システムおよびソフトウェアの脆弱性情報を継続的に収集・評価し、リスクの高い脆弱性に対しては速やかに対策を講じます。
  2. 定期的に脆弱性スキャンを実施し、システムのセキュリティ状態を把握します。
  3. 脆弱性スキャンおよびペネトレーションテストの結果は、報告書として保管し、改善活動に活用します。

8. インシデント管理

  1. 当社は、情報セキュリティインシデントの発生に備え、検知、報告、対応、復旧、再発防止に至るまでの手順を定めたインシデント対応計画を整備します。
  2. インシデント対応計画の有効性を検証し、担当者の対応能力を向上させるため、インシデント対応訓練を実施します。
  3. 発生したインシデントについては、その内容、影響、対応策をインシデント報告書として記録し、レビューを通じて再発防止策を徹底します。

9. 法令および契約の遵守

当社は、情報セキュリティに関連する法令、規制、規範、ならびにパートナー企業様との契約上のセキュリティ義務を遵守します。