POLICY

株式会社CAC identity

東京都中央区日本橋箱崎町24番1号 17F/10F

代表取締役 中西 英介

管理者名：代表取締役 中西 英介

こちらの問い合わせフォームより受付けております。

※当社は加盟しておりません

1）開示等の求めの申し出先

開示等のお求めは、こちらの問い合わせフォームよりお申し出ください。

※電磁的手続きによる開示等をご希望の方は、その旨お申し出ください。
原則としてご希望に沿って対応させていただきます。

2）開示等の求めに関するお手続き

①お申し出受付け後、当社からご利用いただく所定の請求書様式「保有個人データ開示等請求書」を郵送いたします。

②ご記入いただいた請求書、代理人によるお求めの場合は代理人であることを確認する書類、手数料分の郵便為替（利用目的の通知並びに開示の請求の場合のみ）を上記個人情報問合せ係までご郵送ください。

③上記請求書を受領後、ご本人確認のため、当社に登録していただいている個人情報のうちご本人確認可能な 2 項目程度（例：電話番号と生年月日等）の情報をお問合せさせていただきます。

④回答は原則としてご本人に対して書面（封書郵送）にておこないます。

3）代理人によるお求めの場合、代理人であることを確認する資料

開示等をお求めになる方が代理人様である場合は、代理人である事を証明する資料及び代理人様ご自身を証明する資料を同封してください。各資料に含まれる本籍地情報は都道府県までとし、それ以降の情報は黒塗り等の処理をしてください。また各資料は個人番号を含まないものをお送りいただくか、全桁を墨塗り等の処理をしてください。

①代理人である事を証明する資料

＜開示等の求めをすることにつき本人が委任した代理人様の場合＞

本人の委任状（原本）

＜代理人様が未成年者の法定代理人の場合＞いずれかの写し

戸籍謄本、住民票（続柄の記載されたもの）、その他法定代理権の確認ができる公的書類

＜代理人様が成年被後見人の法定代理人の場合＞いずれかの写し

後見登記等に関する登記事項証明書、その他法定代理権の確認ができる公的書類

②代理人様ご自身を証明する資料

運転免許証、パスポート、健康保険の被保険者証、住民票

4）利用目的の通知または開示のお求めについての手数料

1回のお求めにつき1,000円
（書面でのご請求の場合は、お送りいただく請求書等に郵便為替を同封していただきます。その他の方法でご請求いただく場合は、ご請求時にご相談させていただきます。）

ｇ）保有個人データの安全管理のために講じた措置

本ポリシーは当社の全事業分野（ITシステム開発・運用、情報提供サービス、講演・セミナー運営、ベンチャー支援、労働者派遣・職業紹介 等）に適用する。

当社に所属する全役員・社員（正規・契約・派遣を問わない）および当社業務に従事する外部委託先・協力会社のスタッフが対象となる。

保護対象となる情報資産は、当社が保有または管理するあらゆる情報（電子データ、文書、システム、設備等）とし、個人情報を含む全情報資産を対象とする。

クラウドサービスやリモートワーク、BYOD（個人所有端末の業務利用）など多様な作業環境下で利用する端末・サービスも本ポリシーの適用範囲に含める。

本ポリシーは「情報資産に対して適切な管理を確保すること」を目的とし、以下の項目に関し定義・明確化するものである。

• 当社における情報セキュリティの目的
• 情報資産に関わる者（役員、管理者、利用者、開発者等）の基本責務
• リスクマネジメント、並びに日常時、緊急対応時、および復旧時の情報セキュリティ管理策への取組み体制と責任
• 情報資産の管理と責任
• 特筆すべき事業上の要求事項、法的および規制要求事項、契約上の情報セキュリティ義務
• 情報資産の機密性・完全性・可用性（CIA）を確保することによる事業継続の維持
• ISMS（情報セキュリティマネジメントシステム）の確立・実施・維持・継続的改善
• プライバシーマーク制度（JIS Q 15001準拠）に準じて適切な管理策を講じての個人情報の安全管理
• 各種法令・規制と社内規程を遵守することによる、顧客・取引先からの信頼と社会的信用の向上

情報セキュリティ： 情報資産の機密性、完全性および可用性を維持すること。

情報資産： 当社が保有または管理するすべての情報（デジタルデータ、紙文書、システム、ソフトウェア、設備等）。経営上・業務上価値のある資産で、個人情報を含む全ての情報を指す。具体的には、情報システム、システム開発・運用・保守のための資料、施設･設備、書類、人間、企業イメージや信用が該当する。

個人情報： 生存する個人を識別できる情報（氏名、連絡先、ID、勤務先情報など）で、当社および当社グループが取得・保有するものをいう。

機密性（Confidentiality）： 情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。

完全性（Integrity）： 情報及び処理方法の正確さ及び完全である状態を防護すること。

可用性（Availability）： 許可された利用者が、必要なときに情報および関連する資産にアクセスできることを確実にすること。

情報セキュリティインシデント： 情報資産の機密性・完全性・可用性を損なう事象（情報漏洩、改ざん、不正アクセス等）のこと。

ISMS (情報セキュリティマネジメントシステム)： 情報セキュリティを適切に管理するための組織的な枠組み（方針・規程・手順・記録等の体系）。

リスクアセスメント: 情報資産に対する脅威と脆弱性を評価し、リスクを特定・定量化するプロセス。

情報システム： 一般的に業務処理を行うシステムのことで、ハードウェア、ソフトウェア、ネットワーク、記憶媒体等で構成される。

情報セキュリティポリシー： 情報資産の情報セキュリティ対策について、総合的、体系的かつ具体的にとりまとめたもの。情報資産を脅威から守るための基本的な考え方、並びに情報セキュリティを確保するための体制、組織および運用方針を含めた文書。

情報リスク： 当社の情報資産を脅かすことにより当社の継続的・安定的経営を阻害するもの、または阻害する恐れのあるもの。災害、事故、あるいは盗難、改ざん、破壊、漏洩行為などの不正行為などがこれにあたる。

情報リスクの評価基準: 情報リスクの評価は、情報資産の情報セキュリティ上の価値（機密性、完全性、可用性）を脅かす脅威および脆弱性（管理上のつけこまれやすさ）を基準とする。

すべての役員および社員は本ポリシーを遵守し、利用する情報資産の保護に努める責任を負う。

経営層（役員・管理職）： 情報セキュリティの重要性を認識し、必要な体制・資源を確保する責任を負う。方針・予算・組織体制を策定し、ISMS運営を主導する。

情報セキュリティ管理責任者： ISMSの構築・運用を統括し、リスクアセスメント、対策立案、社内教育、規程整備、内部監査等を実施する。

システム管理者： ネットワークやシステムのセキュリティ設定、アクセス制御、ソフトウェアの適切な更新・管理、ログ監視などを担当する。

全社員・従業員： 本ポリシーおよび関連規程・手順を遵守し、情報資産を適切に取り扱う。ログイン情報の管理、不正持ち出しの禁止、インシデントや不審な事象の迅速な報告を行う。

教育訓練： 全社員は定期的な情報セキュリティ教育・訓練を受講し、最新の脅威・対策を理解・実践する。新人研修・年次研修・フォローアップ研修を実施する。

(1) 私的利用の禁止
情報資産の私的利用を放置することは、当社の不利益となるばかりでなく、情報資産への脅威ともなりえるので、情報資産を私的な目的のために利用することを禁止する。

(2) 個人情報及び機密情報の保護
すべての業務において個人情報及び機密情報を保護しなければならない。

(3) 情報セキュリティ管理スキルの習得
個人情報及び機密情報を扱う者は、ＰＣなどの情報機器、印刷物の取り扱いおよびその破棄の方法、並びに役割に応じて、契約や法的および規制要求事項上の義務をよく理解しなければならない。
また研修やセミナーなどを通じて、職務に応じた情報セキュリティ知識を身につけなければならない。

(4) 本ポリシーの解釈
本ポリシーの解釈に疑問を持った場合には、主管部門に問い合わせ、確認を行わなければならない。

(5) 懲戒について
本ポリシーから逸脱した場合には社内規程に基づき処分される。また、逸脱の事実や逸脱の可能性を発見した場合は、速やかに主管部門に報告しなければならない。

リスク管理： 定期的に情報セキュリティリスクアセスメントを実施し、リスク軽減のための対応策を策定・実施する。リスク評価結果はマネジメントレビューに報告する。

内部監査： ISMS運用状況の定期的な内部監査を実施し、規程違反や改善点を是正する。監査結果は記録し、必要な改善措置を迅速に実行する。

インシデント対応： 情報セキュリティインシデント発生時には、速やかに所定の報告ルート（上長や情報セキュリティ部門）へ通知する。事実確認・原因調査を行い、再発防止策を策定・実施する。

事業継続対策： 重要情報の定期バックアップ、復旧訓練、BCP（事業継続計画）の策定・維持を行い、災害・障害発生時の業務継続性を確保する。

文書管理： 情報セキュリティに関する文書・記録（方針、規程、手順、会議議事録、監査報告等）は適切に管理・保管する。古い文書は改訂履歴に基づき廃棄・保存する。

全ての情報資産に対して情報セキュリティに関する責任の所在を明らかにするために、情報資産の責任者を明確に定める。

資産台帳・分類管理： 情報資産台帳を整備し、所有者・保管場所・分類レベル（機密・社外秘・一般）を明確化する。個人情報は別途個人情報台帳で管理し、管理責任者を定める。

管理責任者の明確化： 各情報資産には所有者（管理責任者）を割り当て、資産の利用・変更・廃棄に責任を持たせる。

ソフトウェアライセンス管理： 使用するソフトウェアは適正なライセンスで管理し、不正コピーを禁止する。ライセンス期限やバージョン更新を管理する。

媒体・機器の持出・廃棄管理： 機密文書・記録媒体は施錠保管し、搬出の際は上長承認を得る。不要になった媒体は安全に廃棄（シュレッダー処理、消去）する。モバイル端末やPCは紛失・盗難対策（暗号化、自動消去機能）を講じる。

アクセス権限管理： システム・ネットワークへのアクセスはID管理に基づき付与し、必要最小限の権限原則を徹底する。入退職時にはアカウントの新設・削除・権限変更を確実に行う。

法令・規制の特定： 情報セキュリティ・個人情報関連の国内外法令（個人情報保護法、電気通信事業法、著作権法、労働関連法規、派遣法等）および業界ガイドラインを特定し、要求事項を順守する。法令改正時には速やかにポリシーや規程を更新する。

プライバシーマーク制度： 個人情報の適正管理策として、プライバシーマークの審査基準に準拠し運用する。Pマークは「個人情報の取扱いが適切であるか」を評価し、基準適合事業者に付与される制度である。当社は取得事業者として継続的な適合を維持する。

その他基準・規格： ISO/IEC 27017/27018/27701 等のクラウド・プライバシー関連規格も参考にし、必要に応じて運用ルールに取り込む。顧客・取引先からのセキュリティ要件も順守する。

情報資産の責任者は、刑法および民法、その他の法令、規制または契約上の義務、ならびに情報セキュリティ上の要求事項に対する違反を避けなければならない。特に、個人情報保護や知的財産権に関する法律、規制に関しては、十分に理解し、管理を適切に行わなければならない。

また、ソフトウェアや情報機器を販売する場合には、暗号装置やソフトウェア等の輸出等に関する規制をよく理解し、法律違反とならないようにしなければならない。

開発、運用、コンサルテーション： 顧客から多くの情報を受領し業務を遂行するにあたり、情報資産の責任者は個人情報や機密情報などの情報資産を明確に定義し、契約上の情報セキュリティ義務をよく理解して情報セキュリティ要件を正しく判断しなければならない。

製品およびサービス提供： 情報セキュリティ要件や防御策について適切な情報を顧客に提供する責任を負う。

セキュア開発・運用： 当社が提供するシステム・サービスは、セキュア開発ライフサイクル（セキュリティ要件定義・設計、脆弱性診断・テスト）を順守する。提供物には認証機能や暗号化を実装し、脆弱性対策（パッチ適用など）を確実に行う。また、運用に際しては当社が管理すべき情報資産のリストを作成し、顧客の合意を取る必要がある。

契約書・仕様書での明示： 顧客向け製品・サービスの仕様書・契約書には情報セキュリティ要件（機密保持、個人情報取扱い、安全基準）を明記し、顧客および協力会社に説明する。必要に応じて社外秘契約（NDA）を締結する。当社の情報セキュリティポリシーが、顧客の要望と食い違う場合（特にコストが関係する場合に起こり得る）、当社の情報セキュリティポリシーやその目的を十分に説明し、顧客の理解を得ることが重要である。

セミナー・イベント運営： 講演・セミナー等で収集する参加者情報や資料は適切に管理する。オンラインイベントではシステムログイン情報の管理、セキュアな配信プラットフォーム利用のルールを定める。

派遣・委託業務： 労働者派遣や業務委託先で当社情報を扱う場合は、本ポリシーに準拠した運用を求める。委託先へは必要なセキュリティ要件（アクセス制限、情報廃棄ルール等）を説明し、遵守を徹底させる。

当社は外部協力会社社員（含むアルバイト）に対し、業務範囲内で本ポリシーおよび関連規程の遵守を契約条項で義務付ける。機密保持契約 (NDA) を締結し、情報漏洩防止措置を明確にする。また情報資産の利用を許可する場合には、派遣契約、業務委託契約、請負契約等の契約上に情報セキュリティ要件を記載し、本ポリシーを遵守させる。

情報の漏洩があった場合、協力会社に対して損害賠償請求を行う可能性があることを説明しなければならない。

協力会社の情報セキュリティ体制を評価し、必要に応じて立入検査や監査を行う。協力会社社員に対しても当社から情報セキュリティに関する説明等を提供することで本ポリシーに沿った指示、教育を事前に実施し、セキュリティ意識を共有する。

当社から協力会社へ提供するシステム・データアクセスは最小限に制限し、アクセスログを取得・監視する。協力会社が扱う当社データは暗号化や安全な伝送手段で管理し、外部流出の防止に努める。

組織的対策： 情報セキュリティ責任者を任命し、セキュリティ委員会や定期会議による運営体制を整備する。内部監査やマネジメントレビューを実施し、是正・改善を行う。

人的対策・教育： 全社員に対して年次セキュリティ教育を実施し、情報セキュリティの重

要性や具体的対策（パスワード管理、フィッシング対策等）を周知する。疑わしいメールやSNS等の注意喚起訓練も行う。

物理的対策： オフィス入退室管理（ICカード・来訪記録）、機密書類・媒体の施錠保管、防犯カメラの設置などにより、物理的アクセスを制御する。サーバ室やバックアップ保管場所への立入制限を徹底し、停電・火災対策（UPS、消火設備）を施す。

アクセス制御・認証： 情報システムへのアクセスは個人アカウントで行い、多要素認証やパスワード変更ルールを適用する。アクセス権は業務上必要最小限とし、定期的に権限を見直す。アカウントの貸与禁止やロックアウト機能の設定も徹底する。

ネットワーク・通信： 社内ネットワークはファイアウォールやIDS/IPSで監視・制御し、無線LANは強固な認証と暗号化（WPA3等）を行う。リモートアクセスにはVPNやSSL/TLSを必須とし、安全性を確保する。

端末セキュリティ： PC・サーバには最新のパッチ適用とウイルス対策ソフト導入を行う。端末はスクリーンロックを自動化し、暗号化ストレージやリモートワイプ機能を利用する。公私混在しないMDM（モバイル端末管理）ポリシーでBYOD端末を管理する。

バックアップと災害対策： 重要データは定期的に暗号化したうえで隔離した拠点へバックアップする。災害発生時には事業継続計画 (BCP) に従い、迅速にシステム復旧・業務再開を行う。バックアップデータの復元テストも定期的に実施する。

クラウドサービス管理： 利用するクラウドサービスはセキュリティ要件を満たすものに限定し、サービス提供者の認証や合意された利用契約（SLA）を遵守する。クラウド上のデータも暗号化等で保護し、アクセスログを取得する。

ログ管理と監視： システム・ネットワークのアクセスログや操作ログを取得・保存し、定期的にレビューする。不審なアクセスや異常を検知した場合は速やかに対処し、再発防止策を講じる。

インシデント対応： インシデント対応チームを編成し、発生時には手順書に従って原因究明・被害拡大防止・復旧措置を実施する。関係者への通知や外部報告が必要な場合は法令・社内ルールに従い適切に行う。

本ポリシーは少なくとも年1回以上、または法令改正・事業形態の変化・情報セキュリティ上の重大な事象発生時に見直しを行い、必要に応じて改定する。

ポリシーの改定は経営層の承認を経て行い、改訂履歴を記録する。改定後は全社員および協力会社に周知し、関係規程・手順書も合わせて更新する。

改 定 履 歴