Information Security Policy

情報セキュリティ基本方針

Security Policy

ジャパンウエストライン株式会社(以下「当社」といいます)は、「The Intelligent Line. — すべての線に、知能を」の理念のもと、お客様の事業を支える情報インフラを提供する立場として、情報資産の保護が経営の根幹であると認識しています。
本方針は、当社の情報セキュリティに関する基本的な考え方を示すものであり、全役職員および業務委託先に対してその遵守を求めます。

1. 基本方針

当社は、自社およびお客様の情報資産を守ることを最優先とし、情報セキュリティの確保を事業継続の基盤と位置づけます。サイバー攻撃の高度化・巧妙化に対して、境界防御に依らないゼロトラストの設計思想を採用し、予防・検知・対応・回復の全プロセスを継続的に強化します。

2. 目的

本方針は、次の目的を達成するために制定されます。

  • お客様からお預かりする情報資産の機密性・完全性・可用性を維持すること
  • 当社の事業を継続的かつ安全に運営すること
  • 情報セキュリティに関する法令、規格、契約上の要求事項を遵守すること
  • 情報セキュリティ事故の予防および発生時の影響を最小化すること

3. 適用範囲

本方針は、当社が業務上取り扱うすべての情報資産(電子データ、書類、媒体、ソフトウェア、ハードウェア、ネットワーク等)に適用し、当社の全役職員、派遣・契約社員、業務委託先その他すべての関係者を対象とします。

4. 情報セキュリティの定義

当社は、情報セキュリティを次の 3 要素として定義します。

機密性 (Confidentiality)
認可された者だけが情報にアクセスできる状態を確保すること。
完全性 (Integrity)
情報が正確かつ完全な状態で保持され、改ざんされていないこと。
可用性 (Availability)
認可された者が必要な時に情報にアクセスできる状態を維持すること。

5. 経営者の責任

代表取締役は、情報セキュリティの最終責任者として、経営資源を適切に配分し、情報セキュリティマネジメントシステム(ISMS)の構築・運用・維持・改善を主導します。また、本方針および関連規程の遵守状況を定期的にレビューし、必要に応じて是正措置を講じます。

6. 組織・体制

情報セキュリティの実効性を確保するため、以下の体制を構築します。

  1. 最高情報セキュリティ責任者(CISO)の任命
  2. 情報セキュリティ委員会の設置(全社横断で方針策定・リスク評価・監査を所管)
  3. CSIRT(Computer Security Incident Response Team)の設置(インシデント発生時の初動・封じ込め・復旧を担当)
  4. SOC(Security Operation Center)の設置(24/365 の監視・脅威検知)
  5. 各部門における情報セキュリティ推進責任者の配置

7. 情報資産の管理

当社は、すべての情報資産を台帳により識別・分類し、機密度に応じた取扱ルールを定めます。情報資産の作成・利用・保管・移送・廃棄の全ライフサイクルにおいて、適切な保護措置を実施します。

8. 物理的・環境的セキュリティ

  • 重要区画への入退室管理、来訪者記録、監視カメラの設置
  • サーバ室・NOC・SOC の施錠管理と環境モニタリング
  • 電源・空調・防火等の設備冗長化
  • 機器・媒体の盗難・紛失防止および廃棄時の確実な情報消去

9. 技術的対策

当社は、次の技術的対策を標準として実装します。

アクセス制御
最小権限の原則、多要素認証(MFA)、特権アクセス管理(PAM)、ID ライフサイクル管理。
ネットワーク防御
次世代ファイアウォール、IDS/IPS、WAF、ゼロトラスト接続(ZTNA/SASE)、検疫ネットワーク(NAC)。
エンドポイント保護
EDR/XDR、次世代アンチウイルス、デバイス暗号化、MDM による端末管理。
監視・検知
SIEM によるログ集中管理、24/365 SOC 監視、AI 脅威検知、定期的な脆弱性診断。
データ保護
通信・保存データの暗号化、DLP による情報漏えい防止、バックアップと復旧手順の整備。
Wi-Fi セキュリティ
WPA3 / 802.1X / EAP-TLS、SSID / VLAN 分離、WIPS による不正 AP 検知、来客用の完全分離。

10. 従業者の責務・教育

当社は、全従業者に対して情報セキュリティ教育を定期的に実施し、本方針および関連規程の理解と遵守を徹底します。入社時および定期的に秘密保持誓約書を取得し、標的型メール訓練・インシデント演習等を通じて実践的な対応能力を養成します。

本方針または関連規程に違反した従業者に対しては、就業規則に基づき厳正に対処します。

11. 委託先の管理

業務の一部または全部を外部に委託する場合、当社は委託先の情報セキュリティ管理体制を事前に評価し、当社が求める水準を満たす相手方のみに委託します。委託契約には、機密保持義務、再委託の制限、監査権、事故発生時の報告義務等を盛り込み、委託期間中および終了後の適切な監督を行います。

12. インシデント対応・事業継続

情報セキュリティインシデントが発生した場合は、CSIRT を中心に、初動対応 → 影響調査 → 封じ込め → 復旧 → 再発防止の一連のプロセスを迅速に実施します。

また、災害・サイバー攻撃・システム障害等の有事においても事業を継続するため、事業継続計画(BCP)および災害復旧計画(DR)を策定し、定期的な訓練を通じて実効性を維持します。

13. 法令・規格の遵守

当社は、情報セキュリティに関する次の法令・規格・ガイドライン等を遵守します。

  • 個人情報の保護に関する法律(個人情報保護法)
  • 不正アクセス行為の禁止等に関する法律
  • 電気通信事業法
  • サイバーセキュリティ基本法
  • 経済産業省「サイバーセキュリティ経営ガイドライン」
  • ISO/IEC 27001 をはじめとする国際規格およびベストプラクティス
  • 業種別に求められる基準(PCI DSS、HIPAA、医療情報システムの安全管理に関するガイドライン 等)

14. 継続的改善

当社は、PDCA サイクルを通じて、情報セキュリティマネジメントシステムを継続的に改善します。内部監査および経営層によるマネジメントレビューを定期的に実施し、外部環境の変化・新たな脅威・規制の改正等に応じた方針および手順の見直しを行います。

15. 改定

本方針は、法令の改正、事業環境の変化、技術的進展等に応じて改定することがあります。改定後の方針は、当社ウェブサイトに掲載した時点から効力を生じます。

16. お問い合わせ窓口

本方針に関するお問い合わせは、下記窓口までご連絡ください。

ジャパンウエストライン株式会社

情報セキュリティ委員会

電話:082-430-2910(平日 9:00–18:00)

メール:info@japanwestline.jp

以上

Questions about our security practices?

セキュリティに関するご質問は、
お気軽にお問い合わせください

お問い合わせ 082-430-2910