情報セキュリティ基本方針
福山通運株式会社(以下「当社」)は、情報資産の保護と情報セキュリティの確保が極めて重要であるという認識のもと、本方針を制定いたしました。
当社は、この方針の内容を全ての役員および従業員に周知徹底し、確実に実施していくよう努めてまいります。(令和7年12月1日制定)
第1条 (目的)
本方針は、当社における情報資産を保護し、情報セキュリティを確保することにより、重要インフラサービスの安全かつ持続的な提供を実現することを目的とする。
また、情報セキュリティ対策の目的は、情報資産の機密性・完全性・可用性を維持し、業務の継続性を確保することである。
本方針は、関係主体(従業員、委託先、顧客、行政機関等)からの要求事項に適切に対応することを基本とし、経営層は本方針の実施に対して明確なコミットメントを示すものとする。
第2条 (対象範囲)
本方針は、当社が保有・管理・運用するすべての情報資産(情報システム、ネットワーク、ソフトウェア、データ、物理設備等)及びそれらを取り扱う全ての従業員、委託先、関係者に適用するものとする。
第3条 (組織方針への位置付け)
経営層は、情報セキュリティを単なる技術的課題ではなく、経営戦略及びリスクマネジメントの重要な要素として位置付けるものとする。経営方針及びリスクマネジメント方針に情報セキュリティの確保を明記し、組織全体が一体となってその実践に取り組む体制を構築・維持する責任を負うものとする。
第4条 (情報セキュリティ対策基準の策定)
セキュリティ統括責任者は、本方針に基づき、情報資産の保護に必要な技術的・組織的対策の基準を策定し、関係者に周知徹底するものとする。
対策基準には、アクセス制御、暗号化、脆弱性管理、インシデント対応、教育訓練等を含むものとする。
第5条 (組織内外のコミュニケーション)
経営層及び担当者層は、情報セキュリティに関する情報を平時から開示・共有し、インシデント発生時には迅速かつ透明性の高い情報発信を行うものとする。
第6条 (経営リスクとしての管理)
経営層は、情報セキュリティリスクを経営リスクとして認識し、情報システム及びサプライチェーン全体に対する対策を講じるものとする。
第7条 (責任及び権限の割当て)
経営層は、セキュリティ統括責任者、情報セキュリティ委員会、CSIRT等の体制を整備し、各担当者に責任及び権限を明確に割り当てるものとする。
CSIRTは、情報セキュリティインシデントの予防、検知、対応、復旧を専門的に担う組織であり、社内外の関係者と連携しながら迅速かつ的確な対応を行う責任を負う。
第8条 (資源の確保)
経営層は、情報セキュリティ対策に必要な予算、人材等の資源を継続的に確保し、適切に配分するものとする。
第9条 (監査及びモニタリング)
セキュリティ統括責任者は、対策の運用状況を定期的に経営層に報告し、経営層は監査及びレビューを通じてその有効性を確認するものとする。
第10条 (情報開示)
経営層は、情報セキュリティに関する方針、体制、対応状況等を可能な範囲で開示し、ステークホルダーとの信頼関係を構築するものとする。
第11条 (継続的改善)
セキュリティ統括責任者は、監査結果、自己点検、最新動向等を踏まえ、情報セキュリティ関係規程の見直し及び改善を継続的に実施するものとする。