制定 2004年8月20日
改訂 2023年7月27日
株式会社エフエム
代表取締役 玉城　亮

　株式会社エフエム（以下、「当社」）は、事業活動を正常かつ安全に行う上で、組織的な情報セキュリティ対策を実施することが経営上の最優先課題の一つであると捉え、当社及びクラウドサービスの情報資産を保護するための指針として、本基本方針を制定し、以下の通り実施・推進する。

基本方針

（1）当社は、組織的な情報セキュリティ対策を推進するために、情報セキュリティ委員会を設置し、同委員会を中心とした管理活動の下、情報セキュリティ活動を維持運用する。
（2）当社は、関連規定を制定して情報セキュリティマネジメントシステムの目標を定め、各情報資産の重要度に応じたセキュリティ対策を実施する。
（3）お客様（以下、「契約相手」）より預託を受けた個人情報を含む情報資産は、きわめて重要な情報であり、その管理は適切に行わなければならない。
（4）経営者、及び、全従業員は、情報セキュリティ意識の向上に努め、関連規定の趣旨をよく理解し、行動しなければならない。
（5）全従業員、契約相手及び関係する第三者は、情報セキュリティ管理において割り当てられた責任と権限に基づき、当社情報資産の保全に努めなければならない。
（6）契約相手及び関係する第三者には当社情報セキュリティに適合した行動を求め、その管理は適切に行わなければならない。
（7）情報セキュリティマネジメントシステム、それを構成する規定等は、事業上の要求事項、契約に基づくセキュリティ義務及び関係法規の要求事項に準拠しなければならない。
（8）当社は、当社のセキュリティ活動を遵守するために必要な教育、研修を実施する。
（9）本基本方針は、毎年定期的に見直し、必要に応じて改定する。
（10）クラウドサービスプロバイダとして、前述の（1）～（9）に加え、以下のクラウドサービスの情報セキュリティ方針を実施・推進する。

クラウドサービス情報セキュリティ方針

・クラウドサービスの設計及び実装
契約相手からの情報セキュリティ要求事項及び当社方針を適用し、クラウドサービスの設計及び実装を行う。

・クラウドサービスのリスク
クラウドサービスに対して実施したリスクアセスメントにて、特定されたリスクに対して管理策を実施する。

・クラウドサービスカスタマの隔離
契約相手個々の領域を定められた経路や境界点により保護する。

・クラウドサービスカスタマの資産へのアクセス
契約相手のデータを適切に扱うための教育及び訓練を定期的に実施する。

・アクセス制御手順
より安全性を強化した二段階認証を設定している。

・クラウドサービスカスタマへの通知
ユーザーサポートページに掲載する。必要に応じ個別にメールにて通知する。

・仮想化セキュリティ
当社の定める手順に則り適切な技術手段を実施する。

・アクセス及び保護
SLAに基づき適切に契約相手データへのアクセスおよび保護を実施する。

・アカウントのライフサイクル
当社の定める手続きに基づき、契約相手の責任において申請・管理する。

・違反の通知、並びに調査及びフォレンジックを支援するための情報共有指針
違反の通知、調査及びフォレンジック支援のための情報共有を実施する。
SLAで合意した手順に基づき実施する。

情報セキュリティ担当役員　立石　誠

情報セキュリティ統括責任者　奈良原　聡