情報セキュリティへの取組み｜株式会社YCC(株式会社ワイ・シー・シー)

１．情報セキュリティの目的

　当社及び当社のグループ会社（㈱ワイ・シー・シー・データエントリー）はITソリューションプロバイダとして顧客の重要なシステム及びデータ等を預かり、運用・開発を行っております。
　顧客に対し契約に基づく責任を果たすことは当然でありますが、さらに顧客システムに関して想定しうる情報セキュリティ事故を未然に防止し、顧客に安心と安全を提供することは、情報処理サービスのエキスパートであり顧客のビジネスパートナーとしての責任であり、当社の社会的責務となります。また情報セキュリティ事故は、当社自身の顧客信用の失墜及び機会損失につながるものであります。
　以上のような情報セキュリティの重要性を鑑み、当社業務の情報セキュリティを適切に実現および管理運営していく目的をもってセキュリティポリシーを設定しております。

３．適用範囲

　セキュリティポリシーの適用範囲は、当社及びグループ会社（㈱ワイ・シー・シー・データエントリー）（以下「当社グループ」という。）の管理する情報資産すべてとなります。
　当社グループの管理する情報資産は、当社グループの所有するものにとどまらず、顧客より預かり管理する情報資産を含みます。
　セキュリティポリシーにおける「情報」の範囲は、情報システム内に存在する電子的情報にとどまらず、文書、磁気媒体、端末画面、電話・FAX等のOA機器等すべての形態を含みます。
　セキュリティポリシーは、当社グループのすべての社員に適用されます。また、当社グループの役員等にも準用されます。
　当社グループの管理する情報資産を当社グループ以外の第三者が取り扱う場合においても、セキュリティポリシーに準拠した取扱いを実施する旨の契約を締結するように努めるものとします。

４．情報セキュリティの目標

当社グループは以下を情報セキュリティの目標としております。

適切な情報セキュリティ管理を実施し、情報セキュリティ事故を未然に防止します。情報セキュリティ事故の発生ゼロを目指します。

万が一、情報セキュリティ事故が発生した場合も、その被害を最小限にとどめ、迅速な復旧を行い、また再発を防止します。

情報セキュリティに関するPDCAサイクルを適切に実施し、情報セキュリティを常に向上させていきます。

５．情報セキュリティ組織体制

５．１情報セキュリティ委員会

　当社の情報セキュリティに関する問題を検討し、意思決定を行う機関として、経営者を委員長とし、関連する部門の代表者により構成される情報セキュリティ委員会を設置します。
　尚、㈱ワイ・シー・シー・データエントリーでは、マネジメントシステム委員会として組織されますが、セキュリティポリシーにおいては両社を含んで情報セキュリティ委員会として称しております。

５．２情報セキュリティ責任者

　情報セキュリティに関する責任者として、各部門に情報セキュリティ責任者を設置します。

５．３内部監査責任者

　当社グループの情報セキュリティ管理が適切に行われていることを監査するため、内部監査責任者を設置します。

５．４体制図

　当社は情報セキュリティにおける組織体制を定めております。

６．情報セキュリティ基本方針

６．１Ｎｅｅｄ　ｔｏ　Ｋｎｏｗの原則

　情報資産に対する権限は、業務上必要な者のみに必要な権限を与えるものとします。また、必要な情報を適時に利用できるようにするための適切な体制を構築します。

６．２情報資産の管理

　当社で取扱うすべての情報資産は、情報セキュリティ責任者によって適切に管理します。

６．３情報資産の分類と対策の選択