アイピーシステム株式会社（以下「当社」）は、ソフトウェア開発事業を中核とし、社会的責任を果たし、顧客・取引先・従業員・株主を含むすべてのステークホルダーの信頼を確保することを使命とします。 当社は、情報資産を適切に保護し、情報セキュリティを経営の最重要課題の一つとして位置付けます。

本方針は、当社の事業活動に関連するすべての情報資産、従業員、契約社員、委託先、および関連する利害関係者に適用します。

当社は、ISMS（情報セキュリティマネジメントシステム）を確立・維持し、以下の原則に基づいて情報資産の「機密性・完全性・可用性」を保護します。

1. 法令・規制・契約上の要求事項の順守

   国内外の法令、規制、契約上の要求事項、及び当社の内部規程を順守します。個人情報保護法、GDPRなどのプライバシー関連法令にも対応し、ステークホルダーの期待に応えます。

2. リスク及び機会への対応

   情報資産に対するリスク及びビジネス機会を適切に特定・評価し、最適な管理策を講じます。リスク対応計画を策定し、残留リスクが受容基準を超える場合は、トップマネジメントが承認します。

3. 情報セキュリティ目的の設定と達成

   測定可能な情報セキュリティ目的を策定し、目的・達成期限・責任者・評価方法を明確にします。目的達成状況を定期的にレビューし、必要に応じ改善します。

4. クラウド・委託先・サプライチェーン管理

   クラウドサービス、SaaS、委託先業務を含む外部委託においても、社内と同等のセキュリティ管理を要求します。サプライチェーンリスクを定期的に評価し、必要な対策を講じます。

5. サイバーセキュリティ対策

   脅威インテリジェンスの活用、ランサムウェア・標的型攻撃等への対策を実施します。 セキュア開発・セキュア設定・データマスキング・DLP（情報漏えい防止）を含む先進的対策を推進します。

6. プライバシー保護

   個人情報およびプライバシー情報を適切に取り扱い、国内外の法令および契約要求を遵守します。必要に応じてISO/IEC27701等のガイドラインも参照し、プライバシー保護を強化します。

7. 教育・訓練と意識向上

   全従業員に対し、定期的な情報セキュリティ教育を実施します。模擬訓練やeラーニングなど、実践的な教育を推進します。違反行為については就業規則等に基づき適切な処分を行います。

8. インシデント対応

   情報セキュリティインシデントが発生した場合、速やかに原因を究明し、影響を最小化します。顧客・取引先・監督当局等への必要な通知・報告を適切かつ迅速に行います。

9. 事業継続とレジリエンス

   災害や事故、サイバー攻撃などの緊急事態に備え、ICTレジリエンスを強化します。年1回以上のBCP訓練を実施し、復旧時間目標（RTO）・復旧ポイント目標（RPO）を明確化します。

10. 継続的改善

    内部監査、マネジメントレビュー、定期的なリスク評価を通じ、ISMSの有効性を継続的に改善します。本方針は、年1回以上、または重要な変更が発生した場合にトップマネジメントがレビューします。

本方針は、当社従業員、取引先、顧客、その他の利害関係者に対し適切に公開します。

この情報セキュリティ方針は、トップマネジメントにより承認されました。