セットインターナショナル株式会社(以下、当社という)にとって情報（個人情報および特定個人情報を含む）および情報システム（以下、「情報資産」と呼ぶ）は最も重要な資産であり、より有効な活用を図るとともにセキュリティ対策を徹底しなければなりません。私たちが永年にわたり築いてきたお客様との信頼関係を維持継続し、その研ぎ澄まされた感性と工夫を加えたクリエイティビティで、新しい価値を創造し、より発展していくためには、漏洩 事故等の発生を決して許してはなりません。また、新様式としての働き方を取り入れていく中でのセキュリティを担保する事も必要となります。情報資産は当社内で分散および共用されており、適正に管理するための ISMS（情報セキュリティマネジメントシステム）は不可欠です。したがって、当社は以下に挙げる方針の下、ISMSを推進します。

1. 情報セキュリティの定義

「情報セキュリティ」とは、情報資産を脅威から守り、情報の「機密性」「完全性」「可用性」を確保し維持することと定義します。

2. 情報セキュリティの目的

お客様からお預かりした情報および当社が保有する情報資産を保護し、リスクを適切に管理する事こそが利害関係者への信頼につながるものであり、情報セキュリティの目的です。

3. 情報セキュリティの目標

情報セキュリティに対する管理策の有効性や従業員の情報セキュリティに対する認識向上を目標と設定し、目標達成のために PDCA を通じて、効果的な ISMS を実現します。

• 適切な情報セキュリティ管理を実施し、情報セキュリティ事故を未然に防止する。
• 情報セキュリティ事故が発生した場合、その被害を最小限にとどめ、迅速な復旧を行い、再発を防止する。
• 全従業員が情報セキュリティに対する責任と手順を認識し、十分に訓練されることを確実にする。

4. 適用範囲

当社が業務において管理する情報資産すべてを適用範囲とします。またその対象者はその情報資産を取り扱う者すべてとします。なお、テレワーク利用者および外部委託先については、契約を締結し、基本的に本方針を援用適用します。

5.情報セキュリティ組織体制

リスクを総合的にマネジメントするために、社長は情報セキュリティ責任者としてCISOを任命します。CISOは「情報セキュリティ委員会(IS委員会)」を設置し、統括する事とします。IS委員会は情報セキュリティに関する啓蒙、アセスメント等を行い、CISOの承認、社長の最終承認を得る事としております。

リスクを総合的にマネジメントする為、必要に応じてCISOは社長へ報告することとし情報セキュリティマネジメントシステムの確立、実施、維持、継続的改善を実施していきます。

6. 資産の特定とリスクアセスメントの実施および管理策の選択

CISOおよびIS委員は、当社が取り扱う資産とその管理責任者を特定する事とします。そして、特定した業務フローに対してリスクアセスメントを実施し、その資産を保護するために合理的で適切な管理策を選択します。なお、インシデントに伴う資産の対応はCISOと社長にて検討課題とします。

7. 法令および規程の遵守

当社は、個人情報保護法ならびに特定個人情報保護法をはじめ、著作権法、不正アクセス行為の禁止等に関する法律など情報セキュリティに関する法令および業界のガイドライン、会社規程、取引先との契約上のセキュリティ義務などを誠実に遵守します。

8. 従業員の義務

当社のすべての従業員は、情報セキュリティ方針および ISMS に関するマニュアルならびに標準を遵守して行動します。違反した場合は、懲戒処分を適用します。

9. 教育

情報セキュリティ管理責任者の指示のもと、全従業員ならびに当社への出向者、外部委託先の従業員に本方針の内容を周知徹底し、情報セキュリティを維持するため、必要な教育を継続的に実施します。

10. 事業継続管理

セキュリティ事故などによる事業の中断を最小限に抑え、事業の継続性を確保するよう事業継続計画を導入し、当社の事業を継続することを確実にします。

11. 継続的改善

当社は内外からの監査を定期的に実施し、情報セキュリティ対策の合理性について客観的に評価すると共に、必要時に見直しを行って継続的改善を図っていきます。