信息安全基本方针
鉴于最近信息安全风险的增加对本公司业务活动的影响,AICC 公司(以下简称 “本公司”)将适当保护本公司活动中使用的所有信息资产视为重要的经营课题。 我们致力于管理信息安全风险,并确保我们的管理人员、员工和合作者了解并遵守《信息安全政策》、《云安全政策》和单独的《个人信息保护政策》,这些政策以基本原则为基础,并符合以下内容。
- 基本原则
- 我们公司的愿景是 “一个所有人都能满意地生活和死亡的世界”。 本公司以 “让所有人都能满意地生活和死亡的世界 ”为愿景开展业务。 我们为医疗机构和药店提供在线医疗服务,开发数字疗法、临床开发数字解决方案,并开发和提供保险服务。 我们在业务过程中处理的信息资产,包括客户信息,对我们的管理平台极为重要。 我们认识到包括董事和员工在内的信息资产处理人员遵守本政策和保护信息资产的重要性,并在信息资产的保密性、完整性和可用性方面开展维护信息安全的活动。
- 信息安全基本方针
-
1. 遵守法律法规和客户合同
为了保护信息资产,我们将制定信息安全方针,并根据该方针开展业务,同时遵守与信息安全相关的法律、法规和其他规范,以及与客户签订的合同条款。2. 适用范围
本政策适用于公司在业务活动中处理的 “信息资产”。 信息资产是指公司拥有、运营和管理的信息、数据、信息系统、网络和设备,涵盖公司在发展业务过程中认为必要的所有有形和无形物品。3.信息资产的保护
明确信息资产存在泄漏、损坏、丢失等风险的分析评估标准,建立系统的风险评估方法,定期进行风险评估。 根据评估结果,采取必要和适当的安全措施。4. 建立信息安全系统
建立以管理团队为中心的信息安全体系,明确信息安全的权责。5. 实施教育和培训
应定期开展教育、培训和宣传活动,确保所有员工都能认识到信息安全的重要性, 并妥善处理信息资产。6. 实施定期检查和审计
定期对信息安全政策的遵守情况和信息资产的处理情况进行检查和审计,发现不足或改进项 目,及时采取纠正措施。7. 安全事件和事故的处理
针对信息安全事件和事故的发生采取适当的措施,在发生此类事故时,事先制定应对程序,将损失降到最低,在发生紧急情况时,迅速采取行动,采取适当的纠正措施。8. 业务连续性管理
我们将针对可能导致业务中断的事件建立管理框架,并进行定期审查,从而确保公司业务的连续性。9.对违反本基本政策行为的处理
公司所有员工均应遵守本基本方针,如有违反,将根据雇佣条例给予纪律处分。10. 持续改进
我们将建立并实施信息安全管理系统,设定实现基本方针的目标,并持续审查和改进。
- 云安全基本政策
-
1. 云服务的设计和实施
应确定适用于云服务设计和实施的信息安全要求,并进行服务设计和实施。2. 管理内部利益相关者的风险
针对风险评估中确定的风险实施适当的控制措施。3. 虚拟环境中用户数据的隔离
我们利用云服务提供商提供的虚拟环境对云计算环境进行逻辑隔离。4. 限制员工访问用户资产
除提供服务所需的任务外,不允许访问用户资产。 对可访问的员工人数进行规定并保持在最低水平。5. 访问控制
在云服务管理屏幕上采用适当的身份验证方法。6. 通知用户变更
对用户有影响的云服务变更通知将通过通知功能等传达。7. 数据的访问控制和保护 将根据责任范围对云服务处理的数据实施适当的访问控制和保护。
8. 账户管理
根据云服务的使用条款,由用户负责管理用户账户。9. 信息共享
我们将通知用户任何影响他们的信息安全漏洞。 我们还将对违规详情进行调查,并在必要时报告调查结果。
2024 年 10 月 30 日修订
株式会社 AICC
代表董事 紀伊幸次郎