NGO Umbilical Cord(以下、「本法人」といいます)は、ご利用者の皆様の個人情報や機密情報を適切に保護し、安全なサービスを提供するために、以下のセキュリティポリシーを定めます。
1. セキュリティポリシーの目的
当法人は、情報の機密性、完全性、可用性を確保し、サイバー攻撃や情報漏洩などのリスクを最小限に抑えることを目的とします。本ポリシーは、ご利用者および職員の安全を確保し、サポートの信頼性を向上させるために策定されます。
2. 適用範囲
本ポリシーは、当法人のすべての職員、パートナー、委託業者、および当法人が管理するシステム、ネットワーク、データに適用されます。
3. 情報セキュリティ管理体制
当法人は、以下の対策を講じ、情報セキュリティの管理体制を確立します。
- セキュリティ責任者の設置:情報セキュリティ管理責任者(CISO)を任命し、適切な対策を講じる。
- 情報資産の分類:情報の重要度に応じて分類し、適切な管理方法を策定する。
- リスク管理の実施:定期的なリスクアセスメントを行い、脅威への対応策を検討する。
4. 個人情報の保護
当法人は、プライバシーポリシーに従い、以下の措置を講じて個人情報を保護します。
- アクセス制御:職員ごとに適切なアクセス権限を設定し、不要な情報へのアクセスを制限する。
- データ暗号化:個人情報および機密データは、適切な暗号化技術を用いて保護する。
- 情報の最小取得:必要最小限の個人情報のみ取得し、不要な情報の収集を回避する。
- 廃棄ポリシー:不要になった個人情報は、安全な方法で適切に削除または破棄する。
5. ネットワークおよびシステムのセキュリティ対策
当法人は、以下の技術的対策を講じ、ネットワークおよびシステムのセキュリティを確保します。
- ファイアウォールおよび侵入検知システムの導入
- 最新のセキュリティパッチおよびソフトウェアの適用
- ウイルス対策ソフトの導入と定期的なスキャン
- 職員による不正アクセス防止対策の実施(多要素認証の適用など)
6. 教育・啓発活動
当法人は、セキュリティ意識の向上を図るため、以下の施策を実施します。
- 定期的なセキュリティ研修の実施
- 内部通報制度の整備(情報漏洩やサイバー攻撃の兆候を早期に報告できる仕組みの構築)
- フィッシング詐欺対策やパスワード管理の指導
7. 外部委託先の管理
当法人は、情報処理業務を外部委託する場合、以下の基準を満たす委託先を選定し、適切な契約を締結します。
- 情報セキュリティ対策が十分に講じられていること
- 機密保持契約(NDA)を締結すること
- 定期的な監査を行い、適切な運用がなされていることを確認すること
8. セキュリティインシデント対応
当法人は、情報漏洩、サイバー攻撃、データ改ざん等のセキュリティインシデントが発生した場合、以下の対応を実施します。
- 迅速なインシデント対応チームの招集
- 影響範囲の特定と速やかな封じ込め
- 関係機関(警察、専門機関など)への報告および連携
- 再発防止策の策定と実施
9. コンプライアンス(法令遵守)
当法人は、個人情報保護法、サイバーセキュリティ関連法、その他の関連法規を遵守し、必要に応じて運用を見直します。
10. セキュリティポリシーの見直し
当法人は、技術の進歩や新たな脅威に対応するため、定期的に本ポリシーを見直し、必要に応じて更新します。
制定日:2025年1月1日(最終改定日:2025年1月1日)