Security Policy

1. 基本方針

株式会社Mer（以下「当社」といいます。）は、当社の事業活動において取り扱う情報資産が、事業継続および社会的信頼の基盤であることを認識し、情報漏えい、改ざん、紛失、不正利用等のリスクに対して、組織的・技術的・人的な対策を講じることにより、適切な情報セキュリティの確保と継続的な向上を図ります。

当社は、本情報セキュリティポリシーおよび別途定めるプライバシーポリシーを順守し、情報資産を適正に管理・保護することで、お客さまおよび社会からの信頼に応えていきます。

2. 情報セキュリティ管理体制

1. 管理体制の構築

   当社は、保有するすべての情報資産を保護するため、情報セキュリティに関する法令、ガイドライン、業界慣行を順守し、事業規模および事業内容に適した情報セキュリティ管理体制を構築・維持します。

2. 最高情報セキュリティ責任者（CISO）の設置

   当社は、最高情報セキュリティ責任者（CISO）を設置し、必要に応じて情報セキュリティ委員会を組織します。
   これにより、全社横断で情報セキュリティ状況を把握し、リスク評価、対策立案、改善活動を継続的に実施します。
   
   

3. 内部規程およびルールの整備

当社は、本ポリシーに基づき、情報資産の分類、取り扱い、アクセス管理、保存、廃棄等に関する内部規程を整備します。
個人情報に限らず、業務情報、顧客データ、システム情報等のすべての情報資産について、明確な管理基準と責任区分を定め、違反行為に対しては厳正に対処します。

4. 監査および継続的改善

当社は、情報セキュリティポリシーおよび関連規程への準拠状況について、内部監査を実施します。
また、必要に応じて外部監査や第三者評価を活用し、客観的な視点からの改善を継続的に行います。

5. システムおよび技術的対策

当社は、情報資産を取り扱うシステムについて、以下の方針に基づき対策を講じます。

• 不正アクセス、漏えい、改ざん、紛失、破壊、利用妨害等の防止

• 「need to know の原則」に基づくアクセス権限管理

• 業務・役割に応じた最小権限の付与

• クラウドサービスおよび外部SaaSの利用における責任範囲の明確化

• API連携や外部システム接続におけるセキュリティ管理

これらを通じて、データおよびシステムへのアクセスを適切に制御します。

6. AIおよび外部サービスの利用

当社は、業務効率化およびサービス品質向上のため、AI技術や外部クラウドサービス、SaaS、iPaaS等を利用する場合があります。
これらの利用にあたっては、以下を基本方針とします。

• 利用目的を明確にし、必要最小限の情報のみを取り扱う

• セキュリティ水準、契約条件、データ取扱方針を確認した上で利用する

• 顧客情報や機密情報については、適切な管理措置を講じる

7. 情報セキュリティ教育・訓練

当社は、役員、社員、派遣社員等、情報資産を取り扱うすべての関係者に対して、情報セキュリティ教育および訓練を継続的に実施します。
これにより、情報セキュリティに関する意識とリテラシーの向上を図ります。

8. 業務委託先の管理

当社は、情報資産の取扱いを業務委託する場合、委託先の適格性を事前に確認します。
また、当社と同等以上の情報セキュリティ水準を維持することを求め、契約および運用の両面から適切に管理・監督します。

9. 情報セキュリティインシデントへの対応

当社は、情報漏えい、システム障害等の情報セキュリティインシデントが発生した場合、被害の拡大防止、原因調査、再発防止策の実施を速やかに行います。
また、法令および契約に基づき、必要に応じて関係者への報告・通知を行います。

10. 適用範囲

本ポリシーは、当社の企業活動において入手・保有するすべての情報資産を対象とし、これを取り扱う当社の役員、社員、派遣社員等および業務委託先ならびにその従業員に適用されます。

11. お問い合わせ

情報セキュリティおよび個人情報の取扱いに関するお問い合わせは、以下よりご連絡ください。

→ https://www.merinc.co.jp/contact