READ

情報セキュリティポリシー

READ

情報セキュリティポリシー

READ

情報セキュリティポリシー

Security Policy

Last Updated: 2026/01/29

Last Updated: 2026/01/29

Last Updated: 2026/01/29

1. 基本方針

株式会社Mer(以下「当社」といいます。)は、当社の事業活動において取り扱う情報資産が、事業継続および社会的信頼の基盤であることを認識し、情報漏えい、改ざん、紛失、不正利用等のリスクに対して、組織的・技術的・人的な対策を講じることにより、適切な情報セキュリティの確保と継続的な向上を図ります。

当社は、本情報セキュリティポリシーおよび別途定めるプライバシーポリシーを順守し、情報資産を適正に管理・保護することで、お客さまおよび社会からの信頼に応えていきます。


  1. 情報セキュリティ管理体制

2-1 管理体制の構築

当社は、保有するすべての情報資産を保護するため、情報セキュリティに関する法令、ガイドライン、業界慣行を順守し、事業規模および事業内容に適した情報セキュリティ管理体制を構築・維持します。

2-2 最高情報セキュリティ責任者(CISO)の設置

当社は、最高情報セキュリティ責任者(CISO)を設置し、必要に応じて情報セキュリティ委員会を組織します。
これにより、全社横断で情報セキュリティ状況を把握し、リスク評価、対策立案、改善活動を継続的に実施します。

2-3 第三者認証および準拠状況

当社は、情報セキュリティ管理の客観的な証明として、以下の第三者認証取得および国際標準への準拠を推進しています:

・ISO27001(ISMS):情報セキュリティマネジメントシステムの導入・運用中、認証取得に向けた準備を進めています
・SOC2:クラウドサービスのセキュリティ管理基準への準拠に向けた体制整備中
・プライバシーマーク:個人情報保護体制の強化に向けて検討中

※認証取得状況は随時更新いたします。


  1. 内部規程およびルールの整備

当社は、本ポリシーに基づき、情報資産の分類、取り扱い、アクセス管理、保存、廃棄等に関する内部規程を整備します。
個人情報に限らず、業務情報、顧客データ、システム情報等のすべての情報資産について、明確な管理基準と責任区分を定め、違反行為に対しては厳正に対処します。


  1. 監査および継続的改善

当社は、情報セキュリティポリシーおよび関連規程への準拠状況について、内部監査を実施します。
また、必要に応じて外部監査や第三者評価を活用し、客観的な視点からの改善を継続的に行います。


  1. システムおよび技術的対策

当社は、クラウドファーストの方針に基づき、セキュリティ水準の高いSaaSおよびクラウドサービスを選定し、適切な設定・運用を行うことで情報資産を保護します。

5-1 クラウドセキュリティおよび責任共有モデル

当社は、業務効率化およびデータ管理のため、複数のクラウドサービスおよびSaaSを利用しており、これらのサービスが提供するセキュリティ機能を最大限活用しています。クラウドサービスにおけるセキュリティは、事業者と利用者の「責任共有モデル」に基づき管理されます。

【クラウド事業者の責任範囲】
・インフラストラクチャのセキュリティ(物理サーバー、ネットワーク、データセンター)
・プラットフォームのセキュリティ(OS、ミドルウェア、データベース)
・通信の暗号化(TLS 1.3 / TLS 1.2)
・データの暗号化保管
・可用性の確保とバックアップ

【当社の責任範囲】
・アクセス権限の適切な管理
・アカウントのセキュリティ設定
・利用者の教育・訓練
・データの分類と取扱いルールの策定

5-2 認証・アクセス管理

当社は、以下の認証・アクセス管理を実施しています:

【認証基盤】
・シングルサインオン(SSO):統合認証基盤を活用し、各種SaaSへの安全かつ効率的なログインを実現
・多要素認証(MFA):主要な業務システムへのアクセスにおいて、2段階認証を導入し、不正ログインを防止

【アクセス権限管理】
・役割ベースアクセス制御(RBAC):役割に応じた最小権限の原則を適用
・定期的な権限レビュー:不要な権限の定期的な見直しと削除
・退職者対応:退職者のアカウント即時無効化および権限剥奪

5-3 エンドポイントセキュリティ(従業員デバイス管理)

フルリモート体制の当社では、BYOD(Bring Your Own Device)を含む柔軟なデバイス利用を認めつつ、従業員が使用するすべてのデバイスにおいて、以下のセキュリティ対策を実施します:

【デバイスのセキュリティ対策】
・セキュリティ設定の徹底:

  • パスワードまたは生体認証によるデバイスロック

  • 自動ロック機能の有効化(5分以内を推奨)

  • OSおよびアプリケーションの最新化
    ・ウイルス対策ソフトの導入:全業務用デバイスへのセキュリティソフトウェア導入を推奨
    ・フルディスク暗号化:デバイス紛失時のデータ保護のため、暗号化(BitLocker、FileVault等)を推奨

【紛失・盗難時の対応】
・紛失時の速やかな報告義務
・リモートからのアカウント無効化
・必要に応じたパスワード変更

5-3-1 BYOD(Bring Your Own Device)ポリシー

当社は、従業員の働きやすさと生産性を重視し、BYODを認めています。これは、従業員が使い慣れたデバイスで業務を行うことで、効率性と柔軟性を向上させるためです。

一方で、BYODにはセキュリティリスクも伴うため、当社は以下の対策を講じています:

【BYODのセキュリティ対策】
・クラウドベースの業務環境:データは端末に保存せず、クラウド上で管理
・ブラウザベースのアクセス:可能な限りWebアプリケーションを利用し、端末へのデータ残存を最小化
・多要素認証(MFA):デバイスが紛失しても不正アクセスを防止
・アカウント無効化:紛失・盗難時の迅速なアカウント停止
・データの分離:業務データと個人データの明確な分離を推奨

これらの対策により、BYODでも高いセキュリティ水準を維持しています。

5-4 データ保護

【通信の保護】
当社が利用するクラウドサービスおよびSaaSは、業界標準であるTLS 1.2以上による暗号化通信を実装しており、通信経路におけるデータの盗聴・改ざんを防止しています。

【データの暗号化保管】
各SaaSプロバイダーは、保存データの暗号化(AES-256等)を実装しています。

【バックアップ】
当社が利用する各SaaSプロバイダーは、自動バックアップおよび地理的冗長化を実施しており、データの可用性と復旧可能性を確保しています。

当社は、これらのクラウドサービスが提供するセキュリティ機能を最大限活用することで、高水準のデータ保護を実現しています。

5-5 ログ管理および監査証跡

当社は、主要なSaaSにおいて以下のログ管理を実施しています:

・管理ログの記録:ログイン履歴、権限変更、重要データへのアクセス記録
・監査ログの確認:重要な操作履歴の定期的なレビュー
・異常検知:不正なログイン試行等の自動検知およびアラート設定
・ログ保管:セキュリティインシデント調査のための適切な期間のログ保管


  1. データバックアップおよび事業継続性

6-1 バックアップ方針

当社が利用する主要なSaaSプロバイダーは、以下のようなバックアップ体制を提供しています:

・リアルタイムバックアップ:主要なクラウドストレージおよびコラボレーションツール
・日次バックアップ:CRM、マーケティングオートメーション等の業務系SaaS
・地理的冗長化:複数のデータセンターでのデータ保管
・SLA準拠:各SaaSプロバイダーのService Level Agreementに基づく可用性保証

当社は、これらのバックアップ機能を活用しつつ、必要に応じて以下の対策を実施します:

・重要データのエクスポート:定期的な重要データのローカルバックアップ
・復旧テスト:年次でのデータ復元手順の確認

6-2 事業継続計画(BCP)

当社は、クラウドサービスの高可用性を前提としつつ、以下の事業継続対策を講じています:

【復旧目標】
・RTO(Recovery Time Objective / 目標復旧時間):主要SaaSの障害時、4時間以内に代替手段で業務再開
・RPO(Recovery Point Objective / 目標復旧時点):SaaSプロバイダーのバックアップ仕様に準拠(通常1時間以内)

【対応策】
・代替手段の確保:主要業務における複数のコミュニケーション手段の確保
・サービス監視:各SaaSプロバイダーのステータスページの定期確認
・訓練実施:年次での事業継続訓練の実施

※具体的なRTO/RPOは、各SaaSプロバイダーのSLA(Service Level Agreement)に依存します。


  1. AIおよび外部サービスの利用

当社は、業務効率化およびサービス品質向上のため、AI技術や外部クラウドサービス、SaaS、iPaaS等を利用する場合があります。
これらの利用にあたっては、以下を基本方針とします。

7-1 AI利用におけるセキュリティ方針

・利用目的の明確化:AI技術を利用する目的を明確にし、必要最小限の情報のみを取り扱う
・データ保護:AI学習用データの匿名化・仮名化による個人情報の保護
・プロバイダー評価:AI事業者のセキュリティ水準、データ取扱方針、契約条件を確認した上で利用
・顧客データの取扱い:顧客情報や機密情報をAIサービスに入力する際は、適切な管理措置を講じる

7-2 外部SaaS・クラウドサービスの利用基準

・セキュリティ評価:利用前に事業者のセキュリティ認証(ISO27001、SOC2等)を確認
・契約レビュー:データ所有権、責任範囲、SLA(Service Level Agreement)を契約で明確化
・シャドーIT対策:未承認のクラウドサービス利用を防止する仕組みの導入

7-3 SaaS選定におけるセキュリティ評価基準

当社は、新規SaaSを導入する際、以下の基準で評価します:

・セキュリティ認証の取得状況(ISO27001、SOC2等)
・データの保管場所(データレジデンシー)
・バックアップおよび可用性のSLA
・データ所有権および削除ポリシー
・サポート体制(日本語対応、緊急連絡先)
・契約条件(DPA: Data Processing Addendum)

これにより、高いセキュリティ水準を持つサービスのみを採用します。


  1. 情報セキュリティ教育・訓練

当社は、役員、社員、派遣社員等、情報資産を取り扱うすべての関係者に対して、情報セキュリティ教育および訓練を継続的に実施します。

8-1 教育内容

・入社時研修:情報セキュリティポリシー、社内規程の理解
・定期研修:年次での情報セキュリティ教育(eラーニングおよび集合研修)
・標的型攻撃訓練:フィッシングメール訓練等による実践的なセキュリティ意識向上
・役割別研修:システム管理者、開発者等の役割に応じた専門的な教育

これにより、情報セキュリティに関する意識とリテラシーの向上を図ります。


  1. 業務委託先の管理

当社は、情報資産の取扱いを業務委託する場合、委託先の適格性を事前に確認します。
また、当社と同等以上の情報セキュリティ水準を維持することを求め、契約および運用の両面から適切に管理・監督します。

9-1 委託先管理基準

・事前評価:委託先のセキュリティ体制、認証取得状況、実績の確認
・契約条項:秘密保持契約(NDA)、情報セキュリティ要件の契約書への明記
・定期監査:委託先の情報セキュリティ状況の定期的な確認・監査
・インシデント対応:委託先でのインシデント発生時の報告義務と対応手順の明確化


  1. 情報セキュリティインシデントへの対応

当社は、情報漏えい、システム障害等の情報セキュリティインシデントが発生した場合、被害の拡大防止、原因調査、再発防止策の実施を速やかに行います。

10-1 インシデント対応体制

・対応組織:CISO統括のインシデント対応チーム(セキュリティインシデント対応チーム)の設置
・検知体制:システム監視による異常の早期検知
・初動対応:

  • インシデント検知後30分以内に状況把握

  • 1時間以内に対策本部を設置し、初動対応を開始
    ・報告・通知義務:

  • 個人情報漏えい:個人情報保護法に基づき、個人情報保護委員会への報告および本人への通知を実施

  • 重大インシデント:影響を受けるお客さまへ24時間以内に第一報を通知
    ・再発防止:根本原因分析(RCA:Root Cause Analysis)を実施し、再発防止策を文書化・実装

10-2 インシデント発生時の連絡先

インシデントに関するご報告・お問い合わせは、以下の窓口までご連絡ください:

セキュリティインシデント専用窓口
Email:support@merinc.co.jp
Web:https://www.merinc.co.jp/contact


  1. 物理的セキュリティ

11-1 フルリモート環境におけるセキュリティ

当社は、フルリモート体制を採用しており、従業員が安全なリモートワーク環境で業務を遂行できるよう、以下のセキュリティ対策を実施します。

【リモートワーク環境の基本ルール】

作業環境
・セキュアな通信環境(信頼できるネットワーク)での業務実施
・公衆Wi-Fi利用時は、信頼できる接続方法の使用を推奨
・第三者に画面や会話を見聞きされない環境での業務実施

デバイス管理
・業務に使用するデバイスへの適切なセキュリティ設定(パスワード、自動ロック)
・紛失・盗難時の速やかな報告とアカウント無効化

書類・データ管理
・紙媒体での機密情報の出力を最小限に抑制
・不要な書類の適切な廃棄(シュレッダー処理または細断)
・クラウド保存を原則とし、ローカル保存の最小化

クリアデスク・クリアスクリーン
・離席時の画面ロック徹底
・作業終了時の機密情報の片付け

11-2 データセンターおよびインフラのセキュリティ

当社が利用するクラウドサービスのデータセンターは、以下のセキュリティ対策を実施しています:

・物理的な入退室管理(生体認証、24時間監視)
・自然災害対策(耐震構造、火災検知・消火システム)
・電源の冗長化(UPS、自家発電設備)

これらの物理的セキュリティは、クラウドプロバイダーの責任範囲として管理されています。


  1. 適用範囲

本ポリシーは、当社の企業活動において入手・保有するすべての情報資産を対象とし、これを取り扱う当社の役員、社員、派遣社員等および業務委託先ならびにその従業員に適用されます。


  1. ポリシーの見直し

当社は、技術動向、脅威環境の変化、法令改正等に応じて、本ポリシーを定期的に見直し、必要に応じて改訂します。


  1. お問い合わせ

情報セキュリティおよび個人情報の取扱いに関するお問い合わせは、以下よりご連絡ください。

株式会社Mer 情報セキュリティ窓口
Web:https://www.merinc.co.jp/contact
Email:support@merinc.co.jp


  1. 変更履歴

2026年1月29日:全面改訂
・クラウドファースト体制に基づくセキュリティ対策の明確化
・責任共有モデルの説明追加
・技術的対策の具体化(TLS 1.2以上、MFA、SSO等)
・BYOD(Bring Your Own Device)ポリシーの明記
・データバックアップおよび事業継続性の方針を追加
・インシデント対応体制の明確化(初動対応手順、RTO/RPO)
・フルリモート環境のセキュリティ対策を追加
・AI・SaaS利用におけるセキュリティ方針の明記
・第三者認証取得状況の開示

2025年1月1日:初版制定