メインコンテンツへスキップ

Legal

情報セキュリティ方針

株式会社ネッコス(以下「当社」といいます。)は、お客様・取引先・従業員から預かる情報資産が事業活動の根幹であることを認識し、これを適切に保護することを社会的責務と位置づけます。当社は本方針に基づき、情報セキュリティの確保に組織として取り組みます。

第1条(基本方針)

  1. 当社は、情報資産の機密性・完全性・可用性を維持するため、情報セキュリティに関する組織体制を整備し、継続的な改善を行います。
  2. 当社は、個人情報保護法その他の関連法令、当社と取引先との契約および社会的規範を遵守します。
  3. 当社は、本方針を全役職員に周知し、業務委託先および外部パートナーに対しても本方針に整合した行動を求めます。

第2条(適用範囲)

本方針は、当社が事業活動を通じて取り扱うすべての情報資産(電子データ・書類・口頭による情報を含む)、および以下の対象に適用されます。

  • 当社の役員および全従業員(雇用形態を問わず、派遣社員・業務委託先の常駐スタッフを含む)
  • 当社の事業活動に関わる業務委託先・再委託先
  • 当社が運営する Web サイト(https://neccos.jp/)および当社が提供するサービス(AI アシスタントを含む)

第3条(推進体制)

  1. 当社は、代表取締役を最高情報セキュリティ責任者として、情報セキュリティに関する最終責任を負わせます。
  2. 代表取締役の下に情報セキュリティ責任者および個人情報保護管理者を置き、本方針に基づく具体的な施策の立案・運用・点検を行います。
  3. 役職員は、それぞれの職務において情報セキュリティを確保する責任を負います。

第4条(安全管理措置)

当社は、情報資産を保護するため、以下の安全管理措置を講じます。

(1) 組織的安全管理措置

  • 情報セキュリティに関する社内規程の整備および運用
  • 情報資産の重要度に応じた分類と取扱いルールの設定
  • 定期的な内部点検およびマネジメントレビュー
  • インシデント発生時の対応体制(CSIRT 機能)の整備

(2) 人的安全管理措置

  • 役職員に対する入社時および定期的な情報セキュリティ教育の実施
  • 役職員との秘密保持契約の締結
  • 退職時のアクセス権限剥奪・情報資産の返還手続の整備

(3) 物理的安全管理措置

  • 事業所への入退室管理
  • 書類および電子記録媒体の施錠保管
  • 業務用端末の盗難・紛失対策(暗号化、画面ロック、リモートワイプ機能の有効化)

(4) 技術的安全管理措置

  • 役職員ごとのアクセス権限管理および最小権限原則の適用
  • 多要素認証の導入(業務システム・クラウドサービス・GitHub・Vercel・Google Workspace 等)
  • 通信の暗号化(HTTPS / TLS)および保存データの暗号化(API キー・シークレットの AES-256 暗号化保管を含む)
  • マルウェア対策ソフトの導入および脆弱性パッチの適用
  • サーバー・アプリケーションのアクセスログの取得と監視
  • 定期的な脆弱性監視および第三者によるセキュリティレビューの実施
  • ソースコードのバージョン管理および変更レビュー(GitHub Pull Request 経由)
  • 本番環境への変更における承認プロセスの運用

第5条(個人情報の保護)

  1. 当社は、個人情報の取得・利用・保管・提供・廃棄の各段階において、個人情報保護法および関連ガイドラインを遵守します。詳細は プライバシーポリシー をご参照ください。
  2. 当社は、個人情報の漏えい・滅失・毀損を防止するため、第4条に定める安全管理措置を講じます。
  3. 当社は、お客様からの開示・訂正・利用停止等の請求に対し、本人確認のうえ法令に従い適切に対応します。

第6条(外部委託先・利用クラウドサービスの管理)

  1. 当社は、業務の一部を外部に委託する場合、委託先の情報セキュリティ水準が当社の要求を満たすことを確認し、契約等により秘密保持義務および情報セキュリティ対策の遵守を求めます。
  2. 個人データの取扱いを伴う委託に際しては、個人情報保護法第25条に従い委託先を適切に監督します。
  3. 当社が利用する主要な外部サービスは以下のとおりです。各サービスについては、提供事業者のセキュリティ認証(SOC 2、ISO 27001 等)および利用契約・データ処理契約(DPA)に基づき、当社内の運用ルールを定めて利用しています。
    • クラウドホスティング: Vercel Inc.(米国)
    • 生成 AI 基盤: OpenAI, L.L.C.(米国)、Google LLC(米国)
    • サイト分析: Google LLC(Google Tag Manager / Google Analytics、米国)
    • ソースコード管理: GitHub, Inc.(米国)
    • 業務メール・コラボレーション: Google LLC(Google Workspace、米国)
    • SMTP メール配信: 利用中の SMTP プロバイダ(wp-mail-smtp 経由)
  4. 外国にある第三者への個人データの提供を伴う場合は、個人情報保護法第28条に従い必要な対応を行います。

第7条(教育・訓練)

  1. 当社は、役職員に対して、入社時および年に 1 回以上、情報セキュリティに関する教育を実施します。
  2. 教育内容には、個人情報保護法、情報セキュリティ事故事例、フィッシング対策、AI サービスの安全な利用、機密情報の取扱いを含めます。

第8条(インシデント対応)

  1. 情報セキュリティインシデント(情報漏えい、不正アクセス、マルウェア感染、サービス停止を伴う障害等)が発生し、または発生のおそれが認められた場合、役職員は速やかに情報セキュリティ責任者に報告します。
  2. 情報セキュリティ責任者は、インシデントの内容に応じて以下の対応を行います。
    • 影響範囲の特定および被害拡大の防止
    • 関係する個人・取引先への通知
    • 監督官庁・個人情報保護委員会への報告(個人情報保護法第26条等の対象に該当する場合)
    • 原因究明および再発防止策の策定・実施
    • 必要に応じた公表
  3. 当社は、利用者・取引先からのセキュリティに関する報告窓口を設置し、誠実に対応します(第10条参照)。

第9条(継続的改善)

  1. 当社は、本方針および情報セキュリティに関する取り組みを定期的に見直し、社内外の環境変化、技術動向、法令改正、インシデント事例を踏まえて継続的に改善します。
  2. マネジメントレビューを年に 1 回以上実施し、必要に応じて本方針を改訂します。

第10条(お問い合わせ・脆弱性報告窓口)

本方針に関するお問い合わせ、当社サービスに関する情報セキュリティ上の懸念・脆弱性報告は、以下の窓口までご連絡ください。当社は、報告者を尊重し、誠実に対応します。

株式会社ネッコス 情報セキュリティ担当
〒110-0016 東京都台東区台東一丁目24番2号 ISM秋葉原 4階
メール: security@neccos.jp
お問い合わせフォーム: /contact/

改訂履歴

  • 制定: 2026 年 XX 月 XX 日

最終更新日: 2026 年 XX 月 XX 日