(情報セキュリティ・サイバーセキュリティ基本方針)
当社において、情報資産(情報および情報システム等)はクラウドサービス事業の根幹をなす最重要資産です。お客様から預かる情報を守ることは社会的責任であり、経営の最優先事項の一つです。
当社はサイバー攻撃の高度化・巧妙化を重大な経営リスクとして認識します。金融機関をはじめとする重要情報を委ねてくださるお客様に対して、情報セキュリティとサイバーセキュリティの両面から継続的に対策を強化し、信頼に応えてまいります。
この方針のもと、以下のセキュリティ目標を定め、達成に向けた諸施策を誠実に実施します。
適用される法令・規制・お客様との契約上のセキュリティ要件を遵守します。ISO/IEC 27001(ISMS)をはじめとする国際標準に基づき、金融機関向けセキュリティ要件にも対応したセキュリティ管理を実施します。
情報資産の機密性・完全性・可用性を確保し、脅威から継続的に保護します。当社は、情報資産の機密性・完全性・可用性を確保し、あらゆる脅威から保護に努めます。すべての情報資産に対し、定められた基準に基づくリスクアセスメントを実施し、その結果に応じた最適なセキュリティ対策を講じることで、情報の安全性を担保します。
代表取締役 CEOを最高責任者とし、経営層が指定するセキュリティ統括責任者を置きます。情報セキュリティ委員会を設置し、セキュリティ施策を審議・決定・監督します。取締役会へ定期的にセキュリティ状況を報告します。
技術的サイバー攻撃(不正アクセス・マルウェア感染・ランサムウェア・脆弱性の悪用等)に専門的に対応するため、CSIRT(Computer Security Incident Response Team)を設置します。CTO/CPOがCSIRT実務統括として技術現場を指揮し、コンティンジェンシープランに定める体制で迅速に対応します。万が一、重大なインシデントが発生した場合には、お客様および関係機関に対して、法令および契約に基づき迅速かつ適切な通知・報告を実施します。
サイバー攻撃を想定した脅威シナリオに基づくリスク評価を定期的に実施し、対策を講じます。外部のセキュリティ専門機関と連携し、サイバー脅威に関する最新情報を継続的に収集します。
脆弱性情報を継続的に収集・評価し、深刻度に応じた優先対処を行います。定期的な外部ペネトレーションテストにより対策の有効性を検証します。
外部委託先に対してもセキュリティ要件を定め、契約に明記するとともに適切な管理を行います。
全従業員に対して定期的なセキュリティ教育・サイバー攻撃を想定した訓練を実施します。
本方針の実施状況を定期的に見直し、脅威環境・法令の変化に応じて改善を続けます。本方針は全従業員に周知し、遵守を求めます。
以上
2026年5月20日 改定
UPWARD株式会社
UPWARD株式会社は、情報セキュリティマネジメントシステム(ISMS)に関する国際標準規格「ISO/IEC27001:2022 / JIS Q 27001:2023」の認証を受けました。このISMS認証取得により、弊社がセキュリティ面において適切な情報管理体制となっていることが第三者審査登録機関によって証明されました。認証取得の概要は次の通りです。
