Welbyグループ情報セキュリティ
基本方針
第1版 2015年 11月30日
第2版 2018年 11月15日
第3版 2024年 4月 1日
株式会社Welby
代表取締役 比木 武
株式会社Welby及びそのグループ会社(以下、「当社グループ」)にとって情報資産(情報および情報システム等)は、疾患ソリューション事業、PHR(パーソナル・ヘルスケア・レコード)事業、医療データ調査事業、及びそれに付帯する当社グループのビジネス活動において、利益を生み出していくための源泉であり、かつ最も重要な資産でもあります。また情報セキュリティ事故を未然に防止することは、社会的な責務です。
当社グループは、情報セキュリティ上の脅威から情報資産を保護するために、情報資産を正確かつ安全に取り扱い、経営戦略に沿った情報セキュリティを実現するとともに、お客様の信頼に応えていくものとします。
1.情報セキュリティの定義
情報資産の「機密性」、「完全性」、「可用性」を確保し、その有効性を継続することを指します。
2.目的
当社グループは、以下のセキュリティ目的を設定し、この目的を達成するための諸施策を確実に実施します。
- お客様との契約及び法的または規制要求事項を尊重し遵守する。
- 情報セキュリティ事故を未然に防止する。
- 情報セキュリティ上の脅威から情報資産を保護する。
3.情報セキュリティマネジメントシステムの構築
- 当社グループは、情報セキュリティに対する当社グループの取り組みに関する経営陣の意思を表明し、それに基づく主な行動指針を明確にすることにより、情報セキュリティマネジメントシステム(ISMS)を適切に構築・運用し、継続的に改善する。
- 当社グループは、ISMSの運営のために情報セキュリティ管理責任者と情報セキュリティ委員会を設置し、運用するために必要な組織体制を整備する。
- 当社グループは取り扱うすべての重要な情報資産のリスクを受容可能な水準に保つため、リスクアセスメントに関する体系的な手順と評価基準を定め、リスクアセスメントに基づく適切なリスク対策を講じる。
- 当社グループは、ISMSの維持向上のため全社員に対して定期的に教育を実施し、効果を測定する。
Welbyグループクラウドセキュリティ基本方針
第1版 2022年 7月5日
第2版 2024年 4月1日
株式会社Welby
代表取締役 比木 武
株式会社Welby及びそのグループ会社(以下、「当社グループ」)は、クラウドサービス及びそれに付帯する当社グループのビジネス活動において、情報セキュリティ上の脅威から情報資産を保護するために、ISMSで定めるWelbyグループ情報セキュリティ基本方針に加え、以下のWelbyグループクラウドセキュリティ基本方針を策定し、継続的に取り組んでまいります。
1.クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項
クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項を定め、サービス設計及び実装を行います。
2.認可された内部関係者からのリスク
リスクアセスメントで特定されたリスクに対し、適切な管理策を実施します。
3.仮想環境下での利用者データの隔離
仮想化されたマルチテナント環境を利用して、クラウドコンピューティング環境を論理的に隔離し、提供を行います。
4.クラウドサービスプロバイダの担当職員による、利用者の資産へのアクセス
サービス提供において必要とする作業を除き、利用者資産へのアクセスは行いません。アクセスを行う担当職員は特定し、必要最低限の人員にします。
5.アクセス制御手順
ご利用されるクラウドサービス管理画面に対し、適切な認証方式を整備いたします。
6.変更管理における利用者への通知
ご利用されるクラウドサービスに関する各種変更に関する通知は、当社グループホームページへの掲載等によりご連絡いたします。
7.仮想化セキュリティ
ISO27001規格に準じたPDCA活動により情報セキュリティ上の被害を未然に防ぎます。
8.利用者データへのアクセス及び保護
クラウドサービス上に保存される利用者の情報(クラウドサービス派生データを含む)及び関連資産について、適切に管理と保護を実施いたします。
9.利用者のアカウントのライフサイクル管理
利用者のアカウントは、当社グループが定める利用規約に基づき、利用者の責任により作成・管理いただきます。
10.違反の通知、並びに調査及びフォレンジックを支援するための情報共有指針
利用者に影響のある情報セキュリティ違反が発生した際は通知いたします。また、違反内容等の調査は当社グループにて実施し、必要に応じて結果を報告いたします。