当サイトでは、より良いサービスを提供するためにクッキーを使用しています。クッキーの使用に同意しますか?
ポリシー所有者:熊澤 洸平
発効日:2025年2月19日
本情報セキュリティポリシーは、株式会社mutexの従業員、パートナー、会社を、個人による違法または有害な行為から保護することを目的としています。これには、故意または不注意によるものを含みます。
インターネット/イントラネット/エクストラネットに関連するシステム(コンピューター機器、ソフトウェア、オペレーティングシステム、ストレージメディア、電子メール、Webブラウジング、ファイル転送を提供するネットワークアカウントを含む)は、株式会社mutexの所有物です。これらのシステムは、通常の業務の過程で、会社、クライアント、顧客の利益のために業務目的で使用されます。
効果的なセキュリティは、チームによる取り組みであり、情報またはシステムを取り扱う株式会社mutexのすべての従業員または請負業者が参加‧協力することではじめて実現します。このポリシーを読んで理解し、それに従って活動することは、チームメンバー全員の責務です。
本ポリシーは、情報セキュリティポリシーを伝達し、株式会社mutexの情報と資産の許容される使用と保護に関する概要を示すことを目的としています。これらのルールは、顧客、従業員、株式会社mutexを保護するために設けられています。情報や資産を不適切に使用すると、ウイルス攻撃、ネットワークシステムおよびサービスの侵害、財務‧レピュテーションリスク、法律‧コンプライアンスの問題など、株式会社mutexにさまざまなリスクがもたらされます。
株式会社mutexの「情報セキュリティポリシー」は、本ポリシーと、本文書内で言及またはリンクされているすべての株式会社mutexのポリシーで構成されています。
本ポリシーは、株式会社mutexの業務を遂行するため、または社内のネットワークおよびビジネスシステムとやり取りするために使用される情報、電子機器、コンピューティングデバイス、ネットワークリソース(所有‧借用者が株式会社mutexか、従業員か、サードパーティかにかかわらず)に適用されます。株式会社mutexおよびその子会社のすべての従業員、請負業者、コンサルタント、臨時雇用者、その他の労働者は、株式会社mutexのポリシーや基準、および現地の法規に従って、情報、電子機器、ネットワークリソースの適切な使用に関して適切な判断を下す責任を負います。
本ポリシーは、株式会社mutexの従業員、請負業者、コンサルタント、臨時雇用者、その他の労働者、サードパーティに所属するすべての関係者に適用されます。本ポリシーは、株式会社mutexが管理するすべての企業‧顧客データ、および株式会社mutexが所有または借用しているすべての機器、システム、ネットワーク、ソフトウェアに適用されます。
すべてのユーザーには、ポリシー違反や確認されたセキュリティ上の弱点など、セキュリティに関する既知または疑わしい事象やインシデントを報告する義務があります。インシデントは、このメールアドレス(tech.cs@reze.app)宛に直ちに、または可能な限り速やかに報告する必要があります。
インシデントや観測した事象を、関連する詳細情報とともにレポートで説明してください。
当社の内部告発者ポリシーは、不適切な行為や行動に対処および是正できるように、従業員およびその他の関係者に対し、社内で深刻な懸念を提起することを奨励し、可能にすることを目的としています。全従業員は、当社の倫理規定に対する違反、または当社の業務を律する法規に対する違反の疑いに関する懸念について、報告する責任を負います。
倫理違反や法律違反の疑い(例:差別、不正、規制違反の疑い)を善意で報告した従業員または非従業員に対して報復することは、当社の価値観に反します。善意で違反を報告した者に対して報復した従業員は、解雇を含む懲戒処分の対象となります。
匿名での告発は、指定の社内内部告発用窓口宛に報告してください。
すべてのエンドユーザーデバイス(例:携帯電話、タブレット、ノートPC、デスクトップPC)は、本ポリシーに準拠する必要があります。未知の送信者から受信した電子メールの添付ファイルにはマルウェアが含まれている可能性があるため、従業員がそのようなメールを開くときは細心の注意を払う必要があります。
システムレベルおよびユーザーレベルのパスワードは、アクセス制御ポリシーに準拠する必要があります。故意かどうかにかかわらず、デバイスのセキュリティを確保せず、他の個人がアクセスできるようにすることは禁止されています。
株式会社mutexの情報システム(メールなど)へのアクセスに使用されるすべてのエンドユーザーデバイス、個人デバイス(BYOD)、会社所有のデバイスは、以下のルールと要件に従う必要があります。
デバイスが5分間使用されなかった場合、パスワード(または生体認証などの同等の制御)で保護されたスクリーンセーバーまたはスクリーンロックによってロックされる必要があります。
デバイスを放置する場合は必ずデバイスをロックする必要があります。
モバイルデバイスの不正使用や盗難が疑われる場合、ユーザーは直ちにIT部門に報告する必要があります。
機密情報を個人デバイスやUSBドライブに保存しないでください(これは、ビジネス上の連絡先情報(例:名前、電話番号、メールアドレス)には適用されません)。
会社のリソース(ファイル共有や電子メールなど)にアクセスするために使用されるすべてのモバイルデバイスは、他者と共有しないでください。
デバイスの利用者は、退職時に会社所有のデバイスをすべて返却し、個人デバイスから会社の情報とアカウントをすべて削除することに同意するものとします。
ユーザーは、デスクや作業スペースに機密資料を放置してはならず、デバイスを使用していないときは画面がロックされるようにする必要があります。
リモートワークとは、組織の人員がオフィス外の場所から業務を行う状況を指します。これにはテレワーク、テレコミューティング、フレキシブルワークスペース、バーチャル作業環境、リモートメンテナンスが含まれます。株式会社mutexのネットワークへのアクセスに使用されるノートPCやその他のコンピューターリソースは、株式会社mutexの情報セキュリティポリシーに定めるセキュリティ要件に準拠し、以下の基準に従う必要があります。
リモートワーク中には、機密情報の誤操作や意図しない漏洩を防ぐため、クリアデスクプロトコル、印刷に関するルール、資産の廃棄、情報セキュリティ関連事象の報告など、会社の規則に従う必要があります。
侵害されたデバイスが会社のネットワークに接続されることがないように、ウイルス対策ポリシーによって、クライアント側でのウイルス対策ソフトウェアの使用と実施を求めるものとします。
ウイルス対策ソフトウェアは、悪意のあるソフトウェアを検出し、防止または隔離し、定期的なシステムスキャンを実行し、自動更新を有効化するように設定する必要があります。
機密情報を公共のWi-Fi経由で送信する際には、潜在的な盗聴や中間者攻撃を防ぐため、VPNを使用する必要があります。
自宅ネットワークから作業する場合は、デフォルトのWi-Fi設定(名前、パスワード、管理者アクセスなど)が変更されていることを確認してください。
システム管理者は、強力なWPA3暗号化、また少なくとも堅牢なパスワードを使用したWPA2を設定し、サポートされている場合は専用のVLANを設定することが推奨されます。また、特に必要がない場合は、WPS(Wi-Fi Protected Setup)およびUPnP(Universal Plug and Play)を無効にするものとします。
モバイルコンピューター上にセキュアで最新のソフトウェアファイアウォールが構成されていない場合は、外部ネットワークに接続しないでください。
ユーザーが、株式会社mutexのリソースにアクセスするために使用されるシステム上で、個人のファイアウォールやウイルス対策ソフトウェアなどの組織的なセキュリティ制御を変更または無効化することは禁止されています。
リモートアクセスソフトウェアやサービス(例:VPNクライアント)は、会社によって提供され、多要素認証(MFA)が設定されている場合に限り、使用が許可されます。
許可されていないリモートアクセス技術を使用したり、株式会社mutexのシステムにインストールしたりすることはできません。
公共のWi-Fiで機密情報を送信するときはVPNを使用する必要があります。
公共のコンピューター(ビジネスセンター、ホテルなど)からアクセスする場合、セッションからログアウトし、何も保存しないでください。「ログイン情報を記録する」にチェックを入れず、印刷した資料をすべて回収し、株式会社mutexが管理していないシステムにファイルをダウンロードしないでください。
本ポリシーの目的において、株式会社mutex、従業員が所有または借用している電子機器やコンピューター(従業員やサードパーティが所有する場合でも)に保存されている株式会社mutexの専有情報および顧客情報は、株式会社mutexの独占所有物とみなされます。従業員および請負業者は、法的または技術的手段を用いて、専有情報がデータ管理ポリシーに準拠して保護されるようにする必要があります。ノートPCや会社支給のデバイスの利用者は、ビジネスファイルを保存するためにGoogle DriveやNotionなどの会社のファイル共有システムを使用する必要があります。重要な文書をファイル共有に保存することは、ノートPCを「バックアップ」する方法とみなされます。
株式会社mutexの専有情報や機器の盗難、紛失、漏洩があった場合は、速やかに報告する責任があります。割り当てられた職務を遂行するために許可された場合、必要な範囲でのみ、株式会社mutexの専有情報にアクセス、使用または共有することができます。従業員は、会社支給のデバイスの個人的な使用の妥当性について、適切な判断を下す責任を負います。
セキュリティおよびネットワークのメンテナンスの目的のため、株式会社mutex内の許可された個人は、いつでも機器、システム、ネットワークトラフィックを監視することができます。
株式会社mutexは、本ポリシーに対するコンプライアンスを確保するために、定期的にネットワークやシステムを監査する権限を留保します。
以下の行為は一般的に禁止されています。従業員は、適切に文書化された経営陣の承認を得ることで、正当な職務の範囲内でこれらの制限から免除される場合があります。株式会社mutexが所有するリソースを利用している間、または何らかの立場で株式会社mutexを代表している間、いかなる状況においても、株式会社mutexの従業員には、憲法、法律、府令‧省令、条例、または国際法に違反する活動に従事することは許可されません。以下のリストはすべてを網羅するものではなく、許容されない使用に該当する活動の枠組みを提供することを目的としています。
以下の行為は、例外なく固く禁じられています。
著作権、企業秘密、特許、その他の知的財産権、または同様の法規によって保護されている個人または企業の権利を侵害すること。具体的には、株式会社mutexによる使用が正規にライセンスされていない「海賊版」やその他のソフトウェア製品のインストール‧配布を含みますが、これらに限定されません。
著作権で保護された資料を無断で複製すること。これには、雑誌、書籍、その他の著作権で保護されたソースの写真や著作権で保護された音楽のデジタル化‧配布、および株式会社mutexまたはエンドユーザーがアクティブなライセンスを持たない著作権で保護されたソフトウェアのインストールが含まれますが、これらに限定されません。
株式会社mutexの業務の遂行以外の目的でデータ、サーバー、アカウントにアクセスすること。アクセスが許可されている場合でも禁止されています。
国際的または各地域の輸出管理法に違反して、ソフトウェア、技術情報、暗号化ソフトウェア、テクノロジーを輸出すること(これは違法です)。疑わしい資料を輸出する前に、適切な管理者に相談する必要があります。
ネットワークやシステムに悪意のあるプログラム(ウイルス、ワーム、トロイの木馬、メールボムなど)を持ち込むこと。
自分のアカウントのパスワードを他人に明かしたり、他人に自分のアカウントを使わせたりすること。自宅で作業を行っている場合、これには家族やその他の世帯員が含まれます。
株式会社mutexのコンピューティング資産を使って、セクシャルハラスメントや敵対的な職場環境に関する法律に違反する資料の調達や送信に積極的に関与すること。
株式会社mutexのアカウントから、製品、商品、サービスについて不正な提供を行うこと。
通常の職務の一部である場合を除き、明示的または黙示的に保証に関する声明を行うこと。
セキュリティ違反やネットワーク通信の障害を引き起こすこと。セキュリティ違反には、従業員が受信対象ではないデータにアクセスすること、従業員が明示的にアクセスを許可されていないサーバーやアカウントにログインすることが含まれますが、これらに限定されません。ただし、これらの作業が通常の職務の範囲内である場合は例外です。本セクションにおいて、「障害」にはネットワークスニッフィング、pingフラッド、パケットスプーフィング、サービス拒否攻撃、悪意ある目的での偽造ルーティング情報が含まれますが、これらに限定されません。
株式会社mutexのエンジニアリングチームへの事前の通知なしにポートスキャンやセキュリティスキャンを行うこと(これは厳しく禁止されています)。
従業員のホストへ向けられていないデータを傍受するあらゆる形態のネットワーク監視を実行すること。ただし、この活動が従業員の通常の職務‧職責の一部である場合は例外です。
ユーザー認証やホスト、ネットワーク、アカウントのセキュリティを回避すること。
株式会社mutexネットワーク上にハニーポット、ハニーネット、類似のテクノロジーを導入すること。
従業員のホスト以外のユーザーへのサービスを妨害したり拒否させたりすること(例:サービス拒否攻撃)。
いかなる手段であれ、ユーザーセッションの妨害や無効化を意図したプログラム/スクリプト/コマンドを実行したりメッセージを送信したりすること。
許可なく株式会社mutexの従業員、請負業者、パートナー、顧客に関する情報やリストを株式会社mutexの外部に提供すること。
会社のリソースを使ってインターネットにアクセスおよび利用する際、ユーザーは自分が会社を代表していることを自覚し、それにふさわしい行動を取る必要があります。
以下の行為は、例外なく固く禁じられています。
「迷惑メール」やその他の広告資料を特に求めていない個人に送信すること(メールスパム)。
メッセージの文言、頻度、量を問わず、メール、電話、テキストを介したあらゆる形のハラスメント行為。
メールヘッダー情報の不正使用やなりすまし。
ハラスメントや返信の収集を目的として、他者へのメールの送信を教唆すること。
「チェーンメール」、「ポンジ」スキーム、その他あらゆる種類の「ねずみ講」を作成または転送すること。
株式会社mutexのネットワーク内または他のサービスプロバイダーから、株式会社mutexがホストするサービスまたは株式会社mutexのネットワークを介して接続されるサービスを広告‧宣伝する目的で、利用者の同意を得ずに一方的に迷惑メールを送信すること。
参考として組み込まれる追加のポリシーと手順
役割 | 目的 |
|---|---|
アクセス制御ポリシー | ビジネス目標に沿って、情報および情報処理システム、ネットワーク、施設へのアクセスを、許可された関係者に制限すること。 |
資産管理ポリシー | 組織の資産を特定し適切な保護責任を定義すること。 |
事業継続および災害復旧計画 | 株式会社mutexが、制御できない要因(自然災害、人為的事象など)によるサービス中断の際に備え、最小限の時間で可能な限り広範囲にわたりサービスを復旧できるようにすること。 |
暗号化ポリシー | 機密性、真正性、および/または整合性を保護するために、暗号化の適切かつ効果的な使用を確実にすること。 |
データ管理ポリシー | 組織にとっての重要度に応じて、情報が分類され、保護されるようにすること。 |
人事ポリシー | 従業員と契約社員がセキュリティ要件を満たし、各々の責任を理解し、それぞれの役割に適していることを確認すること。 |
インシデント対応計画 | 疑われる、または確認された情報セキュリティインシデントに関するポリシーと手順。 |
運用セキュリティポリシー | 情報処理システムおよび施設が正しく安全に運用されるようにすること。 |
物理的セキュリティポリシー | 組織の情報および情報処理施設への、不正な物理的アクセスや損傷を防止すること。 |
リスク管理ポリシー | 会社のビジネスと情報セキュリティに関する目標を達成するために、株式会社mutexの情報セキュリティリスクを評価し、管理するプロセスを定義すること。 |
セキュア開発ポリシー | アプリケーションと情報システムの開発ライフサイクルの中で、情報セキュリティが確実に設計‧実装されるようにすることがその目的です。 |
サードパーティ管理ポリシー | このポリシーの目的は、サービスプロバイダー、ベンダー、顧客などの外部関係者またはサードパーティ組織を含むサプライヤーと共有、アクセス、または管理される組織のデータおよび資産の保護を確保し、サプライヤーの合意に沿って合意されたレベルの情報セキュリティとサービス提供を維持することです。 |
株式会社mutexは、継続的な監視ならびに内部および外部監査を含むさまざまな方法により、本ポリシーへの準拠を測定および検証します。
本ポリシーの例外に関する要求は、ITマネージャーに提出し、承認を得る必要があります。
本ポリシーへの違反が判明した場合は、ITマネージャーに報告する必要があります。本ポリシーに違反すると、システムおよびネットワーク権限の即時取り消しまたは停止、および/または会社の手順に従って解雇を含む懲戒処分が行われる可能性があります。
版 | 日付 | 説明 | 著者 | 承認者 |
|---|---|---|---|---|
1.0 | 2025年2月19日 | 初版 | 林遼太郎 | 熊澤 洸平 |
