情報セキュリティについて
情報セキュリティポリシー
株式会社教育ソフトウェアは、『安心・安全なデータの提供を通して、お客様の発展に貢献する』という企業理念のもと、入試や各種試験の採点業務、大学FD活動支援・学校改善の一環としてアンケート集計業務などさまざまな情報(データ)を取り扱う中で、情報セキュリティの重要性を認識し、情報セキュリティマネジメントシステム(ISMS)適合性評価制度によるJIS Q 27001認証を、2017年9月28日付けで取得いたしました。 今後も、継続的な改善を行ってまいります。
情報セキュリティの定義
「情報セキュリティ」とは、情報資産の機密性、完全性、可用性を維持しつつ、脆弱性への対策を行い、さまざまな脅威から情報を守ることとします。
情報セキュリティ方針
株式会社教育ソフトウェアの企業理念『安心・安全なデータの提供を通して、お客様の発展に貢献する』に基づき、ここに情報セキュリティ方針を定め、実践します。
- 一、情報セキュリティ目的を設定します
- 一、目的達成のため、各部門において年間情報セキュリティ計画及び目標を作成し、実施する仕組みを構築し、維持します
- 一、法律を遵守し、ISMS及びクラウド認証の規格要求事項及び顧客要求事項を満たします
- 一、情報セキュリティインシデントに対する適切な予防処置を講じます
- 一、ISMS及びクラウド認証の継続的な改善を行います
- 一、ISMS及びクラウド認証の効果的かつ包括的な運用を行うため、ISMS推進室を設けます
- 一、情報セキュリティ方針は、文書化し各部門内に掲示し、社員の共通理解を図ります
以上
クラウド製品・サービスに関する情報セキュリティ方針
1.クラウド製品・サービスの設計及び実装における情報セキュリティ要求事項
お客様からの情報セキュリティ要求事項及び、当社にて確立した本方針を適用し、クラウド製品・サービスの設計及び実装を行います
2.クラウド製品・サービスのリスク
クラウド製品・サービスに対して実施したリスクアセスメントにて特定されたクラウド製品・サービスに関連するリスクに対し管理策を実施します
3.クラウドコンピューティング環境の隔離
個々のお客様データを仮想化技術により分離及び独立させ、データを保護します
4.当社スタッフによるお客様データへのアクセス
当社のクラウド製品・サービス上、または技術的な問題の解決のため、当該仕様において必要と定める最小限の操作にて、お客様のアカウント(本データを含む)にアクセスすることがあります
また、お客様データを取扱うクラウド製品・サービス担当者には、定期的な教育・訓練を実施します
5.アクセス制御手順
当社は、クラウド製品・サービスに対し、適切な認証方式を整備します
6.お客様への変更通知
当社は、クラウド製品・サービスに関する仕様変更等については、当社ホームページへの掲載等を通じて情報提供します
7.仮想化セキュリティ
当社クラウド製品・サービスは、JIS Q 27001及びJIS Q 27017規格に準じたPDCA活動により情報セキュリティ上の被害を未然に防ぎます
8.お客様データの保護
当社の責任範囲に基づき、クラウド製品・サービスで扱うデータの適切なアクセス管理と保護を実施します
9.アカウント管理
お客様のアカウントは、利用規約または、業務契約に基づき、お客様の責任において作成し、管理していただきます
10.情報共有
お客様に影響のある情報セキュリティ違反が発生した際は通知します
また、違反内容等の調査は当社にて実施し、必要に応じて結果を報告します
以上
2024 年 4 月 1 日
代表取締役 神戸 涼次
適用範囲
対象となる情報資産は、情報処理業務(自社製品開発、請負、販売、サービス)にかかわる書類・データ・自社製品、全社ネットワーク(札幌オフィス含む)とし、取り扱い及び管理の適用範囲は、「社長、役員、情報処理業に携わる全社員(全パート職員を含む)」とする。
リスクアセスメント
当社は、作業工程(各部門管理の手順書やQC工程表)と情報資産(ISMS資産目録)ごとに情報の機密性、完全性及び可用性の喪失に伴うリスクを特定し、工程価値または資産価値×脆弱性×脅威それぞれの分析結果からリスクレベルを決定します。
決定したリスクレベルをリスク受容基準と比較し優先順位を決定し、優先度の高いものから当社の「情報セキュリティリスク対策プロセス」に従って、適切な管理目的及び管理策を適用し、効果的なセキュリティ対策を実施します。
推進体制
当社は、代表取締役社長を含めた部門長とISMS推進室で構成される情報セキュリティ委員会を設置し、ISMSの確立、実施、監視、マネジメントレビュー、維持、継続的改善を確実に実施します。
情報セキュリティマネジメントシステム(ISMS) 認証内容
| 登録種別 | 情報セキュリティマネジメントシステム |
|---|---|
| 登録組織名 | 株式会社教育ソフトウェア |
| 認証登録番号 | JUSE-IR-396 |
| 適用規格 | JIS Q 27001:2023(ISO/IEC 27001:2022) |
| 登録範囲 | 1)パッケージシステム、Webパッケージシステムの開発、販売および保守 2)試験採点およびデータ集計業務請負サービス 3)OMR機器販売および保守 4)マークシート制作、印刷および販売 |
| 認証登録機関 | 一般財団法人 日本科学技術連盟 ISO審査登録センター |
| 認定機関 | 一般社団法人 情報マネジメントシステム認定センター(ISMS-AC) |
| 認定マーク |  |
| 初回登録日 | 2017年9月28日 |
| 有効期間 | 2023年9月28日~2026年9月27日 |
| 登録証 (複製) |
 |
ISMSクラウドセキュリティ認証内容
| 登録種別 | ISMSクラウドセキュリティ認証 |
|---|---|
| 登録組織名 | 株式会社教育ソフトウェア システムソリューション部、システム部開発3課 |
| 認証登録番号 | JUSE-IR-396-CS01 |
| 適用規格 | JIP-ISMS517-1.0 (ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項) |
| 登録範囲 | 採点業務支援クラウドサービスの提供および運用保守 ISMS-CS種別/サービス名: クラウドサービスプロバイダ/採点ナビクラウド クラウドサービスカスタマ/GCP |
| 認証登録機関 | 一般財団法人 日本科学技術連盟 ISO審査登録センター |
| 認定機関 | 一般社団法人 情報マネジメントシステム認定センター(ISMS-AC) |
| 認定マーク |  |
| 初回登録日 | 2024年7月29日 |
| 有効期間 | 2024年7月29日~2026年9月27日 |
| 登録証 (複製) |
 |