EGEROBOT
情報セキュリティマネジメントシステム

情報セキュリティ ポリシー

ISO 27001:2022、GDPR、データ保護に準拠した情報セキュリティマネジメントシステム

最終更新日: 2026-02-04

目的

EGEROBOTは企業情報を極めて価値のある資産と考えています。情報は事業活動の持続性にとって極めて重要であり、適切に保護されなければなりません。

EGEROBOTは、情報セキュリティマネジメントシステム(ISMS)の範囲内でISO 27001:2022規格を実施することにより、企業情報の機密性、完全性、可用性の観点から発生する可能性のあるリスクとその影響を最小化することを目指しています。

私たちの主要な目標は、サービスを提供する組織や機関の信頼を確保し、使用する情報資産のセキュリティを確保することです。この文脈において、顧客、ステークホルダー、公的機関、協力するサプライヤーとの関係は極めて重要です。

適用範囲

EGEROBOT情報セキュリティマネジメントシステムは、組織全体、ビジネスパートナー、サプライヤー、顧客関係を対象としています。このポリシーは、物理環境、デジタルシステム、クラウドインフラストラクチャ、リモートワーク環境を含むすべての情報処理活動に適用されます。

コミットメント

EGEROBOTおよび当社の従業員として、事業継続性、情報資産、個人データに対するあらゆるリスクを排除し管理するために;

  1. 1ISO 27001:2022規格の要件を満たすために、情報セキュリティマネジメントシステムを文書化、認証、継続的に改善する
  2. 2顧客、ビジネスパートナー、ステークホルダー、サプライヤー、その他の第三者に属する情報の機密性、完全性、アクセス可能性を確保する
  3. 3情報セキュリティに関連するすべての法的規制および契約への準拠を確保する
  4. 4情報セキュリティ意識を高めるために、技術的および行動的能力を開発するための研修を実施する
  5. 5戦略目標、供給源、顧客、ステークホルダー、ビジネスパートナー、従業員情報、サービスに関連する個人データなどの重要データの機密性を保護する
  6. 6情報資産のセキュリティのための適切な物理的・電子的環境を構築し、情報資産の機密性、完全性、アクセス可能性の継続性と管理を確保する
  7. 7情報技術サービスの継続性保証のために必要な計画と技術インフラを提供する
  8. 8情報セキュリティに反する状況を適時に検出し、即座に対応する
  9. 9個人データ保護法第6698号に規定された措置を講じ、個人データ保護ポリシーに完全に準拠して業務を行う
  10. 10EGEROBOTが所有するすべての個人データと情報資産を保護し、国内・国際規格、法律、規制の枠組み内で情報セキュリティ条件を確保し、既存および潜在的なリスクを管理することにより情報セキュリティを継続的に改善、開発、見直す

ことをコミットします。

法的枠組みと規格

このポリシーは、以下の国内および国際規制に準拠して作成されています:

国際規格

ISO/IEC 27001:2022情報セキュリティマネジメントシステム
ISO/IEC 27002:2022情報セキュリティ管理策
ISO/IEC 27701:2019プライバシー情報マネジメント
ISO 22301:2019事業継続マネジメントシステム

欧州連合規制

GDPR一般データ保護規則 – EU 2016/679
NIS2指令ネットワークおよび情報システムセキュリティ

トルコ法規

第6698号法 KVKK個人データ保護法
第5651号法インターネット出版物の規制
第5237号法 TCCサイバー犯罪(第243-246条)
第6102号法 TCC商業帳簿および文書保存義務

基本原則

EGEROBOTの情報セキュリティポリシーは以下の原則に基づいています:

機密性

  • 情報は不正アクセスから保護される
  • 意図的または過失により無許可の者に開示されない
  • データ分類とアクセス制御が適用される

完全性

  • 情報の正確性と一貫性が確保される
  • 不正な変更に対する保護メカニズムが適用される
  • ログ記録と監査証跡が維持される

可用性

  • 許可されたユーザーによる情報への適時アクセスが確保される
  • システム障害に対する予防措置が講じられる
  • 事業継続計画が実施される

セキュリティ・バイ・デザイン

  • システムは設計段階からセキュリティに焦点を当てて開発される
  • プライバシー・バイ・デザインの原則が採用される

現代の脅威カテゴリーと対策

ランサムウェア

  • 定期的かつ隔離されたバックアップ戦略
  • 二重恐喝攻撃に対するデータ暗号化
  • エンドポイント検出・対応(EDR)システム

ソーシャルエンジニアリングとフィッシング

  • 従業員意識向上研修
  • AI支援ディープフェイク脅威に対する検証プロトコル
  • メールセキュリティフィルターとSPF/DKIM/DMARC設定

高度持続的脅威(APT)

  • 行動ベースの脅威検出
  • ネットワークセグメンテーション
  • ゼロトラストアーキテクチャ

サプライチェーン攻撃

  • 第三者リスク評価
  • ソフトウェア構成分析(SBOM)
  • サプライヤーセキュリティ監査

IoTおよびOTセキュリティ

  • 産業制御システムの隔離
  • IoTデバイスインベントリとセキュリティアップデート
  • ネットワークトラフィック監視

クラウドセキュリティポリシー

一般原則

  • クラウドサービスプロバイダーのセキュリティ認証が検証される
  • ゼロトラストアーキテクチャが適用される
  • データは転送中および保存中に暗号化される

アクセス制御

  • 多要素認証(MFA)が必須である
  • 最小権限の原則が適用される
  • 役割ベースのアクセス制御(RBAC)が使用される

構成セキュリティ

  • クラウドセキュリティポスチャ管理(CSPM)ツールが使用される
  • 定期的な構成監査が実施される
  • APIセキュリティが確保される

リモートワークセキュリティポリシー

ネットワークセキュリティ

  • VPN使用が必須である
  • 安全な家庭ネットワーク構成が推奨される
  • 機密データは公衆Wi-Fiネットワークで処理されない

デバイスセキュリティ

  • 会社データにアクセスするデバイスは暗号化される
  • 最新のウイルス対策とセキュリティパッチが必須である
  • モバイルデバイス管理(MDM)が適用される

データ保護

  • 機密データはローカルデバイスに保存されない
  • クラウドベースのファイル共有が使用される
  • 画面共有および閲覧ルールが適用される

第三者およびサプライヤーセキュリティ

評価

  • サプライヤーセキュリティ評価が実施される
  • ISO 27001認証または同等のものが要求される
  • 定期的なセキュリティ監査が実施される

契約要件

  • 秘密保持契約(NDA)が署名される
  • データ処理契約(DPA)が締結される
  • セキュリティ違反通知義務が定義される

インシデント対応と違反管理

インシデント対応計画

  • インシデントの検出、分類、エスカレーション手順
  • 24時間365日セキュリティ監視
  • インシデント対応チーム(CSIRT)が定義される

データ違反通知

  • KVKK:個人データ保護機関への「可能な限り早急な」通知
  • GDPR:72時間以内に関係監督機関への通知
  • 影響を受ける個人に通知される

インシデント後

  • 根本原因分析が実施される
  • 改善措置が実施される
  • 学んだ教訓が文書化される

事業継続と災害復旧

事業継続計画(BCP)

  • 重要なビジネスプロセスが特定される
  • 目標復旧時間(RTO)と目標復旧時点(RPO)が定義される
  • 代替作業場所が計画される

災害復旧(DR)

  • 定期的なバックアップとテスト手順
  • 地理的に分散したバックアップ
  • 年次災害復旧訓練

保護対象資産

身元情報および個人データ
顧客およびビジネスパートナー情報
ソフトウェアパッケージおよびソースコード
サーバーおよびネットワークインフラ
クラウドリソースおよびデータベース
知的財産権
営業秘密および商業情報

関連ポリシー

クリアデスク・クリアスクリーンポリシー
電子メール使用ポリシー
アクセス制御ポリシー
暗号化管理ポリシー
パスワード管理ポリシー
モバイルデバイス使用ポリシー(BYOD)
ソーシャルメディア使用ポリシー
データ分類ポリシー
バックアップ・リカバリポリシー
変更管理ポリシー

目標

  1. 1適切なリスク評価を通じて情報資産の価値を特定する
  2. 2脆弱性と潜在的な脅威を理解する
  3. 3リスクを許容可能なレベルまで低減する
  4. 4国内法規(KVKK、5651、TCC)に準拠する
  5. 5国際規制(GDPR、ISO 27001:2022)への準拠を確保する
  6. 6顧客契約条件に準拠する
  7. 7管理手順と指示に準拠する
  8. 8サイバーセキュリティ成熟度レベルを継続的に向上させる

研修と意識向上

  • 全従業員に年次情報セキュリティ研修が提供される
  • 新入社員にはオリエンテーション研修が必須である
  • フィッシングシミュレーションと意識テストが実施される
  • 役割に基づく専門セキュリティ研修が編成される
  • 研修記録が文書化される

責任

経営陣

  • このポリシーを承認し支援する
  • 必要なリソースを提供する
  • 年次レビュー会議に参加する

最高情報セキュリティ責任者(CISO)

  • ポリシーの実施を調整する
  • セキュリティインシデントを管理する
  • リスク評価を実施する
  • 経営陣に報告する

部門マネージャー

  • 自部門でのポリシー実施を確保する
  • セキュリティ脆弱性を報告する
  • 従業員の意識向上を支援する

全従業員

  • 情報セキュリティポリシーに準拠する
  • セキュリティインシデントを報告する
  • 研修に参加する
  • 疑わしい状況を報告する

制裁

EGEROBOT、その顧客またはサプライヤーに属する情報のセキュリティを危険にさらす意図的または過失による行為:

  • 懲戒処分
  • 雇用終了
  • 法的手続き(第5237号法 TCC - サイバー犯罪)
  • 損害賠償請求

の対象となる。

継続的改善(PDCAサイクル)

EGEROBOTは情報セキュリティマネジメントシステムを継続的に改善するためにPlan-Do-Check-Act(PDCA)サイクルを適用します:

Plan(計画)

  • リスク評価とセキュリティ目標の決定
  • ポリシーと手順の作成
  • リソース計画

Do(実行)

  • 管理策の実施
  • 研修の実施
  • 文書化

Check(確認)

  • 内部監査
  • パフォーマンス測定
  • インシデント分析と傾向評価

Act(改善)

  • 是正措置
  • 予防措置
  • 継続的改善の推奨事項

レビュー

このポリシー:

  • 少なくとも年1回レビューされる
  • 重大な変更、セキュリティインシデント、または規制の更新に対して改訂される
  • マネジメントレビュー(MR)会議で評価される

お問い合わせ

情報セキュリティに関するご質問またはインシデントの報告についてはお問い合わせください。

お問い合わせページ
この文書はEGEROBOT情報セキュリティマネジメントシステムの一部です。