情報セキュリティポリシー

株式会社クラウドPR
代表者名:上田俊英

第1条(目的)

本ポリシーは、当社の業務に関連して取り扱う顧客情報、機密情報、個人情報、未公表情報、制作物、調査データ、連絡記録その他の情報資産について、適切な安全管理措置を講じることにより、顧客その他関係者の信頼を維持し、契約上及び法令上の義務を適切に履行することを目的とする。

第2条(適用範囲)

  1. 本ポリシーは、当社の役員、従業員、業務委託先、再委託先、協力会社その他、当社業務に関連して情報資産を取り扱うすべての者に適用する。
  2. 当社が外部ライター、編集者、デザイナー、動画編集者、翻訳者、カメラマン、制作会社、調査会社その他の外部協力者に業務を委託する場合も、当社は必要に応じて本ポリシーに準じた管理を求める。

第3条(情報資産の範囲)

本ポリシーにおける情報資産とは、媒体及び形式を問わず、次の各号に掲げるものをいう。

  1. 顧客から受領した資料、原稿、発表前情報、事業戦略、製品関連情報、広報計画、想定問答、メディア対応方針、危機管理対応資料、会議資料、見積、契約条件その他一切の情報
  2. 当社が作成又は取得したプレスリリース、投稿文案、Q&A、スピーチ原稿、プレゼン資料、レポート、調査結果、分析資料、議事録、画像、動画、音声、デザインデータその他一切の成果物又は作業データ
  3. 患者、医療関係者、記者、インフルエンサー、取引先その他第三者に関する連絡先、属性情報、アンケート結果、対応履歴その他の個人関連情報
  4. パソコン、スマートフォン、クラウドストレージ、電子メール、チャット、オンライン会議ツール、共有フォルダその他情報を保存、送受信又は処理するための仕組み
  5. アカウント情報、ID、パスワード、アクセス権、APIキーその他認証又は接続に必要な情報

第4条(基本方針)

当社は、情報資産について、次の基本方針に基づき管理する。

  1. 業務遂行上必要な範囲でのみ取得、利用、共有及び保存すること
  2. 顧客との契約、秘密保持義務、法令及び社会的要請に従って管理すること
  3. 未公表情報、個人情報その他漏えい時の影響が大きい情報については、特に慎重に取り扱うこと
  4. 外部委託、クラウド利用、生成AI利用その他外部サービス利用に際しては、事前確認及び必要な制限を行うこと
  5. 事故又は事故のおそれがある場合には、被害拡大防止を優先し、速やかに報告・対応すること

第5条(管理責任者)

  1. 当社の情報セキュリティ管理責任者は代表者とする。
  2. 情報セキュリティ管理責任者は、次の事項を統括する。

(1) 本ポリシーの整備、周知、見直し

(2) 情報分類、アクセス管理及び保存ルールの設定

(3) 再委託先及び外部サービス利用の確認

(4) 情報セキュリティ事故への対応

(5) 顧客契約に基づくセキュリティ条件の確認

第6条(情報の分類)

当社は、情報資産を次の区分に分類し、区分に応じて管理する。

  1. 極秘情報

漏えいにより顧客又は第三者に重大な影響を与える情報をいう。

例:

・未公表のプレスリリース、発表前資料、決算関連情報

・上場企業の未公表情報

・提携、合併、協業、共同販売、販売中止その他の重要な事業上の未公表情報

・薬事・法規・規制対応に関わる未公開情報

・危機管理案件、謝罪文案、記者対応方針

・個人情報、機微性の高い患者関連情報

・契約条件、見積、価格情報

・顧客から極秘指定を受けた情報

  1. 機密情報

社外秘として取り扱うべき業務情報をいう。

例:

・投稿文案、原稿ドラフト、動画構成案

・広報戦略メモ、調査集計途中データ

・メディアリスト、連絡記録、会議メモ

・顧客とのメール、チャット、作業ファイル

  1. 公開情報

既に公表済み又は公表が予定されている情報をいう。

第7条(取得及び利用の原則)

  1. 情報資産の取得及び利用は、当社業務の遂行に必要な範囲に限る。
  2. 顧客から受領した情報は、当該顧客業務の遂行目的以外に利用してはならない。
  3. 顧客情報を、自社営業資料、提案書、セミナー資料、SNS投稿その他の目的に転用してはならない。ただし、顧客の事前承諾がある場合を除く。
  4. 他案件で得た情報を別案件に流用してはならない。特に競合会社案件間においては、実質的な転用と評価される行為を行ってはならない。

第8条(アクセス管理)

  1. 顧客情報及び機密情報へのアクセスは、業務上必要な者に限定する。
  2. 業務フォルダ、クラウドストレージ及び共有リンクは、必要最小限の共有範囲とし、公開リンクの設定は原則として禁止する。
  3. 顧客別、案件別にフォルダを分け、無関係な第三者が閲覧できないよう管理する。
  4. 退職者、契約終了した外部協力者その他アクセス不要となった者の権限は、速やかに削除又は停止する。
  5. ID及びパスワードを第三者に共有してはならない。

第9条(パスワード及び認証)

  1. パスワードは、容易に推測されないものを設定する。
  2. 同一又は類似のパスワードを複数サービスで使い回さないよう努める。
  3. 主要なクラウドサービス、メール及び管理画面には、多要素認証を設定するよう努める。
  4. パスワード、認証コード、招待URLその他認証情報は、安易にメール本文やチャット本文へ記載しない。

第10条(端末管理)

  1. 業務で使用するパソコン、スマートフォン及びタブレットには、起動時又は復帰時にパスコード又はパスワード認証を設定する。
  2. 端末の画面ロックは有効化し、離席時は必ずロックする。
  3. OS、ブラウザ、アプリケーション及びセキュリティソフトは、可能な限り最新の状態に保つ。
  4. 紛失又は盗難時に備え、端末の所在確認機能、遠隔ロック又は遠隔消去機能を可能な範囲で設定する。
  5. 私用端末を業務利用する場合は、顧客情報保存先やアクセス方法に注意し、家族その他第三者が閲覧できないようにする。

第11条(メール、チャット及びオンライン会議)

  1. メール送信前には、宛先、CC、BCC、添付ファイル及び本文を確認する。
  2. 誤送信防止のため、宛先の自動補完に依存しすぎない。
  3. 機密情報をチャットで共有する場合は、必要性及び共有範囲を確認する。
  4. オンライン会議では、参加者確認を行い、録画、画面共有及び資料共有は必要最小限とする。
  5. 会議URLや会議資料を、不特定又は不要な相手に転送してはならない。

第12条(クラウドサービス及び外部ツール)

  1. 業務データは、当社が継続的に利用を認めたクラウドサービス又はツールに保存する。
  2. 新たなクラウドサービス、ファイル転送サービス、共同編集ツール、画像生成ツールその他外部サービスを利用する場合は、利用目的及び保存情報の内容を確認した上で導入する。
  3. 顧客との契約で使用サービス、保存場所、共有方法等に制限がある場合は、その条件を優先する。
  4. 極秘情報については、安易に外部共有リンクを用いない。

第13条(生成AI等の利用)

  1. 顧客の機密情報、未公表情報、個人情報、患者関連情報、記者リスト、契約条件、見積情報その他これらに準ずる情報は、顧客契約又は社内判断により許容される場合を除き、生成AIその他AIサービスへ入力してはならない。
  2. 顧客との契約にAI利用禁止又は制限条項がある場合は、その条件を厳格に優先する。
  3. AIサービスを利用する場合は、原則として、匿名化、抽象化又は一般化した表現に置き換えた上で入力する。
  4. AIの出力結果は、そのまま納品又は公開せず、事実確認、表現確認、著作権・商標権・名誉毀損等のリスク確認を行う。
  5. 外部協力者がAIを利用する場合も、当社は必要に応じて同等のルールを求める。

第14条(外部協力者及び再委託先の管理)

  1. 外部ライター、編集者、デザイナー、動画編集者、翻訳者、制作会社その他の外部協力者に業務を委託する場合、必要に応じて秘密保持義務を課す。
  2. 顧客情報の共有は、当該業務遂行に必要な範囲に限る。
  3. 顧客との契約上、再委託の承認又は禁止条件がある場合は、それに従う。
  4. 外部協力者には、納品後又は業務終了後に不要データの削除又は返却を求めることができる。

第15条(紙資料及び出先での作業)

  1. 紙資料の持出しは、業務上必要な範囲に限る。
  2. 外出先、カフェ、電車内、コワーキングスペースその他第三者の視線が及ぶ場所では、極秘情報又は機密情報の閲覧及び通話に十分注意する。
  3. 顧客名、製品名、発表前情報、患者情報その他機密性の高い事項について、公共の場で不用意に会話してはならない。
  4. 紙資料を廃棄する場合は、第三者が容易に閲覧できない方法で廃棄する。

第16条(メディアリスト及び個人情報の取扱い)

  1. 記者、編集者、医療関係者、患者会関係者、登壇者、調査回答者その他個人に関する情報は、必要な範囲でのみ取得及び利用する。
  2. 名刺情報、連絡先、メールアドレス、アンケート結果、参加者リストその他の個人情報は、業務目的外に利用してはならない。
  3. 顧客から受領した個人情報は、顧客の指示又は契約条件に従って取り扱う。
  4. 個人情報を含むファイルを外部送信する場合は、送信先及び必要性を十分確認する。

第17条(制作物及び著作物の取扱い)

  1. 写真、動画、イラスト、記事、調査データ、引用文その他第三者の権利が関係する素材を利用する場合は、利用条件を確認する。
  2. 無断転載、無断使用又はライセンス条件に反する利用を行ってはならない。
  3. 顧客案件で作成した制作物については、契約条件に従い、顧客帰属物、自社保有物及び第三者素材を区別して管理する。
  4. 顧客向け制作物を、別顧客案件に転用する場合は、契約条件及び機密保持義務を確認する。

第18条(保存期間及び削除)

  1. 情報資産は、業務上必要な期間に限り保存する。
  2. 顧客との契約上、返却、削除又は保存期間の指定がある場合は、当該条件に従う。
  3. 不要となった電子データは、共有フォルダ、ローカル端末、メール添付及び外部媒体を含め、可能な範囲で削除する。
  4. 外部協力者に共有したデータについても、必要に応じて削除確認を行う。

第19条(事故の定義)

次の各号に該当する場合は、情報セキュリティ事故又はそのおそれがあるものとして取り扱う。

  1. メール、チャット又はファイルの誤送信
  2. ノートPC、スマートフォン、紙資料、USB等の紛失又は盗難
  3. 不審メール、マルウェア感染又は不正アクセスの疑い
  4. 共有設定ミスによる第三者閲覧可能状態
  5. 顧客情報、個人情報又は未公表情報の漏えい又はそのおそれ
  6. 外部協力者又は委託先による不適切な取扱い
  7. 顧客契約や法令に違反する可能性のある情報取扱い

第20条(事故発生時の対応)

  1. 事故又は事故のおそれを知った者は、直ちに情報セキュリティ管理責任者へ報告する。
  2. 情報セキュリティ管理責任者は、必要に応じて次の対応を行う。

(1) 事実確認

(2) 送信停止、アクセス停止、パスワード変更、共有解除等の応急対応

(3) 影響範囲の確認

(4) 顧客への報告要否及び報告期限の確認

(5) 再発防止策の検討

  1. 顧客契約に事故報告期限が定められている場合は、その期限を優先して対応する。
  2. 事故対応記録は、可能な範囲で保存する。

第21条(秘密保持契約及び顧客契約の優先)

  1. 顧客との秘密保持契約、業務委託契約、個別注文書その他の契約において、本ポリシーより厳しい条件が定められている場合は、当該契約条件を優先する。
  2. 本ポリシーは、顧客契約に基づく義務を軽減するものではない。

第22条(教育及び見直し)

  1. 当社は、必要に応じて本ポリシーの内容を確認し、実態に合わせて見直す。
  2. 顧客の要請、法令改正、利用ツールの変更、外部委託体制の変更その他必要がある場合、情報セキュリティ管理責任者は本ポリシーを改定できる。

第23条(雑則)

本ポリシーに定めのない事項については、法令、顧客契約、業務実態及び社会通念に照らし、誠実に対応する。

附則

当社は2015年の設立以来、情報資産保護に努めてきたところ、本ポリシーはその運用を明文化するものである。

本ポリシーは、2026年4月1日から施行する。