1. 経営者の責任 / Leadership accountability
代表者は、情報セキュリティを経営課題と位置づけ、本方針の策定・運用・改善に責任を持ちます。必要な資源を確保し、自ら関与します。
The principal is accountable for the policy's enactment, operation, and improvement; resources are allocated and reviews are led from the top.
Security / 情報セキュリティ基本方針
情報資産を、設計と運用の両面で守ります。
Leomares & Co. は、お客様および当社が取り扱う情報資産の機密性・完全性・可用性を確保するため、以下の方針を定め、組織として継続的に実践します。本方針は、当社が業務上扱うすべての情報、システム、媒体、人員、委託先に適用されます。
We protect the confidentiality, integrity, and availability of information across our work, systems, vendors, and people.
最終更新:2026年5月11日 / Last updated: 11 May 2026
2. 組織的取組み / Organizational measures
役割と責任を明確にし、情報の取扱区分(公開・社内・機密・厳秘)に応じて、アクセス制御、最小権限、職務分掌を実装します。委託先には、契約により同等水準の管理を求めます。
Roles, classifications (public / internal / confidential / restricted), least privilege, and segregation of duties are defined; contractors are bound to equivalent standards.
3. 技術的・物理的安全管理措置 / Technical and physical safeguards
- 通信は TLS で暗号化し、Web アプリには CSP / HSTS / X-Frame-Options 等のセキュリティヘッダを適用します。
- 機密情報の保管はディスク暗号化と多要素認証付きアカウントで行い、不要な端末・サービスへの保存は禁止します。
- パスワードはパスワードマネージャで管理し、共有時は時限・最小範囲で行います。
- クライアント業務データは、契約で合意された範囲外に複製・転載しません。
TLS, strict HTTP security headers, full-disk encryption, MFA, password manager, and tight client-data scope.
4. 関連法令・規範の遵守 / Legal and standards compliance
個人情報保護法、不正競争防止法、著作権法、各種業法・ガイドラインを遵守します。お客様より準拠を求められた規格・社内基準(ISO/IEC 27001、SOC 2、お客様のセキュリティ要件等)には、契約に基づき合理的な範囲で対応します。
We comply with APPI, the Unfair Competition Prevention Act, copyright law, and applicable industry rules; client-specific standards (ISO/IEC 27001, SOC 2, internal frameworks) are accommodated within contractual scope.
5. 教育・訓練 / Training
当社の業務に従事する全員に、情報セキュリティおよびプライバシーに関する基本的な知識・行動規範を共有し、定期的に更新します。
Everyone working on our engagements receives baseline security and privacy training, refreshed regularly.
6. リスクアセスメント / Risk assessment
取り扱う情報、システム、委託先の構成変更、新規ツール導入の際には、機密性・完全性・可用性の観点からリスクを評価し、必要な対策を講じます。AI ツールの利用については、別途「AI利用倫理方針」で具体化しています。
Material changes (systems, vendors, tooling) are risk-assessed across CIA. AI-tool usage is detailed in our AI ethics policy.
7. 事故対応 / Incident response
インシデントを発見した場合は、影響範囲の特定、封じ込め、復旧、再発防止策の検討、関係者への報告、必要に応じた当局への届出を速やかに実施します。個人データに関する漏えい等は「プライバシーポリシー §8」のとおり、個人情報保護法 第26条に基づき個人情報保護委員会へ報告し、本人へ通知します。
On incident discovery: identify scope, contain, recover, learn, report. Personal-data breaches are escalated per APPI Art. 26 and our Privacy §8.
8. 継続的改善 / Continuous improvement
本方針の有効性を定期的にレビューし、技術環境、脅威動向、業務の変化に応じて見直します。重要な変更は本ページにおいて告知します。
The policy is reviewed regularly and revised as the threat landscape and business change. Material updates are announced here.