社外秘情報の取り扱いに関する経営方針

BC Signpost株式会社は、情報資産の保護と信頼性の確保を通じて、医療機関をはじめとする社会の安全と安心に貢献することを使命としています。本方針は、当社の情報セキュリティに対する基本的な考え方と体制を明示するものであり、全社員が一丸となって取り組むべき経営の根幹と位置づけています。

1.情報セキュリティへの取り組み

BC Signpost株式会社は、医療機関をはじめとする当社顧客、およびビジネスパートナーを対象として、常に最新の情報技術(IT)およびクラウドテクノロジーの最適な活用を通して、コンサルティングサービスおよび各種情報サービスを提供しています。

 当社は、情報セキュリティの確保を事業活動の重要課題であることを認識するとともに、社会的責務であると考えています。この認識に基づき、顧客の皆様に安心して当社サービスをご利用いただけるよう、社内規定に準拠した情報セキュリティ体制を整備し、継続的な改善と運用に努めています。

BC Signpost株式会社は、情報資産の保護と信頼性の確保を通じて、持続可能な社会の実現に貢献してまいります。

2.情報セキュリティに関する基本的な考え方

  1. 情報セキュリティへの取り組み
    情報サービス提供事業者である当社において、情報セキュリティの確保は経営上の最重要課題の一つであり、全社を挙げてこれに取り組みます。
  2. コンプライアンスの徹底
    役員および全ての社員等は、倫理観を保持し、法令、行政機関その他が定めた規範、および社内規定を遵守します。
  3. 情報セキュリティマネジメントシステムの継続的改善
    情報セキュリティを維持するため、情報資産に対する管理方法の有効性を評価し、必要に応じて見直しを行い、その対策を実行します。
  4. Microsoft Purviewによる情報保護の強化
    当社では、Microsoft Purviewを活用し、社外秘情報を含む重要情報に対して秘密度ラベルを付与することで、情報の分類・保護を徹底しています。Microsoft Purviewとは、Microsoft 365に含まれる情報保護・ガバナンス機能であり、組織内の情報資産に対してラベル付け、アクセス制御、暗号化、監査などを一元的に管理できるツールです。これにより、情報の取り扱いに応じたアクセス制御や暗号化を実現し、情報漏洩リスクの低減を図っています。また、DLP(データ損失防止)機能を活用し、社外への不適切な情報送信や持ち出しを検知・防止する体制を整備しています。
  5. 情報資産の保護
    予期せぬ災害やセキュリティ事故の発生に備えるため、顧客情報データベース等のバックアップ体制を適時見直し、その対策を実行します。
  6. 事業継続計画の策定
    予期せぬ災害やセキュリティ事故の発生時に迅速に業務を再開するため、業務の再開計画を策定します。
  7. 事故の再発防止および未然防止
    セキュリティ事故に対する原因分析を徹底して行い、再発防止策および未然防止策を検討し、これを実行します。
  8. 教育訓練
    役員およびすべての社員等に情報セキュリティの重要性を認識させるため、年間教育訓練計画を策定し、これを実行します。
  9.  生成AI
    生成AIの利用に関しては、別途定める「生成AI利用に関する社長方針書」を策定し、これを実行します。

3.情報セキュリティ体制の整備

  1. 情報セキュリティ責任者の設置
    情報セキュリティの統括責任者として「情報セキュリティ管理責任者(CISO)」を任命し、社内の情報資産管理、リスク評価、対策の実施を統括しています。各部門には情報セキュリティ担当者を配置し、部門横断的な連携体制を構築しています。
  2. Microsoft Purviewによる情報管理体制の構築
    社内で取り扱う情報資産に対して、Microsoft Purviewを用いた秘密度ラベルの自動付与およびDLP(データ損失防止)ポリシーの適用を行い、情報のライフサイクル全体にわたる保護を実現しています。これにより、社外秘情報の漏洩防止、誤送信防止、ならびに内部統制の強化を図っています。
  3. 情報資産の保管とアクセス制御
    社内の情報資産は、Microsoft 365の管理されたドキュメントライブラリーに保管し、Microsoft Intuneによる条件付きアクセスを設定することで、ユーザー、デバイス、ネットワークの要件を満たしたアクセスのみを許可しています。Microsoft Intuneとは、Microsoft 365に含まれるクラウドベースのデバイス管理サービスであり、業務用端末や私物端末に対してもセキュリティポリシーを適用できます。これにより、社外秘情報を含む重要情報へのアクセスを厳格に管理し、情報漏洩リスクの低減を図っています。また、外部アクセスにはMFA(多要素認証)を必須とし、セキュリティを強化しています。MFAとは、パスワードに加えてスマートフォン通知や生体認証など複数の要素で本人確認を行う認証方式です。
  4. 監査・ログ管理の強化
    Microsoft Purviewの監査機能を活用し、社内の情報操作履歴を記録・分析することで、情報漏洩や不正アクセスの早期発見と対応を可能にしています。これにより、内部統制と透明性の向上を図っています。
  5. メール・チャットの情報保護
    Exchange OnlineおよびMicrosoft TeamsにおいてもDLPポリシーを適用し、メールやチャットでの社外秘情報の誤送信を防止しています。これにより、コミュニケーションにおける情報漏洩リスクを低減しています。
  6. 外部委託先の管理
    業務委託先に対しては、情報セキュリティに関する契約条項を明記し、定期的な監査・評価を実施することで、委託先における情報管理体制の維持・向上を図っています。
  7. 外部認証の取得
    当社では、プライバシーマーク制度の認定取得を目指して全社的な取り組みを進めており、必要に応じてISMS(情報セキュリティマネジメントシステム)認証の取得も検討しています。
  8. 教育・訓練の実施
    役員およびすべての社員に対して、情報セキュリティおよび個人情報保護に関する年間教育訓練計画を策定し、定期的な研修を実施しています。

4.個人情報保護方針

プライバシーポリシーに記載:https://bcsignpost.co.jp/privacy-policy

令和7年11月1日制定
令和8年3月16日改定

BC Signpost株式会社
代表取締役社長 金森直樹