SECURITY POLICY
情報セキュリティポリシー
株式会社K-Drive(以下「当社」)は、健康経営支援サービスの提供にあたり、お客様からお預かりする個人情報および健康情報を含む情報資産の保護を経営上の最重要課題と位置づけ、以下の情報セキュリティポリシーを定めます。
1. 基本方針
当社は、情報資産の機密性・完全性・可用性を確保するため、情報セキュリティマネジメントの継続的な改善に取り組みます。全ての役員および従業員は本ポリシーを遵守し、お客様の信頼に応えるべく最善を尽くします。
2. 適用範囲
本ポリシーは、当社の全ての事業活動において取り扱う情報資産に適用されます。 ・当社の全役員、従業員(正社員、契約社員、パート・アルバイト) ・当社の業務に従事する外部委託先 ・当社が管理する全ての情報システム、ネットワーク、データ
3. 情報資産の管理
当社は、取り扱う情報資産を重要度に応じて分類し、それぞれの分類に応じた適切な管理措置を講じます。特に、お客様の健康情報(ストレスチェック結果、健康診断結果等)は最高レベルの機密情報として厳格に管理します。
4. アクセス制御
情報資産へのアクセスは、業務上必要な最小限の権限のみを付与する「最小権限の原則」に基づき管理します。 ・個人認証によるアクセス管理の実施 ・多要素認証の活用 ・アクセス権限の定期的な見直し(四半期ごとの棚卸し) ・退職者のアカウント即時無効化
5. 技術的対策
当社は、情報セキュリティを確保するため、以下の技術的対策を実施しています。 ・全通信のTLS暗号化(TLS 1.2以上) ・データベースの保存時暗号化 ・セキュリティヘッダー(HSTS、CSP等)の設定 ・API認証の実装 ・データベースのRow Level Security(行レベルセキュリティ)の適用 ・定期的なソフトウェアアップデートと脆弱性対応
6. 人的対策
当社は、情報セキュリティに関する人的対策として以下を実施します。 ・全従業員との秘密保持契約の締結 ・入社時および定期的な情報セキュリティ教育の実施 ・退職時の情報資産返却・削除の確認 ・インシデント発生時の報告義務の周知
7. 委託先管理
業務委託先に対しては、当社と同等以上の情報セキュリティ水準を求めます。 ・委託先との秘密保持契約(NDA)の締結 ・委託先の情報セキュリティ体制の確認 ・委託終了時のデータ返却・廃棄の確認
8. インシデント対応
万が一、情報セキュリティインシデントが発生した場合は、あらかじめ定めた対応計画に基づき、速やかに被害の最小化および原因究明を行います。 ・インシデント対応体制の整備 ・影響を受けるお客様への速やかな通知 ・個人情報保護委員会への報告(法令に基づく場合) ・再発防止策の策定と実施
9. 事業継続
当社は、災害やシステム障害等の緊急事態においても重要な業務を継続できるよう、データのバックアップ体制の整備および復旧手順の策定に取り組みます。
10. 法令遵守
当社は、個人情報の保護に関する法律、その他情報セキュリティに関連する法令、規範およびガイドラインを遵守します。
11. 継続的改善
当社は、情報セキュリティに関する取り組みを定期的に見直し、社会環境や技術の変化に応じて継続的に改善を図ります。本ポリシーは年1回の定期見直しを行うほか、重大な変更が生じた場合は速やかに改定します。
制定日:2026年3月29日
株式会社K-Drive
代表取締役 藤原 雄一郎