情報セキュリティ基本方針

株式会社エクサウィザーズ及び当社の子会社等からなる企業集団（以下、「当社グループ」といいます。）は、『AIを用いた社会課題解決を通じて幸せな社会を実現する』の理念の下、AI技術や ICTを利活用したサービスやソリューションを提供し、社会課題の解決を目指しております。

これらを達成するための情報セキュリティの確保は、当社グループの提供するAIやICTの利活用がお客様から信頼され、満足され、かつ継続的に発展するために、確実に対応しなければならない経営課題であるとともに、社会的責任であると認識しております。

当社グループは、この認識のもと、情報システムの「信頼性」「安全性」「機密性」の観点からお客様を支えることを当社グループの基本とし、本情報セキュリティ基本方針を定めます。

当社グループは、お客様の情報セキュリティに係わる契約事項及び要求事項、及び情報セキュリティマネジメントシステム（ISO/IEC 27001（JIS Q 27001））、ISMSクラウドセキュリティ認証に関する要求事項（JIP-ISMS517）、クラウドサービスのための情報セキュリティ管理策の実践の規範（ISO/IEC 27017（JIS Q 27017））、プライバシー情報マネジメントのためのISO/IEC27001及びISO/IEC27002への拡張要求事項及び指針（ISO/IEC27701）を統合した情報セキュリティマネジメントシステム（ISMS）を導入し、確立し、実施し、維持し、継続的に改善します。

1. 情報セキュリティ基本方針に基づいた施策の実現のため、情報セキュリティ組織体制を構築し、セキュリティポリシー（マニュアル及び規程類）を整備し、明確かつ具体的な役割と権限をCISO（Chief Information Security Officer）に割当て、資源の投入を行い、当社グループ事業における情報資産の機密性、完全性、可用性の確保を図ります。
2. 適用対象の役員及び従業員に対し教育を継続的に実施し、情報セキュリティに関する理解と管理の必要性を周知し、明確な意思のもと、当社グループ提供のサービス及びソリューション等に係る情報セキュリティの保護並びに管理を行い、事業継続を維持します。
3. 業務遂行に関わる全ての情報資産について分類し、リスクアセスメントを定期的に行い、リスクの程度に応じた情報セキュリティ管理策を計画し、実施します。また、クラウドサービスの利用、提供及びデータ処理に関しても、固有のリスクに応じた情報セキュリティ管理策を実施します。
4. 著作権法、不正アクセス行為の禁止等に関する法律、不正競争防止法、個人情報保護に関する法律、一般データ保護規則（GDPR）、その他情報セキュリティに関連する法令及び規範、業界のガイドライン及び顧客との契約上の情報セキュリティを遵守します。
5. リスクコミュニケーションを常に実施し、情報セキュリティインシデント、セキュリティ事象及び不適合等の発生を的確に把握し、それらの原因を分析し、速やかに是正処置を行います。
6. 情報セキュリティ管理策の有効性を定期的にレビューし、必要に応じた管理策の見直しと継続的な改善を行います。