情報セキュリティ基本方針

基本声明

ラクスグループ（以下、当社グループ）は、多種多様なIT関連サービスの提供を通じて多くのステークホルダーと信頼関係を築いており、その中でお客様からお預かりした情報をはじめ、当社グループが保有するすべての情報資産を漏洩・改ざん・破壊・盗難などのあらゆる脅威から守ることは、当社グループの重要な社会的責任であると認識しております。この認識のもと、株式会社ラクス（以下、当社）は情報セキュリティ基本方針を定めます。
また、当社グループは情報セキュリティマネジメントシステム（ISMS）を構築のうえ、すべての役員及び従業員が本方針を理解・遵守することで、機密性・完全性・可用性の確保と向上に努めております。
また、当社グループは、国連が提唱する持続可能な開発目標（SDGs）のうち、目標9「産業と技術革新の基盤をつくろう」、目標16「平和と公正をすべての人に」における安全かつ信頼性の高いデジタル基盤の整備及びガバナンス強化を通じて、社会の安心・安全な情報流通の実現に貢献する姿勢を重視し、社会的潮流との整合を意識しながら、情報セキュリティ体制のさらなる強化を図ってまいります。

コミットメント

適用範囲

本方針は、当社グループの事業活動において保有または管理されるすべての情報資産、及びこれらの情報資産を取り扱う、当社グループのすべての役員及び従業員に適用いたします。なお、海外子会社については、本方針の趣旨を尊重しつつ、各国の法令に基づき適切に対応いたします。また、当社グループの業務に関わる委託先・取引先に対しても、本方針の趣旨を理解いただき、必要に応じて協力をお願いしております。

推進体制

本方針は、当社取締役会の監督のもとで推進いたします。当社ではCSIRT（Computer Security Incident Response Team）を組織しており、日本CSIRT協議会に加盟しております。CSIRTではサイバーセキュリティインシデントの予防、検知、対応、復旧活動を主導、実行する役割を担います。また、情報セキュリティに関連する法令、規制、ガイドライン、業界標準及び契約上の義務、当社グループに適用される就業規則、情報セキュリティ対策基本規程を遵守し、コンプライアンスの確保に努めております。方針に関する取り組み状況や進捗については、適切な形で情報開示を行ってまいります。

主管部門

本方針の主管部門は当社情報セキュリティ部とし、情報セキュリティに関する施策は関係部門と連携のもと、運用状況の確認及び見直しを継続的に行います。

教育・啓発

当社グループは情報セキュリティに関する社内理解の促進が重要であるという認識のもと、情報セキュリティの人的対策を重視し、すべての役員及び従業員を対象に情報セキュリティの重要性に関する教育・訓練を年1回以上実施しております。また、受講状況や理解度をモニタリングし、必要に応じて補完的研修も実施しております。

組織体制の構築

当社グループは、情報セキュリティ対策を経営上の重要課題のひとつと位置づけ、当社社長が定める情報セキュリティ統括責任者を設置し、ISMSの体制を整備のうえ、ISO/IEC 27002に基づく管理策も参考にしながら、必要な対応を実施いたします。ISMS認証は第三者機関により取得・維持しており、組織的な管理体制の強化と透明性の確保に努めております。
また、当社では情報セキュリティ対策基本規程に基づき、システム委員会及びセキュリティ委員会、事務局を組織しております。その役割と責任については以下のように定めております。

システム委員会

当社グループのセキュリティ対策における意思決定機関であり、原則として月1回の会議を開催いたします。当社社長を委員長とし、情報セキュリティ統括責任者の他、情報管理責任者が委員として出席します。また、事務局が委員会運営のため同席します。また、審議の内容によっては、委員以外の者が委員長指示のもと会議に参加することがあります。
主な役割と責任は、

1. マネジメントシステム全般に関する立案、運用、見直し、改善対応についての審議・調整及び決定
2. ISMS推進のための組織横断的な審議・調整
3. ISMSにおける各種施策の推進やリスクへの対応、関係法令等の遵守を確実にするための支援
4. セキュリティに関する重大な事件・事故が発生した場合の対策の検討及び決定

となります。

セキュリティ委員会

システム委員会での決定事項やセキュリティやマネジメントシステムの情報共有を行うための組織として、原則として月1回の会議を開催いたします。情報セキュリティ統括責任者を委員長とし、各部門のセキュリティ委員が出席します。また、事務局が委員会運営のため同席します。
主な役割と責任は、

1. ISMS年間目標の共有
2. 年間目標に基づく各種施策等の案内及び対応状況の確認
3. 情報セキュリティに関するニーズの共有、審議

となります。

事務局

当社グループのISMSを円滑に推進させるための補佐及び監視役として、当社情報セキュリティ部がその役割を担います。
主な役割と責任は、

1. セキュリティ委員会及びシステム委員会の事務局対応
2. ISMSの推進と進捗管理及び各種結果の取りまとめと報告
3. ISMSに関する対外的対応(各部門への調査依頼及び対応結果の取りまとめを含む)
4. セキュリティインシデントの対応状況の確認、関係先への報告
5. 組織のISMSに変更が生じる場合の計画策定と管理

となります。

リスク管理の実施と評価

当社グループが保有する情報資産を多様なリスク（漏洩、改ざん、滅失、サイバー攻撃など）から保護するため、体系的なリスクアセスメントを定期的に実施し、識別されたリスクの性質と影響度に応じた適切なセキュリティ対策を適用いたします。また、当社グループの重要業務に関わる情報資産を委託している外部サービスについても、契約管理及び年次レビュー等を通じて適切なセキュリティが確保されていることを確認しております。

苦情処理・救済措置

当社は、内部通報制度を通じて、情報セキュリティに関する懸念、事故、違反に関する通報や相談を匿名でも受け付けます。通報内容は監査役を通じて代表取締役に共有されます。また、通報内容が代表取締役個人に関する場合、監査役を通じて取締役会に共有される仕組みを有しております。通報された事案については、迅速かつ公正に調査を行い、適切な救済措置を講じ、再発防止に取り組みます。通報者に対しては、報復や不利益な取り扱いを一切行わないことを徹底し、必要な保護措置を講じます。制度を実効的に機能させるため、年に4回、匿名通報窓口の存在、利用方法、安全性、保護措置について社内周知を行います。
また、情報セキュリティインシデントの発生防止に努めるとともに、万が一、事件・事故が発生した場合やその予兆があった場合には、速やかに是正措置を講じ、再発防止に努めます。必要に応じて、当該事象に関する再発防止策を全社に周知し、継続的な改善を図ってまいります。

監査・制裁

当社は、本方針の実効性を確保するため、内部監査等により遵守状況を点検します。また、従業員の懲戒処分を実施する際に公正な取扱いの検討を目的に人事部を事務局とした懲戒委員会を組織しており、社長が委員長を務めます。故意もしくは、会社経営に重大な被害をもたらす、方針への違反が判明した場合には、就業規則等に基づき厳正に対処しております。

ステークホルダーとの対話

当社グループは、本方針の実効性を高めるため、社内外のステークホルダーとの対話を重視しております。継続的な意見交換や協働を通じて、より良い情報セキュリティ対応の取り組みへとつなげてまいります。

管理指標

当社は、方針の実効性について、以下の指標を目標として管理しております。実績値については統合報告書もしくは、サステナビリティレポート等を通じて年1回以上、継続的に公表いたします。

• ISMSに対応したセキュリティ研修の実施：年1回以上
• ISMSに対応したセキュリティ研修受講率：100%（休職者を除く）
• システム委員会の開催：年12回以上
• セキュリティ委員会の開催：年12回以上
• ISMSに対応し、年間を通じて取り組む是正方針の全社周知：年1回以上
• 当社グループの重要業務に関わる情報資産の取り扱いを委託しているすべての外部サービスの安全状況確認：年1回以上
• 本方針のレビュー実施：年1回以上

継続的な見直し

当社グループは、これらの取り組みを通じてグループとしてのISMSを確立すると共に、社会情勢や技術革新に伴う経営環境の変化に合わせた見直しと改善に継続的に取り組んでまいります。
本方針は、東京証券取引所が定めるコーポレートガバナンス・コード、経済産業省が定めるサイバーセキュリティ経営ガイドライン、ISMS認証基準及び社会的要請、GRIスタンダード（GRI 418: 顧客プライバシー）、法令・技術環境の変化を踏まえて、必要に応じて見直しを行います。改廃は、当社取締役会の決議によって実施いたします。

制定日：2011年1月27日
最終改定日：2026年3月13日

株式会社ラクス　代表取締役　中村　崇則