1. 目的

当社が保有またはお客様や外部関係機関から受領する情報資産を適切に保護し、まとまるEC店長のサービス提供を通じて業務上の目的を達成するため、情報セキュリティマネジメントを確立・実施・維持し、継続的に改善するにあたっての基本的な方針を明らかにするものです。

2. アクセス権限の適正管理

当社は、最小権限の原則に基づき、従業員および関連サービスに対するアクセス権限を付与・変更・削除します。業務上不要と判断されたアクセス権限は速やかに無効化されます。
また本方針に基づき、アクセス管理を体系的に運用・管理します。

3. 四半期ごとのアクセスレビュー

当社は、全従業員アカウントを対象に 四半期ごとにアクセスレビューを実施 し、業務に対して妥当なアクセス権限が維持されているかを確認します。不要権限や利用されていないアカウントを発見した場合には、速やかに修正・削除を行います。

4. アクセス可能な人物・サービスの定期的棚卸し

当社は、情報にアクセスできる「人物」及び「サービス（外部委託・連携システム含む）」の一覧を、 四半期ごとに確認・更新 し、最新のアクセス状況を把握・管理します。アクセスが不要と判断された対象については、速やかにアクセス権限を無効化します。
また、このプロセスは、上記基本方針に基づくアクセス管理体制の一環として運用されます。

5. コンプライアンスと責任

当社は、情報セキュリティに関連する法令・契約・規程その他の義務を遵守いたします。すべての従業員および関係部門は、本基本方針およびこれに基づき策定された手順に従う責任があります。情報セキュリティに関わる事故が発生または発見された場合には、速やかに適切な報告を行うものとします。

6. リスク管理および継続的改善

当社は、リスクアセスメントを通じて、情報の機密性・完全性・可用性に関わるリスクを把握し、適切な管理策を決定・適用します。また、内部監査・マネジメントレビュー等を実施し、当社の情報セキュリティマネジメント体制（ISMS相当）を継続的に改善してまいります。

7. 本基本方針に基づく管理体制

本方針は、まとまるEC店長の情報セキュリティ体制の核として位置付けられ、すべてのアクセス管理・アクセスレビュー・サービス・システム連携・委託先管理などは、この基本方針に則り運用・管理されます。