情報セキュリティ
基本方針

Culture Shift株式会社（以下「当社」）は、事業活動を通じて取り扱う情報資産を保護し、ユーザー、取引先、パートナー企業からの信頼を維持することを最重要課題の一つと位置づけています。
当社は、以下の基本方針に基づき、情報セキュリティの確保と継続的な改善に取り組みます。

当社は、業務上保有・管理するすべての情報資産（個人情報、顧客情報、契約情報、技術情報、ノウハウ等）を対象とし、これらが機密性・完全性・可用性の観点から常に適切に保護されるよう努めます。

経営層の責任のもと、**情報セキュリティ責任者（CISO）**を中心に統括的な管理体制を構築します。役員会およびDX推進会議において、情報セキュリティリスクを定期的に評価し、必要な資源と体制を整備します。

個人情報保護法、サイバーセキュリティ基本法などの関連法令、およびIPA・経済産業省等が定める各種ガイドラインを遵守します。また、契約上のセキュリティ義務や社会的要請にも誠実に対応します。

すべての役員・従業員・委託先に対して、情報セキュリティの重要性を理解させるための教育・訓練を継続的に実施します。特に、内部不正・情報漏えい・不注意による事故を防止する意識醸成を図ります。

当社は、アクセス制御、暗号化、ログ監視、バックアップなどの技術的対策に加え、入退室管理や機器管理などの物理的セキュリティを適切に実施し、情報資産への不正アクセス・改ざん・紛失等を防止します。

万一、情報セキュリティ上の事故や脅威が発生した場合には、速やかに対応体制を発動し、原因究明と再発防止策を講じます。また、定期的なリスクアセスメントに基づき、方針・体制・運用の改善を継続します。

サイバーセキュリティ基本方針

当社は、ユーザーおよびパートナー企業の信頼を最優先に、情報資産の保護と安全なサービス提供を目的として、以下の基本方針に基づきサイバーセキュリティ対策を実施しています。

経営層が主導し、情報セキュリティ基本方針に基づいたサイバーセキュリティ施策を定め、全社員へ周知徹底しています。本方針は、法令（個人情報保護法、サイバーセキュリティ基本法）およびIPAが定めるガイドラインに準拠しています。

**情報セキュリティ責任者（CISO）**を設置し、社内外の情報資産を統括的に管理。代表取締役が定期的にセキュリティリスクを評価し、必要な予算および体制を整備しています。DX推進会議において、セキュリティ関連事項を経営会議レベルで共有・承認しています。

通信経路の暗号化（SSL/TLS）およびアクセス権限の厳格な管理を実施。クラウド基盤（AWS／Google Cloud）上でデータを安全に保管し、冗長構成および自動バックアップを実施。システム改修や新機能実装時には、脆弱性診断および外部レビューを実施。

個人情報・行動データへのアクセス履歴を常時ログ管理し、不正利用や漏洩を防止。緊急時対応マニュアルを整備し、インシデント発生時には速やかに再発防止策を策定。外部委託先にも同等のセキュリティ水準を求め、定期的な契約・監査を実施。

（5）教育・意識向上

全社員に対して年1回以上のセキュリティ教育・訓練を実施し、最新の脅威（フィッシング・マルウェア・内部不正など）に対する理解と対処能力を高めています。

定期的にリスクアセスメントを実施し、管理策の有効性を検証。法令改正や新技術の導入に応じて方針・体制を見直し、継続的な改善を行っています。