情報セキュリティポリシー

基本方針

当社は、情報セキュリティの重要性を認識し、お客様および関係者の情報資産を適切に保護することを経営の最重要課題の一つと位置づけています。当社は、情報の機密性・完全性・可用性を確保するため、情報セキュリティポリシーを策定し、全従業員が遵守することにより、安全で信頼性の高いサービスの提供に努めます。

適用範囲

本ポリシーは、以下に適用されます。

• 対象者：当社の全従業員・役員、業務委託先・外注先、インターン等当社の業務に従事するすべての者
• 対象システム：当社が管理・運用するすべての情報システム・ネットワーク・クラウドサービス・端末
• 対象情報：当社が取り扱うすべての情報資産（顧客情報・業務データ・システム情報・ソースコード等）

管理責任者

当社の情報セキュリティ管理責任者は代表者（稲岡泰宏）とします。情報セキュリティに関するお問い合わせ・インシデント報告は以下の窓口までご連絡ください。

メールアドレス：toiawase@bnbtoursupport.jp
電話番号：0884-42-3281

情報セキュリティへの取り組み

当社は、情報セキュリティの確保に向けて以下の取り組みを実施します。

• 情報セキュリティに関する規程・手順を整備し、定期的に見直しを行います。
• 全従業員に対して情報セキュリティ教育・訓練を実施し、セキュリティ意識の向上を図ります。
• 適切な技術的・物理的・組織的なセキュリティ対策を講じ、情報資産を保護します。
• 関連する法令・規制・契約上の要求事項を遵守します。

情報資産の管理

当社は、取り扱う情報資産を適切に識別・分類し、その重要度に応じた管理を行います。

• 情報資産の目録を作成・維持し、所有者を明確にします。
• 情報の機密性に応じて適切な取り扱い基準を設け、不正な開示・改ざん・漏えいを防止します。
• 情報資産の利用・保管・廃棄に関するルールを定め、徹底します。

アクセス制御

当社は、情報資産への不正アクセスを防止するため、適切なアクセス制御を実施します。

• 業務上の必要性に基づき、情報システムへのアクセス権限を付与・管理します。
• ユーザー認証を適切に実施し、権限のない者による情報へのアクセスを防止します。
• アクセスログを記録・監視し、不審なアクセスを検知します。

暗号化方針

当社は、情報の機密性を確保するため以下の暗号化措置を実施します。

• 通信はすべてTLS（HTTPS）により暗号化します。
• パスワードはハッシュ化（bcrypt）して保存し、平文では保存しません。
• 機密性の高いデータは保存時に暗号化を適用します。

物理的セキュリティ

• サーバーはデータセンター（クラウドインフラ）に設置し、物理的アクセスはサービス事業者の管理に委ねます。
• 業務端末は施錠できる環境で管理し、盗難・紛失時は速やかに管理責任者へ報告します。
• 記録媒体・端末の廃棄時には、データを完全に消去または物理的に破壊します。

委託先・サプライチェーン管理

• クラウドインフラ事業者・外注先等の第三者に業務を委託する場合、当社と同等の情報セキュリティ水準を確保するよう契約等により義務付けます。
• 委託先の情報セキュリティ対応状況を定期的に確認します。

事業継続・災害復旧

• システム障害・災害等が発生した場合でも、重要なサービスを可能な限り継続または速やかに復旧できるよう、バックアップ取得・復旧手順を整備します。
• 定期的にバックアップの復旧テストを実施し、実効性を確認します。

情報セキュリティインシデントへの対応

当社は、情報セキュリティインシデントが発生した場合に迅速かつ適切に対応するための体制を整備します。

• インシデント対応手順を定め、担当者・連絡体制を明確にします。
• インシデント発生時には、被害の拡大防止・原因究明・再発防止策の実施を行います。
• 必要に応じて、関係者・監督当局への報告を適時に行います。

継続的改善

当社は、情報セキュリティマネジメントの継続的な改善に取り組みます。定期的なリスクアセスメントを実施し、セキュリティ上の脅威・脆弱性を把握するとともに、監査・レビューを通じて本ポリシーの実効性を評価し、必要な改善措置を講じます。本ポリシーは年1回以上定期的に見直しを行います。

脆弱性の報告窓口

当社サービスにセキュリティ上の脆弱性を発見された場合は、悪用せず、下記の窓口までご報告ください。誠実に対応いたします。

メールアドレス：toiawase@bnbtoursupport.jp
報告いただいた内容は機密として取り扱い、速やかに調査・対応いたします。