LobbyAI株式会社（以下「当社」という）は、当社が提供する SaaS「LobbyLocal」を始めとする事業活動において取扱う情報資産をあらゆる脅威から保護するため、以下のとおり情報セキュリティ基本方針（以下「本方針」）を定め、役員・社員・協力会社を含む全関係者が本方針を遵守します。

1. 目的

本方針は、機密性・完全性・可用性を備えた情報セキュリティマネジメントを確立し、顧客ならびに社会からの信頼を維持するとともに、事業継続を確保することを目的とします。

2. 適用範囲

本方針は、当社が保有・管理するすべての情報資産（ハードウェア、ソフトウェア、ネットワーク、クラウド環境、紙媒体等）およびそれらを取扱う全ての従業者に適用されます。

3. 管理体制

    情報セキュリティ責任者： 代表取締役が指名し、方針策定・運用・教育・監査を統括します。
　ISMS運営委員会： 各部門長をメンバーとし、リスク評価・対策状況を四半期ごとにレビューします。

4. セキュリティ管理措置

4.1 物理・環境面

・主要サーバーは 日本国内の Tier‑III 相当以上データセンター または国内リージョンのクラウドに配置。
・データセンターは24時間365日有人警備、多要素認証、二重扉による入退室管理を実施。

4.2 技術的対策

・通信は TLS 1.2 以上、保存データは AES‑256 により暗号化。

・IAM の最小権限を適用し、必要に応じて多要素認証（MFA）を使用。

・プリケーションおよびミドルウェアの脆弱性については、年1回以上のスキャンを実施し、対応が必要な事項については業務影響を考慮のうえ、適切に対応する。

・監査ログ（アクセス・操作・API呼び出し）は可能な限り収集し、保存については合理的な期間を設定のうえ、システムの標準機能を活用する。

4.3 組織的対策

・情報分類基準（公開／社外秘／機密）を定め取り扱いを明確化。

・ 委託先選定時にセキュリティチェックリストと NDA を必須化。

・年1回の社内監査を実施。

4.4人的対策

・ 入社時に機密保持契約を締結し、年1回セキュリティ教育を実施。

・ 権限変更または退職等に伴い不要となったアカウントについては、速やかに無効化を実施するものとする。

5. インシデント対応

・インシデント対応プロセス（検知→封じ込め→根本原因分析→報告→再発防止）を整備。

・重大事故（漏えい疑い含む）は発生後 24 時間以内に経済産業省・個人情報保護委員会等へ報告し、関係者に速やかに通知。

6. 適用法令・規格

・個人情報保護法、労働安全衛生法、著作権法をはじめとする関連法令を遵守します。

・ISO/IEC 27001:2022 に準拠した管理体系を段階的に導入し、認証取得を目標とします。

7. 教育・訓練

・標的型メールへの意識向上を目的に、年1回以上を目安としてフィッシング模擬演習を実施する。

・クラウド設定ミスを題材にしたハンズオン研修をエンジニア向けに実施。

8. 監査・継続的改善

・内部監査部門が年1回以上、システム構成・ログ・手順書を監査。

・監査結果は ISMS 運営委員会で共有し、是正措置を実施。

・PDCA サイクルにより管理策を定期的に見直し、継続的に改善します。

9. 罰則

従業員が本方針に違反した場合、就業規則に基づき懲戒処分の対象とします。委託先が違反した場合、契約に基づき解除・損害賠償請求を行うことがあります。

10. 制定・改定

制定日：2025年6月1日
最終改定日：2025年6月1日