Information Security Policy

Nehan株式会社（以下、当社）は、公共領域における入札業務を支援するサービスを提供しています。
当社は、当社が保有する情報資産、並びにお客様からお預かりした情報資産（お客様の業務データ・文書データ、アカウント情報、アクセスログ等）を、事故・災害・犯罪・不正アクセス・内部不正等の脅威から守り、機密性・完全性・可用性を確保することで、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。

1. 経営者の責任

当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。経営陣は情報セキュリティの重要性を認識し、当社サービスの提供（クラウド環境での運用、外部サービスの利用、データの収集・加工・保管・提供等）に伴うリスクを把握した上で、必要な経営資源を提供するとともに、その実現に対して責任を持ちます。

2. 社内体制の整備

当社は、情報セキュリティの維持及び改善のための責任体制を定め、情報セキュリティ対策を社内の正式な規則として整備します。また、情報セキュリティマネジメントシステム（ISMS）を構築し、リスクアセスメントに基づく管理策の選定、内部監査、マネジメントレビュー等を通じて継続的な運用・改善を行います。

3. 従業員の取組み

当社の役員および従業員（業務委託者を含む）は、情報セキュリティに必要な知識・技術を習得し、情報セキュリティへの取り組みを確かなものにします。当社は、定期的な教育・啓発活動を通じて、全従業員の情報セキュリティ意識の向上を図ります。特に、機密情報・個人情報の取扱い、アクセス権限の適正運用、フィッシング等の脅威への対策、開発・運用におけるセキュリティ手順の遵守を徹底します。

4. 法令及び契約上の要求事項の遵守

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。特に、個人情報を含むデータの取扱い、機密情報の保護、ならびに外部委託先・外部サービス利用に関する要求事項（再委託を含む）を適切に管理します。

5. 違反及び事故への対応

当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合、または発生が疑われる場合には、速やかに対処し、被害の最小化、原因究明、再発防止に努めます。当社は、インシデントの検知・通報・初動対応・復旧・再発防止の手順を整備し、必要に応じて関係者への適切な通知・説明を行います。

6. 情報資産の適切な管理

当社は、保有する情報資産を機密性・完全性・可用性の観点から適切に分類・評価し、そのリスクレベルに応じた管理策を講じます。

当社が取り扱う情報資産には、お客様が当社サービス上で登録・作成・連携する情報、当社サービスの提供・運用に伴い生成される情報（ログ等）、および当社が収集・整理・提供する情報（公開情報を含む）を含みます。

当社は、アクセス制御・認証、暗号化、バックアップ、ログの取得・保全、変更管理、脆弱性管理、委託先管理等の対策を継続的に整備・運用し、情報資産の保護に努めます。

制定日：2026年1月1日
Nehan株式会社
代表取締役 鶴巻百門 木嶋諄