情報セキュリティポリシー

1. 基本方針

ハカル株式会社（以下「当社」）は、マーケティング戦略の立案からデータ分析、CRM施策の実行までの業務を通じて、クライアントの事業データ・顧客データを日常的に預かる事業者です。

当社にとってデータは、事業の意思決定を変えるために使うものです。それ以外の目的でクライアントのデータを使うことはありません。当社が実績の紹介においてクライアントの社名や具体的な数値を公開しないのも、預かったデータを自社の宣伝材料にしないという、この立場の延長にあります。

形のための規程は作りません。当社の体制で確実に運用できる対策を定め、実行し続けることを本ポリシーの基本とします。そのうえで、次の方針を定めます。

• クライアントから預かる情報を、契約および本ポリシーに基づいて管理します
• 情報の取り扱いに関する法令および契約上の義務を遵守します
• 漏えい・紛失・不正アクセス等のリスクを低減するため、合理的な対策を講じ、維持します
• 代表取締役が情報セキュリティの最終責任を負い、本ポリシーの運用と改定にあたります

2. 適用範囲

本ポリシーは、次の範囲に適用されます。

• 対象となる情報：クライアントから預かるすべての情報（事業データ、顧客データ、契約・商談に関する情報を含む）、および当社が業務上取り扱う自社の情報資産
• 対象となる者：代表取締役、および雇用形態・契約形態を問わず当社の業務に従事するすべてのメンバー
• 対象となる環境：業務に使用する端末、アカウント、クラウドサービスその他の業務環境

3. 情報資産の管理

クライアントから預かる情報は、次の原則で管理します。

アクセス制限

• 情報へのアクセスは、当該業務に従事するメンバーに限定します（最小権限の原則）
• アカウントはメンバーごとに個別に発行・管理し、共有しません
• 業務で使用する主要なサービスには多要素認証を設定します

保管

• クライアントデータは、契約で合意した環境、またはアクセス制御された当社管理の環境でのみ保管します
• 業務に使用する端末にはディスク暗号化と画面ロックを設定し、OSとソフトウェアのセキュリティ更新を適時適用します
• 業務上必要な範囲を超えたデータの複製・持ち出しは行いません

廃棄

• 業務終了後のクライアントデータは、契約の定めに従い、返却または復元が困難な方法で削除します
• 機器を廃棄・譲渡する場合は、事前に保存データを消去します

4. 秘密保持

• クライアントとの業務は、秘密保持契約（NDA）または秘密保持条項を含む契約のもとで行います
• 業務に従事するメンバーとは、秘密保持義務を含む契約を締結したうえで業務にあたります
• 秘密保持義務は、契約の定めに従い、契約終了後も存続します

当社は、NDAの有無にかかわらず、実績の対外的な紹介においてクライアントの社名・固有名詞・具体的な数値を公開しません。業種、施策の種類、成果の方向性までに留めます。これは契約上の義務である前に、データを預かる事業者としての当社の方針です。

5. 委託先・ツールの管理

• 業務に使用するクラウドサービス・外部ツールは、提供事業者のセキュリティ体制とデータの取り扱い条件を確認したうえで選定します
• 生成AIを含む外部ツールの利用にあたっては、クライアントの秘密情報の入力可否を、契約および各サービスのデータ取り扱い条件に照らして判断します。入力した情報がサービス提供者の学習に利用される環境では、クライアントの秘密情報を取り扱いません
• 業務の一部を外部に再委託する場合は、クライアントとの契約の定めに従い、再委託先に当社と同等の秘密保持義務・管理義務を課します

6. 事故対応

情報の漏えい・紛失・不正アクセスその他の事故、またはその恐れを認知した場合は、次の対応を行います。

• 速やかに状況を確認し、被害の拡大を防止します
• 影響を受ける可能性のあるクライアントに、遅滞なく報告します
• 原因を調査し、再発防止策を講じます
• 個人情報保護法その他の法令に基づく報告義務がある場合は、法令の定めに従い対応します

7. 教育・点検・継続的改善

• 代表取締役は、本ポリシーの運用状況を年1回以上点検します
• 業務に従事するメンバーに対し、本ポリシーおよび情報の取り扱いルールを周知し、必要な教育を行います
• 事業環境、技術動向、クライアントとの契約上の要請の変化に応じて、本ポリシーを見直し、改定します
• 改定した場合は、本ページにて公表します