情報セキュリティポリシー（情報セキュリティ基本方針）

株式会社KIRI（以下、「当社」といいます。）は、お客様からお預かりする個人情報をはじめ、事業活動において取り扱うすべての情報資産が重要な財産であることを深く認識し、その保護を企業の社会的責務と位置付けています。

お客様・お取引先様・従業員・地域社会など、当社を取り巻くすべてのステークホルダーとの信頼関係をより強固なものとするため、以下のとおり情報セキュリティポリシーを定め、継続的な改善に努めます。

1. 情報セキュリティの目的
当社は、電子商取引サービス（以下、「ECサービス」）を安全かつ安定的に運営するため、情報資産（情報、情報システム、事業拠点、情報処理設備等）の機密性・完全性・可用性を確保し、適切に保護・管理することを目的とします。

2. 適用範囲
本ポリシーは、当社が保有または管理するすべての情報資産、当社の事業活動およびECサービスに関わるすべての従業者（役員、社員、契約社員、アルバイト、業務委託先等）に適用します。

3. 安全管理措置の体系
当社は、以下の安全管理措置を体系的に実施し、継続的な強化に努めます。

（1）組織的安全管理措置
情報セキュリティ推進委員会の設置と体制整備
情報セキュリティ方針の承認・周知・定期的見直し
情報資産管理台帳の整備および更新
情報セキュリティリスクの評価と改善措置の実施

（2）人的安全管理措置
全従業者および委託先従業者への教育・研修の定期実施
機密保持契約（NDA）の締結
情報資産取扱いルールの徹底と遵守状況の確認

（3）物理的安全管理措置
入退室管理による物理的アクセスの制御
盗難・紛失防止対策（施錠・保管設備の管理等）
情報機器の適切な設置・保全、持出管理の実施

（4）技術的安全管理措置
アクセス権限の適正管理（最小権限管理）
不正アクセス防止、通信暗号化、システム防御の実施
ID・パスワード管理ルールの設定と運用
脆弱性管理、マルウェア対策、セキュリティ監視の実施

（5）システム開発・構築時の安全管理措置
開発工程におけるセキュリティ要件の明確化
セキュアコーディングガイドラインに基づく開発
本番環境と開発・検証環境の分離
変更管理、構成管理の徹底
外部ライブラリ・ソフトウェアの適正管理

（6）システム運用における安全管理措置
運用手順書およびドキュメントの整備・更新
変更管理・障害対応・定期点検の徹底
バックアップの取得・保管・復旧手順の確立
ログ管理・監査および不正ソフトウェア対策の実施

（7）サービス運営業務における安全管理措置
各業務での情報取扱手順の明確化
業務用端末・ツールの適正利用管理
外部提供データの社内承認プロセスの徹底

（8）事故対応・法令遵守・事業継続対策
情報セキュリティ事故発生時の迅速な報告・対応・再発防止
個人情報保護法その他関連法令・ガイドラインの遵守
事業継続計画（BCP）の検討・整備・見直し
定期的な内部監査およびリスク評価の実施

4. 継続的改善
当社は、法令改正、技術的進歩、社会情勢の変化に応じて本ポリシーを適宜見直し、情報セキュリティ水準の向上に継続的に取り組みます。

5. お問い合わせ窓口
本ポリシーに関するお問い合わせは、以下の窓口までご連絡ください。
ハーベスト事務局（株式会社KIRI 内）
メール：info@kiri-ltd.com

制定日：2021年2月21日
改訂日：2025年12月9日