情報セキュリティ基本方針

情報セキュリティ目標

2024年セキュリティ目標

出社と在宅勤務を組み合わせた新たな勤務体系も定着してきた一方で、新入社員も増えてきました。
そのような状況の中、引き続き全役職員が常に情報セキュリティに対して高い認識を持ち、その重要性を意識した行動を取ることで、社会から
信頼され、お客様に安心感を与えるとともに満足していただける会社として維持できるよう強い意志を持って業務に取り組みます。

制定:2024年4月1日
ジェネクサス・ジャパン株式会社
代表取締役社長　大脇文雄

ISMS適用範囲

認証の対象となっている製品・サービス、活動

ジェネクサス・ジャパン株式会社は、創業以来基本方針にある様に情報セキュリティの維持と継続的な改善を行ってきましたが、それをより確実にするために2010年8月27日にISO/IEC27001:2005の認証を取得しました。

ISMS適用範囲宣言書

改定日:2022年4月1日
制定日:2010年3月3日

ISMS適用範囲

• 1.適用事業
  ・システム開発ツール（GeneXus）の使用権の販売及びサポート
  ・上記開発ツールによる受託開発
• 2.適用組織　全事業所
• 3.適用事業所　【事業所名】:ジェネクサス・ジャパン株式会社本社
  【事業所住所】:東京都品川区西五反田2丁目27番3号
• 4.適用資産　すべての情報資産
• 5.適用技術　すべての技術
• 6.上記に係わる境界の定義
  【外部ホスティング】:Webサーバ（InPulseDigital社）、グループウェア（Google社）、メールサーバ（Google社）
  【外部委託】:受託開発に係わる開発・テスト・保守の再委託は弊社パートナーを中心に、技術サポート、翻訳、動画作成などの一部業務を行っている。

関連法規制の順守の仕組みと実績

関連法規制の順守の仕組みと実績

ジェネクサス・ジャパンが関連している法規制の主な物は次の通りです。

• コンピュータ犯罪防止法
• 不正アクセス禁止法
• 個人情報保護法
• 不正競争防止法
• 著作権法
• 特許法 等

これらの法律・規制事項の順守については、ISMSマニュアルの5.3項に手順を定め、それに従って実施を確実にしています。
ジェネクサス・ジャパンでは、従業員の個人情報は、情報資産の「重要」区分に準ずる扱いとしています。また、法人顧客の情報保護については「情報取扱い手順」を定めそれに従って管理を行っています。
ジェネクサス・ジャパンが販売している「GeneXus」が、生成する成果物には「オープンソース」が含まれています。
このオープンソースの使用にあたってお客様から「著作権法」上の懸念についてのご質問を頂きました。使用しているオープンソースの情報はGeneXus製造元が下記で公開しています。
External utilities used by GeneXus generated web applications

OSSは、著作権に係わる注意と同等の注意を配布について払うことが必要です。
上記を翻訳したものは製品に同梱されていますが、翻訳したものを下記に掲載します。
GeneXusアプリケーションが使用する外部ユーティリティ

この様にジェネクサス・ジャパンでは、お客様からの問い合わせやクレームを元にして、よりお客様に満足して頂けるように管理システム（MS）が日々改善を重ねています。

ステークホルダーとのコミュニケーション状況

ジェネクサス・ジャパンでは、GeneXusの品質やサービスレベルを向上させるために、製造元のGeneXus(旧Artech)社とともに日々努力を重ねています。
GeneXus社が、GeneXusの新しい版をリリースする時は、αテスト、βテストを重ね、リリース候補（release candidate）になったものが、世界中のテスター達からある一定期間バグの報告が上がらなくなったことを確認してからリリースをしています。
バグの修正についてはバグ報告をして頂いたお客様に修正連絡が行き修正されていることを確認して頂くことが手順化されています。
ジェネクサス・ジャパンでは、海外で正式リリースされてから日本での１年間のベータテスト期間を置いてから正式リリースとしています。それでも製品リリース後に、不具合が発生することがあります。
ジェネクサス・ジャパンでは、お客様同士が自由にGeneXusのノウハウを教え合うことができる「Forum」とジェネクサス・ジャパンのお客様のみが使用できる「問題登録追跡システム」を用意しています。
GeneXusのすべてのお客様を対象とした「ユーザ会」を通して、お客様との理解を深める努力を続けています。
これまでも、「GeneXus Day 20xx」という形で情報提供の場を設けてきましたが、今後もGeneXusに関心を持って頂いた、まだお客様になって頂けていない皆様との情報交換の機会を作って行きます。

内部・外部監査／マネジメントレビューの状況

監査の状況

ジェネクサス・ジャパンでは、情報セキュリティのシステムが有効に機能していることを外部監査と内部監査で厳しくチェックしています。

 

	2022年 内部監査	2022年 外部維持監査	2023年 内部監査	2023年 外部更新監査	2024年 内部監査	2024年 外部維持監査
重大な不適合(不適合)	0	0	0	0	0	0
軽微な不適合(改善事項)	0	0	0	0	0	0
観察事項(システムの課題)	2	6	2	3	2	3
システムの長所	–	6	–	7	–	9

外部監査と内部監査で指摘された事項は、「ISMS是正/予防処置要求書」に記票し管理しています。

マネジメントシステムに対する慣れと、ISMS認証を取得した当初の緊張感が薄れてきており、マネジメントサイクルPDCAのうち、例えばパートナー営業部の場合、Doにあたる「預かり時チェック」「委託先チェック」がチェックを実施したと判る形で「記録」に残されていない。そして、そのDo（実施して記録に残す）が確実に行われていることを確認するCheckの機能（営業の場合週次の会議での確認）がうまく機能していない。これはパートナー営業部だけの問題ではなく、定期的に開催されるIS委員会の開催時にも同様な傾向が見られる。「リスク対応計画書の進捗チェック」や「管理策有効性測定」の結果がタイムリーに「管理策有効性測定記録簿」に反映されておらず、本来はCheck機能に当たるIS委員会の場では確認できないことが発生していた。会社として、業務が忙しくなって来たことは確かであり、お客様を最優先にすることは当然であるが、マネジメントサイクルを確実に回すことを再度徹底することが重要であると今回の内部監査でより明確になったと言える。
（ISMS管理責任者：榎本宗義）

マネジメントレビューの状況

ジェネクサス・ジャパンの情報セキュリティ管理システムでは、規格が要求している「マジメントレビューへ入力すべき項目」と「マジメントレビューで言及すべき（出力すべき）項目」のマトリックスをマメジメントレビューの記録の表紙にすることで、ISMSの実施状況が確実にマネジメントに報告され、適切な指摘が貰える様な仕組みを構築しています。

直近のマネジメントレビューでは下記に代表される、数項目の指摘が行われその実施を行っているところです。

• マネジメントサイクルを確実に回すだけでなく、実施の記録を確実に残すこと。
• お客様からのQ&Aへの回答が遅い件は改善が認められるが充分ではない。今年は顧客クレームを0件にすることを目指すこと。
• 昨年実施したモバイル端末の業務利用の試行を踏まえ、業務で活用すること。
• 昨年指摘した「災害時の遠隔での業務の要件をまとめること」を踏まえて、今年は試行まで進めること。
• 今年は昨年以上に「サポートサービス」「SI事業」をひとつの柱に育てる意向である。昨年に引き続き、「情報資産の洗い出し」「リスクアセスメント」「事業継続計画策定」を実施し、サポートサービス等をタイムリーに提供できないことが無い様にすること。