情報セキュリティ基本方針

1. 基本理念 / Basic Philosophy

ESTECH合同会社（以下「当社」）は、クラウド型出退室管理サービス「ChecqIn」を通じてお預かりする情報資産の保護を、経営の最重要課題として位置づけます。当社は、お客様・従業者・取引先を含むすべてのステークホルダーの信頼に応えるため、情報セキュリティの確保に組織を挙げて取り組みます。

ESTECH LLC positions the protection of information assets entrusted through ChecqIn as our top management priority. We are committed to ensuring information security across our organization to maintain the trust of all stakeholders.

2. 適用範囲 / Scope

対象情報資産

顧客データ（出退室ログ、名簿情報）、個人情報（氏名、メールアドレス、電話番号）、GPS位置情報、組織情報、技術情報（ソースコード、API仕様、設計文書）、営業秘密（価格戦略、開発計画）

Customer data (attendance logs, roster), personal information (names, emails, phone numbers), GPS location data, organizational data, technical information (source code, API specs, design docs), and trade secrets (pricing strategy, development plans).

対象者

役員、従業者（正社員、契約社員、パートタイム）、業務委託先、情報システム利用者

Officers, employees (full-time, contract, part-time), subcontractors, and information system users.

3. 組織体制 / Organization

当社は小規模事業者として、代表社員が情報セキュリティおよび個人情報保護の一元的責任を負う体制を採用しています。

As a small business, our representative member assumes unified responsibility for information security and personal information protection.

• 最高情報セキュリティ責任者（CISO）: 代表社員 椎名 正弘
• CISO: Representative Member Masahiro Shiina
• 個人情報保護管理者: 代表社員 椎名 正弘
• Personal Information Protection Manager: Representative Member Masahiro Shiina

4. 基本方針 / Basic Policy (10 Principles)

1. 法令遵守 — 個人情報保護法、GDPR、暴力団排除条例、改正労働施策総合推進法（カスハラ対策）等の関連法令およびガイドラインを遵守します。
2. Legal Compliance — We comply with all applicable laws including the Personal Information Protection Act, GDPR, organized crime exclusion ordinances, and the revised Labor Policy Act.
3. リスクアセスメント — 情報資産に対する脅威・脆弱性を定期的に評価し、適切なリスク対策を講じます。
4. Risk Assessment — We regularly evaluate threats and vulnerabilities to information assets and implement appropriate countermeasures.
5. 安全管理措置 — 技術的（暗号化、アクセス制御）、組織的（規程整備、体制構築）、物理的（施錠管理）、人的（教育訓練）安全管理措置を実装します。
6. Security Controls — We implement technical (encryption, access control), organizational (policies, structure), physical (facility security), and human (training) safeguards.
7. 従業者教育 — 全従業者に情報セキュリティ教育を継続的に実施し、セキュリティ意識の向上を図ります。
8. Employee Training — We continuously provide information security training to all employees to enhance security awareness.
9. 委託先管理 — 個人情報の取扱いを委託する場合、委託先の適切な選定・監督を行います。
10. Subcontractor Management — We appropriately select and supervise subcontractors handling personal information.
11. インシデント対応 — セキュリティインシデント発生時の報告・対応・復旧体制を整備し、迅速に対処します。
12. Incident Response — We maintain incident reporting, response, and recovery systems for prompt action.
13. 事業継続 — 災害・障害発生時のサービス継続計画（BCP）を整備し、お客様への影響を最小化します。
14. Business Continuity — We maintain business continuity plans (BCP) to minimize customer impact during disasters and outages.
15. 定期監査 — 年1回以上の内部監査を実施し、情報セキュリティ管理体制の有効性を検証します。
16. Regular Audits — We conduct internal audits at least annually to verify the effectiveness of our security management.
17. 継続的改善 — PDCAサイクルにより、情報セキュリティ管理体制を継続的に改善します。
18. Continuous Improvement — We continuously improve our security management through the PDCA cycle.
19. 透明性 — ステークホルダーに対し、情報セキュリティへの取り組みを透明性をもって開示します。
20. Transparency — We transparently disclose our information security efforts to all stakeholders.

5. インシデント対応 / Incident Response

情報セキュリティインシデントが発生した場合、当社は速やかに影響範囲を特定し、被害の拡大防止、関係者への通知、原因究明、再発防止策の実施を行います。個人情報漏洩事故が発生した場合は、個人情報保護委員会および本人への通知を法定期限内に行います。

In the event of a security incident, we will promptly identify the scope of impact, prevent further damage, notify affected parties, investigate root causes, and implement preventive measures. Personal data breaches will be reported to the Personal Information Protection Commission and affected individuals within legal deadlines.

6. 継続的改善 / Continuous Improvement

本方針は、法令改正、技術環境の変化、事業内容の変更等に応じて、年1回以上のレビューを実施し、必要に応じて改定します。

This policy will be reviewed at least annually in response to legal changes, technological developments, and business changes, and revised as necessary.

7. 制定・改定履歴 / Revision History

• 2026年4月 — 初版制定
• April 2026 — Initial establishment