1.情報セキュリティの目的

サマデイグループ（以下「当グループ」といいます）は、人財開発・研修、教育コンサルティング、クラウドサービス、舞台芸術創造等の事業を展開しています。サマデイグループは、当グループのビジネスがお客様との信頼の上に成り立っていることを認識し、お客様第一をモットーに、お客様のニーズに合わせた質の高いサービスを提供することを会社の使命とし、経営方針として活動しています。これらの事業活動において、当グループでは様々な企業情報や個人情報を取り扱っております。お客さまへより価値のあるサービスを提供するため、また、企業としての社会的責任を果たすために、これらの情報資産を適切に取り扱うこと、あらゆる脅威から保護することが重要な経営課題であることを自覚し、当グループの情報セキュリティを適切に管理運営してゆくことを目的に本書を定めます。

2.情報セキュリティマネジメントシステムの確立と実施および継続的改善

当グループの情報セキュリティを適切に管理運営してゆくための組織体制を整え、戦略的なリスクマネジメント活動の状況を反映した、情報セキュリティマネジメントシステムを確立し、実施し、維持し、継続的に改善していきます。

3.法的、規制及び契約上の要求事項の遵守

情報セキュリティに関する法令、国が定める指針その他の規範、ならびに契約上のセキュリティ要求事項を遵守します。

4.教育の実施

当グループの業務に従事するすべての役員、従業員、契約社員および協力会社社員に対し、職務に応じた適切な情報セキュリティ教育を実施します。

5.事業継続管理

当グループ事業の中断を引き起こし得る事象を特定し、災害や事故等からの復旧手順を確立し、事業の継続性を確保します。

6.情報セキュリティインシデントへの対応

情報セキュリティに関連するインシデントに対する、責任体制及び手順を確立し、迅速かつ効果的な対応を実現します。

7.クラウドサービスを提供するための情報セキュリティ方針

当グループは、クラウドサービスプロバイダとして、クラウドサービス利用者または利用が見込まれる者の情報セキュリティ要求事項を満たすため、次の事項を考慮する。

• 1.クラウドサービスの設計及び実装に適用する、最低限の情報セキュリティ要求事項
• 2.認可された内部関係者からのリスク
• 3.マルチテナンシー及びクラウドサービスカスタマの隔離（仮想化を含む。）
• 4.クラウドサービスプロバイダの担当職員による、クラウドサービスカスタマの資産へのアクセス
• 5.アクセス制御手順（例えば、クラウドサービスへの管理上のアクセスのための強い認証）
• 6.変更管理におけるクラウドサービスカスタマへの通知
• 7.仮想化セキュリティ
• 8.クラウドサービスカスタマデータへのアクセス及び保護
• 9.クラウドサービスカスタマのアカウントのライフサイクル管理
• 10.違反の通知、並びに、調査及びフォレンジックを支援するための情報共有指針

制定日 2016年6月15日
改訂日 2018年11月30日

サマデイグループ
グループ代表　相川 秀希

株式会社サマデイ、株式会社ヒューマンデザイン、株式会社アドミッションズオフィスは情報セキュリティマネジメントシステム（ISMS)の国際規格である「ISO/IEC 27001:2013/JIS Q 27001:2014」の認証を2016年12月20日付けで取得しました。