最終更新日：2026-03-23

会社概要

• 会社名: 广州束扦商贸有限公司
• 代表者: 邹淼
• 電話番号: +86 19282754001
• メールアドレス: service@mail.vaxonira.com
• 設立日: 2025-10-15
• 納税者番号: 91440105MAG1BJ9P07
• 住所: 广州市海珠区瑞宝北街十六巷3号102房

广州束扦商贸有限公司（以下「当社」）は、百貨店事業を通じてお客様との信頼を最も重要な経営基盤と位置づけています。当社が取り扱うすべての情報資産を、様々な脅威から保護することは社会的責務であると認識し、本方針に基づき、組織的・技術的・人的なセキュリティ対策を継続的に推進します。

第1章 基本方針

1. 機密性の確保：情報資産への不正アクセス、開示、漏えいを防止します。
2. 完全性の保持：情報資産の改ざん、破壊、滅失を防止します。
3. 可用性の維持：必要な時に必要な者が情報資産を利用できるよう、システム及びネットワークの安定運用を図ります。
4. 法令等の遵守：情報セキュリティに関する法令、規制、ガイドライン、ならびに契約上の義務を遵守します。
5. 継続的改善：セキュリティ対策を定期的に見直し、新たな脅威や技術変化に対応して継続的に改善します。

第2章 対象範囲

本方針は、当社が保有するすべての情報資産（個人情報、顧客情報、取引先情報、従業員情報、システム設計書、ソースコード、機器構成情報、営業秘密等）ならびに当社の全役員・全従業員（派遣・契約社員を含む）に適用します。また、業務委託先に対しても、本方針と同等のセキュリティ水準を求めます。

第3章 管理体制と責任

3.1 セキュリティ組織

当社は、以下の体制で情報セキュリティを統括します。

• 最高情報セキュリティ責任者（CISO）：取締役のうち1名を選任し、全社的なセキュリティ戦略の策定と運用状況の最終責任を負います。
• 情報セキュリティ委員会：四半期ごとに開催し、リスク評価、インシデント対応状況、内部監査結果、教育実施状況を審議します。
• 各部門責任者：所属部門内のセキュリティ対策の徹底と、従業員の教育・監督を行います。
• 運用管理担当：システムログの監視、脆弱性診断、アクセス権限の設定変更等を日常的に実施します。

3.2 内部監査

年1回以上、第三者視点による内部監査を実施します。監査では、本方針及び関連規程への適合性、運用の有効性を評価し、改善事項を特定します。監査結果は情報セキュリティ委員会で報告され、経営層が改善計画を承認します。

第4章 情報資産の分類と管理

当社は保有する情報資産を機密度に応じて「公開」「社内限定」「秘密」「厳秘」の4段階に分類し、それぞれに応じた管理体制を定めます。

• 厚秘：顧客の氏名・住所・購入履歴・決済情報、当社の経営戦略、セキュリティ設計情報等
• 秘密：内部監査報告書、従業員の人事情報、取引先契約書等
• 社内限定：就業規則、社内手続き文書等
• 公開：当社Webサイト掲載情報、商品カタログ等

各分類に応じて、アクセス権限、保存方法、廃棄手続きを明確化し、資産台帳を整備します。

第5章 アクセス制御と認証

5.1 アカウント管理

• 全従業員に個人アカウントを発行し、共用アカウントの使用は禁止します。
• 退職・異動時には、アカウントの無効化または権限変更を即時に行います。
• パスワードは、文字数・複雑性の要件を定め、定期的な変更を推奨します（最低12文字、大文字・小文字・数字・記号のうち3種類以上を含む）。

5.2 多要素認証

重要システム（基幹系データベース、クラウド管理画面、メールサーバ管理画面等）へのアクセスには、多要素認証を必須とします。

5.3 最小権限の原則

従業員には業務遂行上必要な最小限のアクセス権限のみを付与します。権限の昇格申請は、所属部門長及び情報セキュリティ担当者の承認を得た場合に限ります。

第6章 暗号化と通信・保存の保護

6.1 通信の暗号化（SSL/TLS）

当社Webサイト（vaxonira）では、お客様が個人情報や決済情報を入力されるすべてのページにおいて、TLS 1.2以上（推奨はTLS 1.3）による暗号化通信を実施します。
これにより、第三者による通信傍受、改ざん、なりすましを防止します。
暗号化証明書は有効期限管理を徹底し、失効前に更新を行います。

6.2 保存データの暗号化（AES）

• 顧客情報、取引先情報、従業員情報を格納するデータベースは、AES-256（Advanced Encryption Standard 256ビット）により暗号化します。
• バックアップ媒体も同様に暗号化し、暗号鍵は鍵管理システムで厳重に管理します。
• 暗号鍵のバックアップ、生成、廃棄手順を定め、権限者以外が鍵を利用できないようアクセス制御を行います。

第7章 Cookieの利用とトラッキング

当社Webサイトでは、以下の目的でCookieを使用します。

• お客様のサイト利用状況の分析（アクセス解析、滞在時間、閲覧ページ等）
• 当社取り扱い商品に関する情報提供の最適化
• サイト機能の維持（ログイン状態の保持、カート機能等）

Cookieには個人を特定する情報は含みません。お客様はブラウザ設定によりCookieの受け入れを拒否できますが、その場合一部のサービスが正常に動作しない可能性があります。
第三者広告配信事業者によるCookie利用については、当社プライバシーポリシーに別途定めるところによります。

第8章 物理的セキュリティ

8.1 入退室管理

• サーバルーム、書庫、管理部門フロアなど重要情報を取り扱う区域は、ICカード認証による入退室管理を実施します。
• 入退室ログは3年間保存し、定期的に不審なアクセスの有無を確認します。
• 来訪者は必ず受付で手続きを行い、社員が常時同行します。

8.2 機器の持ち出し管理

• ノートPC、タブレット、外部記録媒体（USBメモリ等）の社外持ち出しは、事前申請と承認を必須とします。
• 持ち出し機器は、フルディスク暗号化（BitLocker等）を適用し、遠隔消去が可能な状態とします。
• 紛失・盗難発生時は、直ちに情報セキュリティ担当者に報告し、速やかに遠隔消去等の措置を講じます。

第9章 従業員教育とセキュリティ意識向上

当社は、全従業員に対して以下の教育・訓練を実施します。

• 新任時研修：入社後1か月以内に、情報セキュリティの基本、本方針、パスワード管理、フィッシング対策等を必須研修として実施。
• 年次研修：年1回以上、最新の脅威動向やインシデント事例を踏まえた研修を実施。
• 標的型メール訓練：年2回、模擬フィッシングメールによる訓練を実施し、該当者に対しては個別指導を行います。
• eラーニング：四半期ごとにeラーニングコンテンツを配信し、理解度テストを実施します。

教育実施状況は各部門責任者が管理し、未受講者がいないよう徹底します。

第10章 委託先管理

当社は業務委託を実施する場合、以下の手続きを厳守します。

1. 委託先のセキュリティ水準を事前評価（プライバシーマーク、ISO27001等の認証有無、過去のインシデント履歴等）
2. 機密保持契約（NDA）の締結
3. 委託先における情報資産の取扱範囲、保管方法、廃棄方法を文書化
4. 年1回以上、委託先に対する実地または書面による監査を実施
5. 委託先でインシデントが発生した場合の報告体制を明確化

委託先の従業員に対しても、当社と同等のセキュリティ水準を求め、契約上遵守を義務付けます。

第11章 インシデント対応

11.1 インシデント定義

以下の事象を情報セキュリティインシデントと定義します。

• 個人情報の漏えい、滅失、毀損
• 不正アクセス、マルウェア感染
• システム障害による業務停止
• 機器の紛失・盗難

11.2 初動対応

インシデントを発見した従業員は、速やかに所属部門長及び情報セキュリティ担当者に報告します。
担当者は影響範囲の特定、拡大防止措置（ネットワーク遮断、アカウント無効化等）を直ちに実施します。

11.3 報告体制

重大インシデントが発生した場合、CISOを本部長とするインシデント対応チームを設置し、以下を行います。

• 原因調査と再発防止策の策定
• 法令に基づく監督官庁への報告（必要時）
• お客様や取引先への説明・通知（必要時）

11.4 事後分析

インシデント収束後、再発防止策の有効性を評価し、関連規程や教育内容に反映します。インシデント事例は匿名化の上、社内で共有し再発防止に活用します。

第12章 事業継続とデータバックアップ

12.1 バックアップ体制

• 基幹システムのデータは、日次バックアップを取得し、遠隔地に保管します。
• バックアップデータもAES-256により暗号化し、復元手順を定期的に訓練します。
• バックアップ媒体の保管場所は、入退室管理及び耐震・耐火対策を施した区域とします。

12.2 事業継続計画（BCP）

災害や大規模システム障害時における重要業務の継続及び早期復旧のため、事業継続計画を策定し、年1回以上の訓練を実施します。

第13章 リスク評価と脆弱性管理

• 脆弱性診断：Webアプリケーション及び社内システムに対し、年1回以上、外部専門機関による脆弱性診断を実施します。
• パッチ管理：OS、ミドルウェア、アプリケーションの脆弱性修正パッチは、重要度に応じて30日以内に適用することを原則とします。
• リスク評価：年1回、全社的な情報セキュリティリスク評価を実施し、リスク受容基準に基づいて対策の優先順位を決定します。

第14章 プライバシーと個人情報保護

当社は個人情報の保護に関する法律（個人情報保護法）及び関連ガイドラインを遵守します。

• 利用目的の特定：個人情報の収集に際しては、利用目的を明確にし、同意を得た範囲内で利用します。
• 第三者提供：法令に定める場合を除き、お客様の同意なく個人情報を第三者に提供しません。
• 開示・訂正・利用停止：ご本人からの求めに応じ、法令に従い適切に対応します。
• プライバシーポリシー：別途定めるプライバシーポリシーにおいて、個人情報の取扱いの詳細を公表します。

第15章 記録の保存と監査証跡

セキュリティに関する重要なログ（アクセスログ、操作ログ、入退室ログ、インシデント対応記録等）は、保存期間を定め、改ざん防止措置を講じた上で保管します。
ログは定期的に分析し、不審な兆候の早期発見に努めます。

第16章 継続的改善と見直し

本方針は、少なくとも年1回、または法令改正・社会情勢の変化・新たな脅威の出現等があった場合に速やかに見直しを行います。
見直しは情報セキュリティ委員会の審議を経て、経営層が承認します。
改訂履歴を明確にし、最新版を社内ポータルで常時閲覧可能とします。

第17章 お問い合わせ窓口

本ポリシーに関するご質問、ご意見、またはセキュリティ上のご報告がございましたら、下記までご連絡ください。

• サイト名：vaxonira
• 電話番号：+86 19282754001
• メールアドレス：service@mail.vaxonira.com

（日本国内へのお届けに関するお問い合わせも、同窓口にて承ります。）