信息安全

artience集团（以下简称“本公司集团”）认识到，将本公司集团拥有和使用的所有信息作为重要的“信息资产”进行妥善地保护和管理，使其保持在安全的状态，确保随时可用于经营活动是在经营方面非常重要的责任与义务。特别是在上述信息的使用严重依靠ICT系统的现代社会，在信息安全中，确保针对电子化信息的网络安全是必不可少的工作。
基于这种基本思路，本公司集团制定了《信息安全基本方针”（以下简称“本基本方针”），为确保信息安全和网络安全，努力对信息资产和ICT系统进行妥善管理和运用。

1. 适用范围

   本基本方针适用于构成本公司集团的所有公司和所有组织机构。同时，本基本方针适用于本公司集团的高管、顾问、员工、合同制员工、临时工、派遣员工等从事本公司集团业务的所有人员（以下统称为“干部员工等”）。此外，构成本公司集团的供应链的所有供应商、业务合作伙伴以及其他相关方也应理解和支持本基本方针。
   其中，本基本方针的目标信息上范围是本公司集团使用的所有信息，其中还包含外部第三方的信息。

2. 遵守法律法规等

   本公司集团应遵守在开展经营活动的国家和地区适用的、与信息安全相关的法律法规、制度、以及包括本基本方针在内的与信息安全、网络安全相关的方针、公司内部规程和规则等。另外，本公司集团应遵守与信息安全相关的社会行为规范、与经营活动相关的各种合同，与作为信息归属方的外部第三方的协议。

3. 信息安全体制

   本公司集团成立了由信息安全活动监督部门主管的“信息安全办公室”。信息安全办公室计划、推进和支援与信息安全和网络安全相关的方针、公司内部规程、规则等的制定、风险管理、事件处理、教育与培训、以及全公司层面的其他信息安全活动。
   另外，本公司集团的各公司各部门任命与信息安全办公室合作，推进和实践现场信息安全活动的“信息安全管理员”，通过这种方式，形成整个集团的信息安全体制。

4. 风险管理

   本公司集团深刻认识到，自己所使用的信息资产随时暴露在灭失、毁损、篡改、非法访问、网络攻击等的风险之下，应开展必要并且合理的风险管理。因此，应通过在董事会和代表取缔役社长监督之下的可持续发展委员会的下级组织风险管理小组和信息安全办公室的合作下，建立信息安全风险管理体制。
   本公司集团在开展与信息安全和网络安全相关的风险识别、评估、降低、对策等风险管理的同时，应定期或临时向董事会和集团经营会议报告。

5. 网络事件的处理

   本公司集团成立了直属于风险管理小组的“artience-CSIRT”（artience-Cyber Security Incident Response Team），作为紧急应对体制，最大限度地降低网络事件的危害，确保业务连续性。artience-CSIRT依据
   （1） 应采取有效措施，降低和排除对作为重要资产的信息的危害
   （2） 始终坚持客户至上，及时、真诚地采取应对措施
   （3） 不对网络攻击犯罪进行妥协，努力维持和提升品牌形象
   的行动原则，依据行动原则，负责发生网络攻击时的初期处理、处理方针的确定、对外发布、与本公司集团内外的组织机构合作和收集信息、消除原因、恢复处理、研究再发预防措施。

6. 确保整个供应链的网络安全

   鉴于在所有的经营活动中不可避免地通过ICT系统构建与公司外部的网络，本公司集团将通过构成本公司集团供应链的供应商、业务合作伙伴、业务受托方、客户以及其他相关方的信息共享和合作，努力确保网络安全。

7. 教育与培训

   本公司集团应依据本基本方针和相关的方针、公司内部规程、规则等设计和制定适当的教育计划，对所有的干部员工等定期和反复实施关于信息安全和网络安全的教育与培训。另外，将通过这种方式，对外表明努力提升干部员工等的信息安全素养和技能，确保本公司集团的信息安全水平。

8. 持续检查和改进

   本公司集团应实施定期和临时的内部审计和调查，确认信息资产和ICT系统的管理、运用是否得到了正确实施。另外，为了迅速适应信息安全与网络安全环境的变化，本公司集团将不断收集和分析与信息安全和网络安全相关的信息，努力识别和理解最新的环境，定期检查相关体制和工作情况，结合最新环境对包括本基本方针在内的方针、规程、规则等进行修订等，持续改进信息安全和网络安全。

9. 修改、废止及管理

   本基本方针的修订和作废由artience 株式会社的董事会决定并实施。
   另外，负责本基本方针的修订、作废等事务的归口部门是全面负责artience 株式会社的信息安全活动的部门。

2024年5月10日 制定（2024年5月10日董事会决议）

• 切实减少和消除对重要资产信息的损害。
• 始终把客户放在第一位，以最快的速度和最真诚的态度对待客户。
• 我们不会屈服于网络攻击的犯罪，并意识到维护和改善品牌形象。