AlphaGoX株式会社（以下「当社」）は、当社が取り扱う情報資産ならびに医療機器、医療機器ソフトウェア（SaMD）、クラウドサービス、AI解析システム等を、サイバー攻撃や不正アクセス、情報漏えい、改ざん、サービス停止等の脅威から適切に保護することを目的として、本方針を定める。
当社は、情報セキュリティおよびサイバーセキュリティを経営上の重要課題として位置付け、患者安全、顧客および取引先の信頼確保、事業継続の確保、ならびに関連法令・規制の遵守を実現する。

本方針は、以下を対象とする。
1.当社の役員、従業員、派遣社員、アルバイト等、当社業務に従事するすべての者
2.当社の業務に関与する委託先、共同研究先、取引先等
3.当社が保有、管理、または利用するすべての情報資産
　・個人情報、医療情報、医療機器データ
　・研究開発情報、設計資料、ソースコード
　・営業情報、契約情報
　・情報システム、クラウド環境、ネットワーク、端末、記録媒体

当社は、以下の原則に基づき情報・サイバーセキュリティ対策を実施する。
1.機密性・完全性・可用性（CIA）の確保
情報資産およびシステムの機密性、完全性、可用性を適切に維持する。
2.リスクベースアプローチ
情報資産および医療機器・サービスに対するリスクを評価し、重要度に応じた対策を講じる。
3.患者安全および品質の確保
サイバーセキュリティを医療機器および医療機器ソフトウェアの安全性・基本性能の一部として捉え、患者および医療現場への影響を最小化する。
4.継続的改善
脅威動向、技術進展、事業内容の変化を踏まえ、セキュリティ対策を継続的に見直し、改善する。

1.当社は、情報・サイバーセキュリティを統括する責任者を任命し、全社的な管理体制を構築する。
2.統括責任者は、本方針および関連規程の策定・運用、リスク評価、教育、監査、インシデント対応の統括を担う。
3.各部門は、自部門の業務内容に応じたセキュリティ対策を実施し、統括責任者と連携する。
4.全従業者は、本方針および関連規程を遵守し、情報セキュリティおよびサイバーセキュリティの確保に努める。

当社は、個人情報保護法、サイバーセキュリティ関連法令、医療機器関連法規、SaMDガイドライン、ならびに顧客・取引先との契約上のセキュリティ要求事項を遵守する。

1.情報資産を識別・分類し、その重要度に応じた管理を行う。
2.医療情報、個人情報、認証情報、暗号鍵、ソースコード等の重要情報については、特に厳格な管理を行う。

1.アクセス制御、認証、暗号化、ログ管理、ネットワーク防御等の技術的対策を適切に講じる。
2.情報システムおよび医療機器・ソフトウェアに対する脆弱性管理およびパッチ管理を実施する。
3.入退室管理、媒体管理等の物理的安全管理措置を講じる。

当社は、全従業者に対し、情報・サイバーセキュリティに関する教育および啓発活動を定期的に実施する。

1.情報漏えい、サイバー攻撃、システム障害等のインシデントが発生した場合、迅速かつ適切に対応する。
2.影響範囲の把握、被害拡大防止、復旧、再発防止策を実施する。
3.法令・規制・契約に基づき、必要な報告および通知を行う。

当社は、重要な情報システムおよびサービスについて、事業継続および早期復旧を可能とする体制を整備する。

本方針および関連規程の遵守状況を定期的に確認し、必要に応じて本方針を見直す。

以上