台湾良得電子株式会社｜  情報セキュリティ方針 
台湾良得電子株式会社（以下「当社」といいます。）は、情報、システム、設備およびネットワーク通信の安全を確保し、人為的ミス、故意または自然災害等により情報資産が盗難、不正使用、漏洩、改ざんまたは破損されるリスクを効果的に低減するため、情報セキュリティマネジメントシステムを構築し、本情報セキュリティ方針（以下「本方針」といいます。）を制定し、情報の機密性、完全性および可用性を確保します。

1. 機密性：
機密情報へのアクセスは、許可された者のみが行えるようにします。

2. 完全性：
使用する情報が正確であり、改ざんされていないことを保証します。

3. 可用性：
必要なときに、許可された利用者が情報および関連資産にアクセスできることを保証します。

本情報セキュリティ方針は、当社の全従業員（契約社員および委託運用業者を含む）に適用されます。

目標：
1. 情報セキュリティ実行委員会を設立し、情報セキュリティ活動の推進を担当させます。
2. 人員の任命および職務の割り当てを評価します。退職、休職、停職、または異動する従業員に対しては、適切な管理および人員バックアップ体制を確立します。また、定期的に情報セキュリティ教育および啓発活動を実施し、従業員の情報セキュリティに関する認識と水準を向上させます。
3. 情報資産の保管制度を確立し、情報資源を効果的に配分、活用および管理します。
4. コンピュータネットワーク防御技術を向上させ、外部からの侵入や破壊を適時に防止します。
5. 情報セキュリティ監査制度を制定し、すべてのコンピュータシステムの安全性について定期的または臨時の監査を実施します。また、いかなる監査記録の削除や改ざんも厳禁とします。

組織体制：

具体的な戦略施策：
当社は、政策面、制度面、防御力、教育訓練の四つの観点から、具体的な情報セキュリティ戦略を策定しています。
1. 情報セキュリティ政策の推進：当社の情報セキュリティ実行委員会は、CISO（最高情報セキュリティ責任者）および各部門の責任者で構成されており、セキュリティ戦略の計画と実行を監督し、情報セキュリティ政策が効果的に推進・実施されることを保証しています。
2. 情報セキュリティガバナンスの成熟度向上：当社はISO 27001情報セキュリティマネジメントシステムを導入し、国際標準に準拠した情報セキュリティ管理体制を構築しています。2025年10月21日付で認証合格通知書を取得しており、現在正式な証明書の発行を待っています。
3. 技術的防御力の強化：当社はTWCERT情報セキュリティアライアンスに加盟し、企業全体の情報セキュリティ防御能力と対応力を向上させています。同時に、ISO 27001マネジメントシステムを統合し、包括的な見直しを行うことで情報セキュリティ防御技術の強化を実施しています。
4.重大なソフトウェア更新や情報セキュリティ上の脅威が発生した際には、社員に対して注意喚起を行い、適切な対応を求めています。
5.当社は経営リスクを考慮し、適切な保険商品を選定することで、潜在的な情報セキュリティ損失リスクを効果的に移転し、安定した経営と持続可能な発展を確保することを目指しています。現在、評価段階にあります。

情報通信セキュリティ管理への投入資源：
当社は情報セキュリティ活動に積極的に取り組み、関連する人材および設備を配置して、情報セキュリティ制度の計画、監視、実行を行っています。実施した対策およびその成果は以下の通りです。
1.2025年にISO 27001情報セキュリティマネジメントシステムの導入を完了し、同年10月に正式に認証を取得しました。
2.情報セキュリティ実行委員会は不定期に開催され、2025年度には合計2回の会議を実施しました。CISO（最高情報セキュリティ責任者）に加え、専任のセキュリティマネージャー1名および専任セキュリティ担当者2名が参加しています。。
3.ファイアウォール、脆弱性スキャン、コンピュータ用ウイルス対策ソフト、メールウイルス対策、スパムフィルタリングなどのエンドポイントハードウェアおよびソフトウェア機器。
4.情報通信システムおよび関連機器のアクセス制御を強化し、アカウントおよび権限の棚卸しを実施するとともに、最小権限の原則を適用し、パスワード管理の仕組みを強化しています。また、システム管理作業に対して記録と監査を実施し、無許可のシステム操作を防止しています。
5.当社は、社内のローカルエリアネットワークおよび関連機器の防御と監視を強化し、ネットワーク分割アーキテクチャを設計しました。物理的なファイアウォール機器を用いて情報サービスゾーンを分離し、重要性やリスクレベルの異なる社内機器をネットワーク上で分割しています。ゾーン間のアクセス権限を制限することで、マルウェアの横方向移動リスクを低減し、活動監査を強化して継続的な診断と防止策の実施を確保しています。
6.社員の情報セキュリティ意識を高めるため、毎年情報セキュリティ関連の教育・訓練を実施しています。2025年10月31日までに延べ106名が受講し、総受講時間は467時間に達しました。また、重大なソフトウェア更新や情報セキュリティ上の脅威が発生した際には、社員に注意喚起を行い、適切な対応を求めています。

情報セキュリティリスクと対応策：
当社は、ネットワークおよびコンピュータに関する情報セキュリティ対策を確立しており、情報セキュリティ規程や手順を継続的に見直し、評価することで、その適切性と有効性を確保しています。 デジタル技術の急速な発展に伴い、ランサムウェア攻撃やソーシャルエンジニアリング詐欺などの情報セキュリティ脅威が増加しています。これらのサイバー攻撃は、当社の外部ウェブサイトやメールサーバーへの侵入を試み、機密情報の破壊や窃取を目的とする可能性があります。深刻なサイバー攻撃を受けた場合、重要なデータを失ったり、外部との連絡が停止したりする可能性があります。 また、悪意のあるハッカーがコンピュータウイルス、破壊的ソフトウェア、またはランサムウェアを当社のネットワークシステムに侵入させ、業務を妨害したり、当社に対して恐喝や身代金要求を行う可能性もあります。 当社は、ハッカーによる侵入、ランサムウェア、DDoS/APT攻撃に対応するため、外部の情報セキュリティ事象を継続的に監視し、新しい知識を吸収してセキュリティ管理を強化するとともに、多層防御および情報セキュリティインシデント対応体制を構築し、サイバー攻撃に対応できるよう社員の情報セキュリティ意識向上にも努めています。

情報セキュリティ実施結果：
2025年10月時点で、当社の事業運営に影響を及ぼす情報セキュリティインシデントは発生していません。