はじめに
当社は、デジタルインフラストラクチャー構築やそれに伴うITサポートを主業務としたアウトソーサー企業です。
このような企業運営においては、情報の有効活用なしには継続的な発展や円滑な業務遂行は望めません。しかし、その一方で、あらゆる情報が電子化、システム化、ネットワーク化されたことにより、コンピュータウイルス、不正アクセス、内部犯行、過失などによる情報の滅失、き損、改ざん、及び漏えいなどの問題が多発しています。このような問題が発生すると、情報資産の直接的な損失のみならず、当社のようなIT専門のアウトソーサー企業にとっては、大幅な信用の失墜や損害賠償などの副次的な損失を被ることになり、ひいては企業の存続を揺るがしかねない事態に発展する可能性が高いものとなっています。
今日のようなIT社会において、事業の発展を目指し、クライアントや顧客から社会的な信頼を得るためには、日頃から役員・社員・契約社員・アルバイト・委託企業に属する社員などの各自が当社の情報資産の重要性を十分認識し、その適切な取り扱いと保護に努めなければなりません。
そのため、セキュリティ水準の向上を当社の最も重要な施策として位置付け、その指針としてここにセキュリティポリシーを定めます。
【用語の定義】
- 情報資産とは、以下をさします。
(1) 当社のクライアント名
(2) 当社ならびに当社のクライアントの営業上の情報及びノウハウ
(3) 当社ならびに当社のクライアントの財務に関する情報
(4) 当社の保有個人データならびに当社に預託された顧客情報
(5) 当社ならびに貴社のクライアントの役員・社員・派遣社員・アルバイトの個人情報
(6) 知的財産権を有する資産
(7) (1)乃至(6)を保管する機器
(8) その他当社が定めるもの
【本セキュリティポリシー等の公表】
本セキュリティポリシーならびに以下の項目は、当社Webページ又は書面にて公表いたします。
(1) 必要な事項として政令が定めるもの
【本セキュリティポリシーの目的・適用範囲・適用対象者】
- 本セキュリティポリシー制定の目的は、当社の取り扱う情報資産の機密性・完全性・可用性を確保しつつ業務を円滑に遂行するための基本的な方針や体制、規則などについて定め、適切なセキュリティ対策を実施することで、当社のセキュリティ水準を向上させるとともに、顧客からの信頼の向上を図ることにあります。
- 本セキュリティポリシーの適用範囲は以下とします。
当社情報システムグループが管理するサーバー上のデジタルデータ、もしくは本社ビル内外を問わず、当社の業務管轄内のクライアントPC上のデジタルデータ・その他当社が所有している非デジタルデータ資産の内の情報資産。
- 本セキュリティポリシーの適用対象者は以下とします。
(1) 役員・社員・出向社員・契約社員・派遣社員・アルバイトなどの雇用形態、職位、勤務地を問わず、当社の就労者
(2) 本セキュリティポリシーの対象となる業務を外部に委託する場合の、外部委託業者
【情報資産の適正な管理】
- 本セキュリティポリシー適用対象者は、情報資産を保護するために、常に抑制・予防・防止・検知・回復策を意識し、行動するものとします。
- すべての情報資産は、当社にとって重要な情報資産と認識するものとします。なお、別途ISO/IEC27001マニュアルで定義する情報資産については、本セキュリティポリシー・ISO/IEC27001に基づき記録・監視・監査するものとします。
- 情報資産は、必要な部署(以下「第三者」という)以外に公開せず、また本セキュリティポリシー適用対象者の退社・契約解除・契約解約時においても、同様とします。
- 情報資産を、容易に第三者に発見される場所・公開されたインターネット上の掲示板等に放置しないものとします。
- 電子メールを利用する際は、デジタル署名・暗号化なしに情報資産を送信しないものとします。ただし、デジタル署名については、情報セキュリティ委員会の決定により実施しないことがあっても許容範囲内とします。
- SSL((Secure Sockets Layer))等の暗号通信技術なしに、Web・電子メール等にて重要な情報資産を取り扱わないものとします。記入フォームに記入した個人情報などの情報をサーバに送信する際、情報の内容は128bit SSLにより暗号化され、第三者による盗聴を防ぎます。
- 弊社Webページをご覧になった場合、アクセスされたコンピュータに情報(クッキー)が保管されることがあります。クッキーは画面間の情報引継ぎを管理し、同一人物であることを確認するために使用しますが、利用者個人を特定・識別するような、氏名・ E-Mailアドレス・電話番号・住所などの情報は一切含まれません。
- 物理的セキュリティ対策を常に留意するものとします。
- 無意識・過失・故意によるウイルス侵入・不正アクセス・ソーシャルエンジニアリング等を許さない言動に努めます。
- 情報資産は、当社では機密性に応じて、極秘・部外秘・社外秘・特定公開・公開に分類しますが、その分類に関わらず、すべての情報資産には、著作権・意匠権・商標権・実用新案権に代表される知的財産権が含まれていることを本セキュリティポリシー適用対象者は認識し、不法行為が行われることがないよう留意するものとします。
- 個人情報保護においては、本セキュリティポリシーと同時に、財団法人日本情報処理開発協会が創設したプライバシーマーク制度・個人情報の保護に関する法律・別途定められているプライバシーポリシー等を遵守して、実施するものとします。
- 適用対象者が本セキュリティポリシー遵守の義務を怠った場合、あるいは当社のセキュリティに重大な影響を与えかねないような悪質な行為などが認められた場合には、就業規則・委託契約に基づいた懲戒・処分などを行うことがあるものとします。
【情報資産管理体制】
- 各部署の責任者をメンバーとする情報セキュリティ委員会を設置し、委員長・副委員長・委員・セキュリティ担当役員を設け、最低月1回の情報セキュリティ委員会会議を実施するものとします。
- 情報資産は、ISO/IEC 27001に基づいた情報資産一覧台帳を半期単位で作成し、リスク分析後、リスクコントロール・リスクファイナンスを実施するものとします。当社は、情報資産の内容ごとに、管理責任者をおくと同時に、取締役、執行役員、監査役、従業員等、当社業務の個人受託者に対する教育を徹底させ、情報資産の適切な管理を行わせております。
- 当社は、当社保管の情報資産の改変・紛失防止のために、組織的、人的、物理的、かつ技術的安全管理措置の全部又は一部を実施し、情報資産に対する不正アクセス、滅失、き損、改ざん、及び漏えいなどを防止すると同時に、事故が発生した場合に備えて、証拠を保全してその原因を追求できるような体制を構築しております。万一、かかる事故が発生した場合でも迅速かつ適切に対処して、事故の再発の防止等、その是正のため最大限の努力をいたします。
- 当社の業務遂行のために当社が外部委託業者に対して情報資産を扱う業務を委託することがあります。この場合、受託者の責任者・当社ならびに受託者の責任の明確化・秘密保持義務・安全管理義務・契約終了時の情報資産の返却及び消去・再委託に関する事項・情報資産の取扱状況に関する当社への報告の内容及び頻度・契約内容が遵守されていることを当社が確認できる事項・契約内容が遵守されなかった場合の措置・事件/事故が発生した場合の報告/連絡に関する事項を契約書に定め、適切に監査するものとします。
【情報資産の第三者への提供の制限】
弊社が保管する情報資産を第三者に提供することはいたしません。ただし、以下の場合は除きます。
(1) サポートサービスご利用で決済が必要な場合(金融機関との間で、銀行口座やクレジットカードの有効性を確認するために、個人情報を交換することがあります)
(2) サポートサービスご利用もしくは従業員等・当社業務の個人受託者の採用活動にてポリシー共通会社間で個人データの共同利用が必要な場合
(3) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ法令に基づき又は本人もしくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合
(4) 合併、会社分割、営業譲渡その他の事由によって事業の継承が行われる場合
(5) 法令により要求された場合
【セキュリティポリシー等の改善】
当社は、下記の情報資産の保護に関連する法律及びこれに基づく各種ガイドライン等の規範、その他の法令・規範を遵守するとともに、かかる法令等を遵守するための個人情報保護規程、情報資産保護規程、その他のコンプライアンスプログラムを策定し、また各ポリシー・コンプライアンスプログラムの内容を継続的に見直し、改善に努めてゆきます。
(1) 刑法第234条2 電子計算機損壊等業務妨害
(2) 刑法第246条2 電子計算機使用詐欺
(3) 不正アクセス行為の禁止等に関する法律
(4) 個人情報の保護に関する法律
(5) 電子署名及び認証業務に関する法律
(6) 不正競争防止法
(7) 著作権法
(8) 特許法
(9) 実用新案法
(10)商標法
(11)意匠法
(12)建築基準法
(13)消防法
(14)商法
(15)民法
(16)ISO/IEC 27001・JIS Q 27001
(17)ISO/IEC 15408・JIS X 5070
(18)JIS Q 15001
(19)JIS Q 2001
以上
|