1 情報セキュリティ方針

社員のほとんどにPCやスマートフォン・携帯電話が支給され、常時情報がやりとりされることがあたりまえの社会となった。情報機器やインターネットを活用しての、事業活動は従来とは比較にならないほどの高度化・高速化している。その中で、個人情報をはじめ様々な情報のやりとりがあり、その観点からも「情報セキュリティ」は重要事項であり、早急に対応しなければいけない経営課題である。
情報漏えいを発生した場合の、社会的信用の失墜が経営状況に与える影響は計り知れない。そのためにも情報セキュリティを担保することが顧客満足にも繋がっていく。
当社では、IT上を流通する情報やコンピュータおよびネットワークなどの情報システム(以下、情報資産)を第4の資産と位置付け、情報資産を重要な資産とし、保護・管理しなければならない。
当社は、情報資産を保護するために、「情報セキュリティ方針」を策定する。
当社の情報資産を利用する者は、情報セキュリティの重要性を十分に認知し、この「情報セキュリティ方針」を遵守しなければならない。
また、当社は業務の効率化や品質の向上を目的としてクラウドサービスを活用している。
クラウドサービスは、これまでのパッケージソフトや独自に構築していたサービスや業務システムを利用する場合と比較すると、その特性に応じたクラウドセキュリティ対策が要求される。 クラウドセキュリティ対策を十分にしておくこと、社員・職員にポリシーを遵守させることも重要である。

2 情報セキュリティポリシーの適用範囲

『情報セキュリティポリシー』の適用範囲は、当社の情報資産に関連する人的・物理的・環境的リソースを含むものとする。
当社の保有するシステムの具体例は、下図で示している範囲とする。

3.1 役員の責務

役員は、『情報セキュリティポリシー』の支持・支援を表明し、率先して情報セキュリティマネジメントを推進しなければならない。

3.2 従業員の責務

従業員には、当社の情報資産の使用を認めるが、それは、円滑な業務遂行の手段としての使用を認めることであり、私的利用を認めるものではない。
従業員は、情報資産を扱う上で、企業利益の維持・向上および顧客満足のために、『情報セキュリティポリシー』に同意し、遵守しなければならない。また、これに違反した者は、その結果について責任を負わなければならない。

3.3 外部委託業者に対する対応

『情報セキュリティポリシー』の適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。

4 情報セキュリティポリシーの構成と位置付け

『情報セキュリティポリシー』は、以下の「情報セキュリティ基本方針」を含む3つの階層に分けて策定・管理される文書とする。

4.1 情報セキュリティ方針

情報セキュリティ方針(以下、「方針」とする)は、当社の情報セキュリティマネジメントにおける方針を記述したものである。この文書に基づいて下層の文書を策定する。

4.2 情報セキュリティ対策規程

情報セキュリティ対策規程(以下、「対策規程」とする)は、方針の下層に位置する文書である。この文書は、方針での宣言を受け、項目毎に遵守すべき事項を網羅的に記述する。

4.3 情報セキュリティ対策手順書

情報セキュリティ対策手順書(以下、「対策手順書」とする)は、対策規程の下層に位置する文書である。この文書は、対策規程で記述された文書をより具体的に、配布するべき対象者毎に内容をカスタマイズして記述する。

4.4 既存の規程との関連

方針は、当社の他の規程(就業規則等)と同等の位置付けの文書とする。よって、この文書の改廃は所定の規程に準じて行うものとする。

4.5 その他関連法規

『情報セキュリティポリシー』は、関連法規と照らして違反することの無いようにしなければならない。また、必要に応じて関連規格に遵守した管理策を導入しなければならない。
関連法規・関連規格としては、以下のものが挙げられる。

国際規格

  • ISO/IEC 27000シリーズ

国内規格

  • JIS Q 15001

国内法規

  • 刑法
  • 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
  • 建築基準法/同施行令
  • 消防法/同施行令/同施行規則
  • 不正競争防止法
  • 著作権法・個人情報の保護に関する法律(個人情報保護法)
  • 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(番号法)
  • 外国為替および外国貿易法(外為法)および輸出貿易管理令
  • 労働契約法
  • 労働基準法
  • 会社法
  • 金融商品取引法
  • 刑事訴訟法
5 情報セキュリティポリシーの公開対象者

1. 情報セキュリティ基本方針は、一般に公開する。

2. 情報セキュリティ方針は、従業員すべてに公開とする。外部には公表しない機密情報として取り扱わなければならない。情報セキュリティ方針以外の文書も機密情報である。

情報セキュリティ対策規程は、情報セキュリティ委員会メンバーと担当部署の者に公開とする。

3. 対策手順書は、該当する業務を行う者に公開とする。

4. 公開しなければ業務を遂行できない場合には、機密保持契約を締結した上で、公開を認める場合がある。

6 基本用語の定義

『情報セキュリティポリシー』における用語は以下の通り定義する。

6.1 情報セキュリティ

情報の機密性、完全性および可用性を維持すること。
機密性は、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること、として定義される。
完全性は、情報および処理方法の正確さおよび完全である状態を安全防護すること、として定義される。
可用性は、許可されたユーザが、必要時に、必要な情報および関連資産にアクセスできることを確実にすること、として定義される。

6.2 リスクアセスメント

情報および情報処理施設/設備に対する脅威と重要度を特定し、事故発生につながる脆弱性および事故のおこりやすさを評価すること。

6.3 リスクマネジメント

リスクアセスメントにより、情報および情報処理施設/設備に影響をおよぼす可能性がある情報セキュリティリスクを明確にし、許容コストに応じて情報セキュリティリスクを制御し、最小限に抑制するか、または除去するプロセスを指す。

6.4 脅威

自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因のこと。

6.5 脆弱性

ハードウェア・ソフトウェアの欠陥、定期点検の不備、要員教育の不備等、脅威を増加させる要因(脆さ、弱点)のこと。

7 体制

情報セキュリティマネジメントを遂行する体制を以下の通り定める。
【情報セキュリティ委員会体制図】

7.1 情報セキュリティ委員会

当社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、全社的なマネジメント体制を整えるものとする。情報セキュリティ委員会の詳細情報に関しては、情報セキュリティ委員会構成メンバーを参照のこと。

7.2 システム事業部

システム事業部は、情報セキュリティ委員会で決定した対策事項を実施および推進する担当部署とする。
システム事業部は、当社の情報機器の管理責任を有し、当社に関係するセキュリティ情報収集を行い、社内のセキュリティ対策に反映させなければならない。また、従業員から収集した情報を、必要に応じて情報セキュリティ委員会に報告しなければならない。

7.3 システムセキュリティ責任者

システムセキュリティ責任者は、システム事業部に属し、システム管理者の作業責任を有する。システムセキュリティ責任者の役割は、システム管理者への作業指示・管理を行い、システム管理者同士での作業の「相互牽制」および「職務の分離」が有効に働くように配慮しなければならない。

7.4 システム管理者

システム管理者は、システム事業部に属し、システムセキュリティ責任者より与えられた管理作業の責任を有する。
システム管理者の役割は、管理を依頼された情報機器に対して、セキュリティ対策を実施する現場レベルでの責任者である。

7.5 オペレーター

オペレーターは、情報システム部に属し、システム管理者の管理下のもとで実質的な作業を行う者である。

7.6 情報セキュリティ担当者

情報セキュリティ担当者は、各部署の部門長によって最低一人は任命され、配置される者である。
情報セキュリティ担当者の役割は、部門内におけるセキュリティ推進および運用の点検結果の収集担当であり、収集した情報は各部の情報セキュリティ委員へ報告する。

7.7 情報セキュリティ監査

情報セキュリティ監査は、運用部門とは独立した組織を構成する事を目的とする。監査人は、自部門業務を監査しない体制を確保する事が望ましい。

8 情報セキュリティ委員会の構成図および構成メンバー
8.1 情報セキュリティ委員会の構成図

委員会の構成は下図の通り定める。
【セキュリティ委員会 構成図】

8.2 常勤委員

常勤委員は、委員長、副委員長、委員とする。

8.3 非常勤委員

非常勤委員は、外部コンサルタント、法律専門家、システムセキュリティ責任者である。非常勤委員は、委員長によって召集されたときに参加する。

8.4 委員長

委員長は、当社の役員を情報統括役員として社長が任命する。委員長は、当社における情報セキュリティマネジメントに関しての最高責任者である。

8.5 副委員長

副委員長は、システム事業部部長とする。副委員長は、委員長の補佐役である。委員長が万一職務を遂行することが不可能になった場合には、委員長の代理となって、職務を遂行する。

8.6 委員

委員は、各部門長とする。委員は、情報セキュリティ委員会への議題(社内および社外で起きているセキュリティ事象への対応等)を提示することができる。

8.7 事務局

事務局は、システム事業部とする。事務局は、情報セキュリティ委員会を運営する上での事務作業を行う。
また、情報セキュリティ委員会で作成・策定した情報セキュリティマネジメント計画書や『情報セキュリティポリシー』文書の管理を行う。

8.8 タスクフォース

情報セキュリティ委員会は、各作業を実施するにあたってタスクフォースを設けることができる。このタスクフォースの責任者は、いずれかの委員とする。タスクフォースには、『情報セキュリティポリシー』策定、緊急時対応等の作業を実施する。

9 情報セキュリティ委員会の役割と責務

情報セキュリティ委員会の主な役割を下記の通り定める。

9.1 情報セキュリティマネジメントの企画および計画

情報セキュリティ委員会は、当社における情報セキュリティマネジメントを実施していく企画および計画を作成し、その計画通り情報セキュリティマネジメントを実施しなければならない。
この企画および計画には、情報セキュリティマネジメントを遂行する為のリスクアセスメント、リスクマネジメントはもちろんのこと、『情報セキュリティポリシー』の見直しや従業員への普及・啓発も考慮に入れなければならない。

9.2 「情報セキュリティポリシー」文書の配布責任

情報セキュリティ委員会は、『情報セキュリティポリシー』を策定または改訂した場合には、迅速に対象従業員へその文書を配布し、周知徹底させなければならない。

9.3 社内教育の実施

情報セキュリティ委員会は、役員、従業員に対し情報セキュリティに関する継続的な社内教育を行う。この社内教育は、意識向上と技術向上の両面から実施しなければならない。

9.4 「情報セキュリティポリシーの遵守状況の評価および改訂」

情報セキュリティ委員会は、従業員の『情報セキュリティポリシー』遵守状況を定期的に調査し、『情報セキュリティポリシー』のレビューを行うこととする。また、従業員の『情報セキュリティポリシー』に対する意見や要望を収集し、その妥当性・準拠性を評価するとともに必要に応じて内容の改訂を行うこととする。

9.5 監査結果の評価及び改訂

情報セキュリティ委員会は、監査の結果を受けて、『情報セキュリティポリシー』の妥当性を評価すると共に、必要に応じて、内容の改訂を行わなければならない。

9.6 社長への報告

情報セキュリティ委員会は、情報セキュリティの維持・管理状況や『情報セキュリティポリシー』の改訂状況、および情報セキュリティに関する事故や問題の発生状況を社長へ報告しなければならない。

9.7 「情報セキュリティポリシー」違反者への処罰

情報セキュリティ委員会は、従業員の『情報セキュリティポリシー』に違反した行為等が判明した場合、該当従業員に対して適切な処置を講じることとする。場合によっては、就業規則に基づいた処罰を管理部に申請することとする。

10 クラウドセキュリティ

クラウドセキュリティは当社のクラウドセキュリティマネジメントにおける方針を記述したものである。この文書に基づいて下層の文書を策定する。

10.1 クラウドセキュリティの管理

組織内のクラウドセキュリティを管理するため、組織内において、クラウドセキュリティを導入し、その実施状態を統制するための管理上の枠組みを確立する。また、情報セキュリティ基本方針を承認し、セキュリティに対する役割を割り当てを行う。

10.2 秘密保持契約

クラウド利用者は、情報保護に対する組織の必要を反映する秘密保持契約をクラウド事業者と締結し、クラウド事業者との契約に必要な秘密保持契約の内容が含まれていることを確認する。

10.3 クラウドセキュリティの提供

セキュリティ要求事項の明確化を行うにあたっては、クラウドサービスの利用に伴い生じる顧客の作業及びリスクを識別する。クラウド利用者が、クラウドサービスの利用に際してセキュリティ要求事項の順守状況を確認できるよう、クラウド事業者はサービスの詳細に関する情報を提供する。

10.4 ログの取得

クラウドサービス提供者は必要なイベント等のログを取得し、取得したログを保持することを確保する必要がある。このため、あたっては、イベントログの範囲、内容等について、クラウド事業者の要求を満足して いることを事前に確認することが求められる。そのため、脅威として監視すべきイベント等を定め、これに基づいて、クラウドサービスとして取得するイベントログの範囲、 内容等を定める。また、定めた取得するログの範囲、内容等について、クラウドサービス提供者の利用規約、SLA 等の規定を確認し、ク ラウド事業者の要求を満足できるクラウドサービス提供者を選定する。

10.5 バックアップ

クラウドサービスでは、複数のクラウド利用者の預託データを一括してバック アップを取得することが多い。このため、クラウド利用者が預託したデータについて、証拠提出の要請や、司法官憲等による提出命令などが生じた場合に、当該クラウド利用者に関する預託データだけではなく、クラウドサービス提供 データの消失から保護する。 情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し検査する。

11 クラウドセキュリティの責任と共有

クラウド利用者は、クラウドサービス利用における責任者を定め,情報セキュリティ管理者一覧などに追記する。クラウドサービスの利用においては、情報システムの構築や利用に関する契約などが多者にわたる可能性があり、責任者を明確に決めて管理を行う。

11.1 クラウド事業者の責任分界

クラウド事業者は,クラウド利用者,クラウド事業者及びインフラ事業者の間の責任分界を明確にし, 文書化する。 クラウド事業者は,クラウドサービスの情報セキュリティに関する窓口を明確にし,開示する。クラウド利用者が,クラウドサービスの利用に際してセキュリティ要求事項の順守状況を確認できるよう,クラウド事業者は,サービスの詳細に関する情報を提供する。
クラウド事業者は,クラウドサービス上で,クラウド利用者のシステムの実務管理者及び運用担当者の 作業を,記録する機能を提供する。クラウド事業者は,クラウドサービス上で,クラウド 利用者のシステムの実務管理者及び運用担当者の作業を記録する機能を,クラウドサービスの利用を検討する者に明示する。 クラウドコンピューティング環境に対する特権操作がクラウド利用者にゆだねられる場合,責任分界を 明確にするために,クラウド事業者及びクラウド利用者双方の作業ログを取得・保管する。

11.2 クラウド利用者の責任分界

クラウド利用者は,クラウドサービス利用における情報セキュリティに関するクラウド利用者及びクラ ウド事業者の責任分界を確認する。クラウド利用者は,情報セキュリティ責任について, クラウド利用者だけでは対応できない内容を明確にする。 クラウド利用者は,クラウド事業者の問合わせ窓口を確認し,窓口情報を最新に保つとともに,クラウ ドサービス利用におけるリスクを識別・管理する。クラウド利用者は,クラウド事業者の監督官庁,管轄裁判所,関連団体,相談窓口などを確認する。クラウド利用者は,利用するクラウド事業者の監督官庁,関連団体を調査し,事故発生時の 連絡リストに追加する。
クラウド利用者は,クラウドサービス上に構築した利用者システムの実務管理者及び運用担当者の作業 が,記録されていることを確認する。クラウド利用者は,クラウドサービス上で記録され た,システムの実務管理者及び運用担当者の作業の記録を,規定に従ってレビューする。

12 情報セキュリティマネジメント

当社は、情報資産を保護するために、情報セキュリティマネジメントを以下の通り進めることとする。
【情報セキュリティマネジメントサイクル】

12.1 リスク分析

当社の情報資産に関するリスクアセスメント、リスクマネジメント全般は、情報セキュリティ委員会が行うこととする。

12.2 情報セキュリティポリシー策定

『情報セキュリティポリシー』の策定・評価・レビューは情報セキュリティ委員会が行うこととする。
情報セキュリティ委員会では、方針および対策規程を策定することとする。
対策手順書に関しては、情報セキュリティ委員会より指名された各情報システムの担当者が策定し、運用しなければならない。

12.3 対策の実施

当社で策定した『情報セキュリティポリシー』に記述した対策は、計画的に実装しなければならない。情報システム部は、セキュリティ対策実装のための計画書を策定し、情報セキュリティ委員会の承認を得なければならない。

12.4 教育、啓蒙

当社は、情報資産を扱うすべての者に対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティ教育を行うこととする。
当社の情報資産に関わるすべての者は、当社が実施する情報セキュリティの教育を受けなければならない。同時に、当社の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ委員に提言することが望ましい。

12.5 評価

情報セキュリティ委員会は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティポリシー』に反映させなければならない。それらは、監査の結果、情報資産の利用者から届けられた情報、情報セキュリティの脆弱性に関する情報の収集等の活動から得られる情報をもとに行われる場合もある。

12.6 文書の改廃

『情報セキュリティ方針』および『情報セキュリティ基本方針』の改廃は、社長の承認を必要とする。対策規程および対策手順は、情報セキュリティ委員会が承認する。

13 違反時における罰則

当社は、『情報セキュリティポリシー』の違反者に対し、厳格な措置をとることとする。情報セキュリティ委員会は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じることとする。

14 情報セキュリティ侵害時の対応

当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。

15 情報セキュリティ侵害時の対応

本方針は、2018年6月1日に社長によって承認され、2018年6月1日より施行する。

お気軽にお問い合わせください。
TEL.0568-31-3118
( 受付時間:8:30 – 17:30 [土・日・祝日除く] )

メールでのお問い合わせはこちら