情報セキュリティ基本方針
1.情報セキュリティの目的
近年の情報技術の進歩は、社会の利便性を高めると同時に、一方で情報の氾濫や情報に対する不正アクセスなどのリスクを高めています。このような状況において、当社は、情報を適切に取り扱い保護することが企業としての社会的責務であり、事業活動の基本であると考えます。
よって、当社は情報セキュリティの重要性を鑑み、当社業務に係る情報セキュリティを適切に実現および管理・運営していくことを目的とし、本方針書を設定します。
2.情報セキュリティの定義
情報セキュリティとは、情報資産の機密性,完全性および可用性を維持すること。
(1) 情報資産とは、情報と情報システムおよびこれらが適切に保護され機能するために必要なソフトウェア,ハードウェア等の総称をいう。
(2) 機密性とは、情報資産がその参照する権限のないものに漏洩しないこと。
(3) 完全性とは、情報資産が正確かつ完全に維持されること。
(4) 可用性とは、情報資産が定められた方法で、必要なときに利用できること。 なお、情報資産によっては、真正性,責任追跡性,否認防止および信頼性のような特性をも、必要に応じて維持対象とする。
3.適用範囲
本方針書は、当社の管理する情報資産すべてに対して適用する。なお、情報の範囲は、情報システム内に存在する電子的機器にとどまらず、文書,磁気媒体,端末画面,電話・FAXなどすべての形態を含む。
また、本方針書は、当社事業所に勤務する全ての社員および協力会社社員に対して適用される。
4.情報セキュリティの目標
当社は、以下で示す事項を情報セキュリティの目標とする。
(1) 適切な情報セキュリティ管理を実施し、情報セキュリティ事故を未然に防止 し、情報セキュリティ事故の発生ゼロを目指す。
(2) 万が一情報セキュリティ事故が発生した場合でも、その被害を最小限にとど め、迅速な復旧を行い、また再発防止に努める。
(3) 情報資産の可用性を確保し、必要な情報が必要なときに利用できるようにする。
5.情報セキュリティの組織体制
(1) 当社は、情報セキュリティに関する会社の責任者として、情報セキュリティ 責任者を設置する。
(2) 当社は、情報セキュリティの実現および管理・運営が適切に行われているこ とを監査するための責任者として、情報セキュリティ監査責任者を設置する。
6.情報セキュリティの基本方針
(1) 当社は、情報資産に対する権限を与える際、業務上必要な者にのみ必要な権限 を与える。
(2) 当社は、情報資産を次の通り管理する。
・情報資産を法令,契約および当社の定める規定に従って管理する。
・情報資産をその重要性に応じて適切に分類し管理する。
(3) 当社は、情報資産が適切に管理されていることを継続的に監視する。
(4) 当社は、情報資産を職場から持出さないことを原則として運用する。
(5) 当社は、情報資産を私有の情報機器で取扱うことを禁止する。
(6) 当社は、情報セキュリティに関連する事故が発生した場合、次のことを確実に 実施する。
・発見者はルールに従い、速やかに情報セキュリティ責任者にその内容を報告す る。
・事業の中断を最小限に抑え、事業の継続性を確保することに努める。
・情報セキュリティに関連する事故原因を分析し、必要に応じて再発防止策を講 じる。
(7) 当社の社員および協力会社社員は、情報セキュリティ教育を定期的に受講する 。
(8) 当社の社員および協力会社社員は、情報セキュリティに関する法令,契約およ び当社の定める規定などの要求事項を遵守する。
7.周知
本方針書は、すべての役員,社員および協力会社社員に対して周知徹底する。
8.罰則
本方針書および情報セキュリティに関連する規定に違反する行為を行った社員は、その程度に応じて、契約書に定めるところにより懲戒を受ける場合がある。協力会社社員については、契約違反の対象とする。
9.維持・管理
当社は、本方針書を年度末または必要に応じてレビューし、維持・管理する。
個人情報保護方針
1.個人情報とは
個人情報とは、個人に関する情報であって、氏名、住所、電話番号、生年月日その他の記述等により特定の個人を識別できるものをいう。
2.個人情報の取得
個人情報の取得は、適法かつ公正な手段によること。
3.個人情報の利用
(1) 当社は、個人情報を取得の際に示した利用目的の範囲内で、業務の遂行上必要な限りにおいてのみ利用する。
(2) 当社は、個人情報を第三者との間で共同利用し、または個人情報の取扱いを第三者に委託する場合には、当該第三者につき厳正な調査を行い、秘密を保持させるために適正な監督を行う。
4.個人情報の第三者提供
当社は、法令に定める場合を除き、個人情報を事前にご本人の同意を得ることなく、第三者に提供しない。
5.個人情報の安全管理
(1) 当社は、個人情報の管理責任者を置き、個人情報を安全に管理することに努める。
(2) 当社は、個人情報を紛失、漏えい、破壊、改ざん、不正アクセス等の危険から守るため、必要な安全管理措置を実行する。
6.個人情報の開示等
当社は、本人が自ら登録された自己の個人情報について、開示、訂正、削除、追加、利用停止、消去等の要求があった場合には、法令の規定に従い適切に対応する。
7.プライバシーポリシーの変更
この方針の内容は、法令等の変更に伴い変更することがある。
個人情報保護教育規定
1.目的
本規程は、全社員の個人情報保護規程遵守に資するべく、社員教育訓練を計画的、かつ効果的に行うべき必要な事項を定める。
2.適用範囲
本規程における教育の対象は、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員も含むものとする。
3.内容
個人情報保護について
4.教育責任者
教育責任者は、個人情報保護管理責任者があたり、教育訓練の企画・立案を統括する。
5.教育責任者の役割
教育責任者は次の業務を行う。
(1) 年度の教育計画の立案
(2) 教育実施及び実施結果の評価
(3) 教育実施状況の関連部署への報告
6.教育計画
教育責任者は、毎年、教育計画を作成し社長の承認を得るとともに、教育に関する諸行事を推進すること。
7.実施報告
教育担当者は、毎年、教育実施報告書を社長に提出すること。
(1) 教育、訓練名及び内容
(2) 実施年月日
(3) 対象者、人数
(4) 教育、訓練時間
(5) 講師名
(6) 参加者、欠席者
個人情報保護安全対策管理規程
1.目的
この個人情報保護安全対策管理規程(以下、「本規程」という。)は、ケープヒル・コンテムズ(以下、「当社」という。)が、所有する個人情報を安全に取扱い、漏えい、き損、改ざんなどの物理的、技術的、人的被害から守り、その機密性、可用性、完全性を確保し、当社業務運用の効率性及び信頼性を確立し、かつ、維持することを目的とする。
2.適用範囲
本規程の人的適用範囲は、役員、正社員、契約社員、派遣職員、パート・アルバイトを含む全ての従業者を範囲とする。
3.機密区域の特定
(1) 安全管理責任者は、個人情報が保管されている区域、又は取扱われている区域(以下、「機密区域」という。)を特定する。
(2) 安全管理責任者は、機密区域の機密性を保つよう従業員に指示する。
物理的安全管理規程
1. 盗難等の防止対策
個人情報を記録した媒体は施錠できるキャビネット等に保管し、特定者が鍵の管理をする。
2. ノートPCは、ワイヤーロック又は鍵の掛かる場所に保管する。
3. 個人情報を記録した媒体の廃棄については、紙媒体はシュレッダー、電子媒体は物理的破壊により処理する。
4. 個人情報を取扱う情報システムの操作マニュアル等は、鍵の掛かる場所に保管する。
社内の撮影等
1. 社内においては、安全管理責任者及び撮影区域の業務責任者の書面による事前承認なく撮影、録音、録画等を行ってはならない。また、これらの画像、音声等を無断で使用してはならない。
2. 前項の情報システムに関する撮影区域については、安全管理責任者が決定する。
3. 情報システム運用(管理者)
情報システムの管理体制
システム責任者は、情報システムの運用管理を行うシステム担当者を指名し、情 報システムの運用管理に関する指示、通達等を行う。
システム担当者は、システム責任者の指示に基づいて情報システムの設計、 設定、管理、運用を行う。また、システム担当者は、業務上知り得た機密データ を守秘する。
情報システムの運用管理
システム担当者は、サーバ、端末及び電子媒体等の設置場所、台数、仕様、業務責任者、システム利用者を記録及び管理し、年1回以上及び必要に応じて、利用状況、電子機器の所在を確認し、「電子機器管理台帳」に記載してシステム責任者に報告する。
1. システム担当者は、長期間利用しない、又は当面業務に必要でないサーバ、 端末、ネットワーク等は社内ネットワークから隔離する。
2. システム担当者は、情報システムが日本標準時を示すように、6か月に1回 以上又は必要に応じて確認する。
3. 情報システム機器及びデータなどの授受管理
(1) システム担当者は、リース期間の終了、修理、保守、保管、貸出し、廃棄等 により、従業者以外にサーバ、端末及び電子媒体等を引き渡す場合、システム責 任者の承認の上、当該情報システム機器の設定及び電子文書を完全に消去し、復 元できない状態にしてから引き渡す。また、故障等で情報の消去が行えない場合 、機密データが流出・漏えいしないよう、機密保持契約等の対策を講じた後、引 き渡す。
(2) 個人情報が入ったデータの受け渡し時には、「個人情報授受簿」に授受の記 録をとり、郵送や運送便などを使用する場合は、配達記録郵便、簡易書留、セキ ュリティ便、宅配便など、機密度に応じた授受の方法を選択する。
(3) 移送時における紛失・盗難対策として、個人情報を保管している電子媒体に は、暗号化等の措置を行う。
技術的安全管理措置
1. システム担当者は、社内のコンピュータネットワーク環境が、安全、かつ、安定して稼動するよう努める。
2. システム担当者は、通信回線を経由して情報システム機器を社外と接続する場合に、利用するファイアウォール及びルータ等の機器の設定に際し、機密性、完全性及び可用性を確保するよう努める。
3. 個人情報を含んだデータをメール等で送信する場合は、ファイルに暗号化又はパスワードをかける。
4. Webサイト等を利用して、資料請求、採用募集などで個人情報を取得する場合は、SSL等の秘匿化対策を講じる。
5. 無線LANを使用する場合、通信を暗号化する。
ID・パスワード運用
1. 従業者が、新規のユーザIDを必要とする場合、その従業者が所属する業務責任者の承認を得て、「ユーザID発行・削除申請書及び誓約書」を、システム責任者宛に申請し、システム責任者は、それを承認した場合、当該ユーザIDを発行するようシステム担当者に指示する。システム担当者は指示に従って当該ユーザIDを発行する。
2. 従業者が、異動・休職・退職等によりその職務権限が失われた場合、業務責任者は、「ユーザID削除申請書」を作成の上、システム責任者に提出する。システム責任者は、利用資格を喪失したユーザIDを、削除又は無効とするようシステム担当者に指示し、当該IDを速やかに削除又は無効にする。
3. ユーザIDのパスワードは、6ヶ月で更新するようシステム上で設定する。その手順は前1項と同様とする。
4. システム責任者は、システム担当者に対してシステム管理者用ID(以下、「管理ID」という。)を発行する。システム担当者は、「管理用ID発行・削除申請書及び誓約書」をシステム責任者に提出し、管理IDを入手する。
5. システム担当者が、異動・休職・退職等によりその職務権限が失われた場合、システム責任者は、「管理用ID削除申請書」を作成の上、管理IDの削除または無効となるよう速やかに設定する。
アクセス制限
1. システム担当者は、システム利用権限に関するアクセス制御を、業務責任者の依頼によりシステムの設定を行い、また、情報の機密性に従ったアクセス制限を設計・設定し、システム利用者の所属する部門の業務責任者に報告する。ファイルサーバの共有フォルダに設定したアクセス制限については、「フォルダアクセス権」に「フォルダ名」、「アクセス可能なグループ名」等を記録する。設定したアクセス制限は「フォルダアクセス権一覧表」に整理して管理する。
2. 業務責任者は、従業者に付与するアクセス権限を最小限にする。
ソフトウェア管理
1. システム責任者は、当社所有のソフトウェアを管理し、許可を得てシステム担当者により、そのソフトウェアをインストールすることができる。
2. システム担当者は、利用されていない当社所有のソフトウェア及びライセンスを回収する。
3. システム担当者は、ファイルサーバやユーザ端末のOSやソフトウェアについて、セキュリティパッチが自動更新されるよう設定し、その他の機器についてもセキュリティ情報を適時入手し対応に努める。
4. システム責任者は、著作権及びライセンスの管理を年に2回定期的に行う。
ウイルス対策管理
1. システム責任者は、社内ネットワークにて、ウイルス検知システムを運用し、ウイルス対策措置を講じるようシステム担当者に指示し、システム担当者は、適切な措置を講じる。
2. システム担当者は、平素よりセキュリティ情報の収集に努め、インシデントの発生時に速やかな対応ができるようパターンファイルは自動更新とする。
バックアップ管理
1. システム担当者は、ファイルサーバ内のデータのバックアップ(以下、「バックアップ」という。)を実施し、バックアップの記録を残す。
2. 週に1回、フルバックアップを取り、4週間分を保存する。バックアップ終了後は、次回のバックアップまで金庫内に保管する。
3. システム利用者は、各自が使用するPCのローカルディスク内の重要なファイルをファイルサーバの予め決められた個人領域へ定期的にバックアップする。
ログ管理
システム担当者は、情報システムの記録(以下、「ログ」という。)を取得し、特定のフォルダに保管する。また、システム担当者は、当該ログを、1か月に1回以上、又は必要に応じて分析し、その結果を同フォルダの「各種アクセスログチェック結果報告書」に記録する。分析の結果、ログに異常を発見した場合、速やかにシステム責任者に報告し、指示を仰ぐ。
情報システムの利用(利用者)
1. 端末及びネットワークの利用
従業者は、貸与されたPCや周辺機器(以下、「情報システム機器」という。)を、管理する。従業者は、貸与された情報システム機器で、社内に設置されたネットワークを利用することができる。
2. 貸与から利用、返却までの手順を以下のとおりとする。
(1) 業務責任者は必要に応じてシステム責任者に、情報システム機器の貸与を申請する。
(2) 情報システム機器の設置・除去等の管理は、システム担当者の指示に従って行う。
(3) 情報システム機器は、業務上の目的にのみ使用し、私用又は不正に使用しない。
(4) 情報機器に機密データを保管する必要がある場合は、機密データの漏えいを防ぐため、暗号化やアクセス制御等の対策を講じる。
(5) 社有のPCか私有のPCかを問わず、PCは、第三者が利用できる状態で放置しない。
(6) 席を離れるときは、パスワードを設定したスクリーンセーバーを利用する、コンピュータをロックする、ログオフする等の方法で、パソコンの機密性を確保する。 また、60分以上の外出で使用しない場合、終業時や休日、祝日、長期休暇時には必ずPCの電源を切る。
(7) 情報システム機器を長期間利用しない場合は、ネットワークから切り離しておく。
(8) 離職時や転属時等、情報システム機器の使用権限がなくなった場合、速やかにそれらをシステム責任者に返却する。
3. 従業者は、情報機器の紛失・破損・障害等が発生した場合、「備品・書類等の紛失・破損・障害等理由書」を、速やかにシステム責任者に提出し、指示を仰ぐ。
4. 共有ファイルが見られない、メールが使用できない、ホームページの閲覧ができない等、ファイルサーバ、Web・メールサーバ等が原因と思われる障害を発見したときは、すみやかにシステム担当者もしくはシステム責任者に連絡し指示を仰ぐ。
5. 情報機器等の不正利用、及びそれらへの侵害を防ぐため、次の事項を禁止する。
(1) 業務に必要のない情報機器は、社内のネットワークに接続しない。
(2) 業務に必要のないソフトウェアは、PCやサーバにインストールしない。また、プログラム等を保管しない。
(3) 業務に必要のないデータは、PCやサーバに保管しない。
ID・パスワードの運用
情報システム機器を利用するためのユーザIDは、次の手順で管理する。
(1) 発行を受けたユーザIDは、第三者と共有利用せず、自分だけで使用する。
(2) 発行を受けたユーザIDは、そのパスワードを守秘し、第三者に利用されないようにする。
(3) システム担当者が、PCの初期設定をした後、従業者にPCを貸与する。
(4) 離職や転属等の理由で、ユーザIDを使用する権限を失った場合、又はユーザIDが不要となった場合、システム責任者に「ユーザID削除申請書」により削除を申請する。
システム担当者は、発行されたすべてのユーザIDにパスワードを設定する。具体的に以下の手順で管理を行う。
(1) システム担当者が設定した初期パスワードは、システム利用者が速やかに変更する。
(2) パスワードは、6文字数以上で設定する。
(3) パスワードには、英字、数字、記号、大文字、小文字を混在させること。
(4) パスワードに、生年月日や家族名、ありふれた文字の連続など、容易に推測される内容を用いない。
(5) パスワードは、6ヶ月毎に、定期的に変更する。
(6) 過去に設定したパスワードは、再度使用しない。
(7) 設定・変更したパスワードは、「パスワード変更申請書」に記入し、システム責任者に提出する。
(8) パスワードの自動入力等はしない。
(9) パスワード入力時は、第三者に見られないように注意する等、パスワードの漏えい等がないように各自で管理する。
(10)パスワードが漏えいした場合、又はその可能性があると思える場合には、システム担当者に報告し、速やかにパスワードを変更する。
(11)第三者のユーザIDや特権IDについて、パスワードの解読や盗聴を行わない。
(12)パスワードをメモしたものを机上等に置かない。
社外での使用
情報システム機器の社外における使用は、原則禁止とする。ただし、業務上やむを得ない事情がある場合はこの限りではないが、以下の手順に従う。
(1) 持出す際は、事前に使用するPCや周辺機器の名称、使用者名、承認者名(業務責任者)、持出し日時を、「電子機器持出管理台帳」に記録し、システム責任者の承認を得る。
(2) 持出した情報システム機器が盗難されないよう、充分気を配り、電車等の網棚にのせず、自分の身から離さないようにする。
(3) 持出すPCには、原則として機密データは保管しない。持出すPCに機密データを保管する必要がある場合は、機密データの漏えいを防ぐため、暗号化やアクセス制御等の対策を講じる。
(4) 持出したPCにおける機密データの使用は、必要最小限にとどめる。
(5) 返却の際は、返却日時を「電子機器持出管理台帳」に記録する。
(6) 持出した情報システム機器は、原則として翌出勤日までに返却する。
私有の情報システム機器
1. 個人の所有する情報システム機器(以下、「私有機器」という。)を社内に持込み、業務に使用すること、及び社内のネットワークに接続することは、原則として禁止する。ただし、業務上やむを得ない事情がある場合はこの限りではないが、以下の手順に従う。
(1) 持込む際は事前に、私有機器の名称、使用者名、承認者名(業務責任者)、使用日時を、「私有機器持込管理台帳」に記録し、システム責任者の承認を得る。
(2) 私有機器には、原則として機密データは保管しない。私有機器に機密データを保管する必要がある場合は、機密データの漏えいを防ぐため、暗号化やアクセス制御等の対策を講じる。
(3) 私有機器における機密データの使用は、必要最小限にとどめる。
2. システム責任者は、「私有機器持込管理台帳」を管理し、持込み許可の適切性を1か月に1回以上又は必要に応じて確認する。
私有の携帯電話(スマートフォンを含む)
個人の所有する携帯電話(以下、「私有携帯」という。)を社内に持込み、業務に使用することは、原則として禁止する。ただし、業務上やむを得ない事情がある場合はこの限りではないが、以下の手順に従う。
(1) 持込む際は事前に、私有携帯の名称、使用者名、使用日時を、「私有携帯持込管理台帳」に記録し、業務責任者の承認を得る。
(2) 私有携帯には、原則として顧客情報は保管しない。私有携帯に顧客情報を保管する必要がある場合は、顧客情報の漏えいを防ぐため、ナンバーロック等の対策を講じる。
(3) 私有携帯における顧客情報の使用は、必要最小限にとどめる。
業務責任者は、「私有携帯持込管理台帳」を管理し、持込み許可の適切性を1か月に1回以上又は必要に応じて確認する。
ソフトウェアの利用
1. 従業者は、システム責任者の指定するソフトウェアを使用する。
2. 従業者は、システム責任者が許可していないソフトウェア(Winny、Share等)を使用しない。
3. 従業者は、使用しないソフトウェアをシステム担当者に返却する。
4. 従業者は、ライセンスのないソフトウェアを使用しない。
5. 従業者は、社内の所有するソフトウェアを私用で利用しない。
6. 従業者は、私有ソフトウェアを利用しない。
ユーザのウイルス対策
1. 従業者は、システム担当者が設置したウイルス対策システムを利用し、改変を加えてはならない。
2. 前項のウイルス対策措置を講じたにもかかわらず、ウイルス感染が生じたり、その可能性があると判断された場合、それを発見したユーザは、当該機器を速やかにネットワークから遮断し、システム担当者に連絡する。その際、従業者はシステム担当者の対応を待ち、自らの判断で作業してはならない。システム担当者は、当該事例に対応する有効な情報を収集し、適切な対応に努める。
改訂
本規程の改訂は、個人情報保護管理者が代表者の承認を得て行う。