ITPoricy

Last-modified: Sun, 02 Jul 2017 22:46:54 JST (2497d)
Top > ITPoricy

情報セキュリティポリシー 草案

違反時における罰則

 当社は、『情報セキュリティポリシー』の違反者に対し、厳格な措置をとることとします。

 情報セキュリティ委員会は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じることとします。

 当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければなりません。

プライバシー及び個人を特定できる情報の保護

 顧客の個人情報(以下「顧客情報」とする)を適切に収集・保管・廃棄における取り扱い時に注意するべき事項をまとめ、発生しうる問題を未然に防ぐことを目的とします。

 顧客情報を取り扱うすべてのコンピュータ及び媒体を対象とします。

(4.2.1 顧客情報を取り扱う部門の特定)

現在は部門の特定を必要としないため省略。

(4.2.2 顧客情報管理責任者の設置)

現在は部門ごとの責任者を設置しないため省略。

顧客情報保護方針の公開

 顧客情報管理責任者は、顧客情報を広く一般から収集する場合、当社のWeb サイトや広告等に当社の顧客情報保護方針を公開しなければなりません。

 顧客情報保護方針には、下記に記載される遵守事項の内容および当社への連絡先を明確にしなければなりません。

顧客情報の収集と保管、破棄

 顧客情報の収集時には、顧客に対して利用目的を明示し、顧客からの同意を得なければなりません。なお、収集以外の形で得た顧客情報を利用する場合は改めて顧
客から同意を得なければなりません。

 収集した情報を顧客に明示した利用目的以外の利用をしてはなりません。また、顧客に示した利用目的に必要な情報以外の情報を収集してはなりません。

 顧客情報に対する登録・参照・変更・削除の実施可能な者を明確にし、顧客情報へのアクセス制限を実施しなければなりません。

 顧客情報を利用する場合、正確な情報を利用しなければならず、そのための保護策を実施しなければなりません。

 顧客情報のバックアップを実施しなければなりません。バックアップした媒体は、顧客情報と同様の管理策を設けなければなりません。

 顧客から当該顧客の顧客情報に関する開示・訂正・削除の要求があった場合、これに対応しなければなりません。

 顧客情報を廃棄する場合、第三者の目にさらされないように注意して廃棄しなければなりません。また、電子媒体等の破棄においては、『システム利用規程』に基づいて実施しなければなりません。

顧客からのクレーム処理

 当社の業務において顧客からクレームを受けた場合には、いかなるクレームでも、速やかに対応しなければなりません。また、第一報を12 時間以内に情報セキュリティ委員会に報告し、その後の対応状況に関しても適宜連絡しなければなりません。

 顧客情報が漏えいしてしまったなど、必要がある場合、情報セキュリティ委員会を開催し、当社の見解を迅速に明確にし、関係者に周知しなければなりません。

情報セキュリティ教育

 情報セキュリティ意識の向上のため、情報資産に携わっているすべての者、またはそれを運用、管理し、業務に携わっているすべての者を対象とし、情報セキュリティ教育、訓練に関わる事項を規定します。各自の責任及びその責任を果たす方法について、認識をさせることを目的とします。

教育の計画立案

 情報セキュリティ委員会は、対象者およびタイミング、もしくはその内容について、各教育を計画し、立案しなければなりません。また、保護すべき情報及び情報を保護するために実施されている管理策を考慮に入れて、計画します。

一般説明会

 情報セキュリティ委員会は、年に1回、情報資産に携わるすべての人に対して、情報セキュリティに関する説明会を実施しなければなりません。

再教育

 情報セキュリティ委員会は、情報セキュリティ違反者に対して、セキュリティの再教育を実施し、違反の再発防止に努めなければなりません。

新入社員、中間採用者への教育

 情報セキュリティ委員会は、新入社員、中間採用者に対して、入社時に情報セキュリティ教育を計画しなければなりません。

(社内異動者への教育)

省略。

(契約社員および協力会社への教育)

省略。

教育の実施

 情報セキュリティ委員会は、情報資産に携わるすべての人に対し、以下の教育内容について、教育資料を使用し、情報セキュリティ教育を実施しなければなりません。

教育内容

・当社の情報セキュリティ方針
・情報セキュリティの問題のもつ意味を理解
・組織や個人の情報セキュリティの重要性
・情報セキュリティ対策
・情報セキュリティ計画
・データ所有者の責任
・モラル教育
・法令、規則等の違反、罰則に関する事項
・禁止行為に関しての教育他
・最新の情報

再教育

 情報セキュリティ委員会は、情報セキュリティ違反者に対して、情報セキュリティの再教育を実施し、違反の再発防止に努めなければなりません。

新入社員、中間採用者への教育

 情報セキュリティ委員会は、新入社員、中間採用者に対して、入社時に情報セキュリティ教育を実施しなければなりません。

(社内異動者への教育)

省略。

契約社員および協力会社への教育

省略。

訓練の実施

 情報セキュリティ委員会は、情報セキュリティに責任をもつ対象者に対し、定期的に、以下の訓練内容について、訓練資料を使用し、情報セキュリティの訓練を実施しなければなりません。

訓練内容

・リスク分析
・情報セキュリティ対策についての導入、管理、運用、利用等
・情報セキュリティ問題の検出、検知、報告、復旧等

教育、訓練資料

 教育、訓練資料は、適切な教育、訓練を行うため、環境の変化及び、管理策の追加変更等を考慮に入れ、定期的な見直しを行います。教育、訓練資料には、以下のものがあります。

・一般説明会教育資料
・再教育資料
・新入社員教育資料
・中間採用者教育資料
・情報セキュリティ対策訓練資料
・情報セキュリティ問題訓練資料

教育実施記録

 情報セキュリティ委員会は、教育、訓練の実施状況に関して以下の記録を行わなければなりません。

・教育の実施日、時間
・教育実施者(部署)
・教育の受講者
・教育の内容

教育運用実施報告、確認

 情報セキュリティ委員会は、情報セキュリティの教育、訓練が適切に行われているかを把握するため、情報セキュリティ教育実施報告書を確認しなければなりません。

懲戒手続

 本規程は、当社の情報セキュリティ違反に対する罰則の適用手順及びそれに関わる遵守事項を規定します。

 情報セキュリティ方針および規程類が適用されるすべての人を対象とします。罰則事項の執行は、情報セキュリティ違反に対する罰則の適用に関わる情報セキュリティ委員会のメンバー、部門長及び人事部門の担当者を対象とします。

罰則案件の届出

 各従業員は罰則に相当すると思われる情報セキュリティ違反を確認した場合、情報セキュリティ委員会に罰則の適用について審議を求める案件の届出を行わ
なければなりません。

情報セキュリティ委員会での審議及び決定

 情報セキュリティ委員会は届出が行われた罰則案件について審議を行い、罰則の適用と再教育についてその要否と程度または内容を決定しなければなりません。また、審議するうえで、以下の事項を考慮します。

  1. 違反の内容及び重大さ並びにその業務上の影響
  2. 最初の違反か又は繰り返し起こされたものか
  3. 違反者は、適切に教育、訓練されていたか
  4. 関連する法令、規則又は取引契約内容についての確認
  5. その他、必要と判断される内容

人事部門での罰則手続き

 人事部門の担当者は情報セキュリティ委員会での決定に基づき、該当者に対する就業規則に従った罰則の決定及び適用に関する手続きの実施をしなければなりません。

再教育

 情報セキュリティ委員会は罰則案件の審議結果で再教育が必要と決定した該当者に対して再教育を実施しなければなりません。

運用確認事項

 人的管理において、以下が行われていることを確認しなければなりません。

  1. 顧客情報の収集、保管、廃棄、クレーム等に関し、定期的に確認を行わなければなりません。また、その状況を記録し保管しなければなりません。
  2. 教育実施後理解度を測り、理解度の低い者に対し、十分な理解が得られるように再教育等を実施しなければなりません。
  3. 関連法令、社内規程及び契約上の義務違反等を明確にし、それに対する被害状況等を確認します。その結果をもって必要な対応策を検討し、実施可能な対応策を行
    わなければなりません。実施が困難な場合は、残存リスクとして従業員が認識しなければなりません。
  4. また、これらの事項については、必ず記録を残さなければなりません。
  5. 関連法規等ついては、定期的に見直し、最新の状態にし、従業員及び必要な契約相手等に知らしめなければなりません。

除外事項

 業務都合等により本規程の遵守事項を守れない状況が発生した場合は、情報セキュリティ委員会に報告し、例外の適用承認を受けなければなりません。

罰則事項

 本規程の遵守事項に違反した者は、その違反内容によっては罰則を課せられる場合があります。罰則の適用については『懲戒手続』に従います。

(外部委託先管理規程)

省略。

文書管理規程

趣旨

 本規程は、情報セキュリティ文書である「情報セキュリティ基本方針」「情報セキュリティ方針」「情報セキュリティ対策規程」「情報セキュリティ対策手順書」及び「記録」に関する策定、改訂、評価、承認、保管、管理、配布、廃棄方法を定めたものであり、情報セ
キュリティ文書の適切な管理と運用を図ることを目的とします。

対象者

 情報セキュリティ委員会(以下、「委員会」とする)の構成メンバー及び情報システム担当者を対象とします。

対象システム

 本規程は情報セキュリティ文書に関するものであり、情報システムや情報機器を対象とはしません。

文書の構成

 情報セキュリティ文書は、以下のように構成されます。

  • 情報セキュリティポリシー
    • 基本方針(公開情報)
    • 情報資産管理規程(機密情報)
    • 情報セキュリティ対策規定(機密情報)
  • 情報セキュリティ対策手順書(機密情報)
  • 記録(機密情報)

情報セキュリティ方針

 情報セキュリティ方針(以下、「方針」とする)は、当社の情報セキュリティマネジメントにおける方針を記述したものです。この文書に基づいて下層の文書を策定します。

情報セキュリティ対策規程

 情報セキュリティ対策規程(以下、「対策規程」とする)は、「方針」の下層に位置する文書です。この文書は、「方針」での宣言を受け、項目毎に遵守すべき事項を網羅的に記述します。

情報セキュリティ対策手順書

 情報セキュリティ対策手順書(以下、「対策手順書」とする)は、「対策規程」の下層に位置する文書です。この文書は、「対策規程」で記述された文書をより具体的に、配布するべき対象者毎に内容をカスタマイズして記述します。

記録

 記録は、情報セキュリティ対策の運用時の証拠を提供するために、作成する必要がある文書です。記録は、読みやすく、容易に識別可能で、検索可能にしておかなければなりません。

(4.2 文書の策定・改訂、評価、承認、保管・管理)

省略。

文書の策定・改訂の方針

 委員会のメンバーは「文書」の策定・改訂の必要性を認識した場合、その「文書」の策定・改訂について提案することができます。

 委員会は提案された策定・改訂案件について審議を行い、策定・改訂を実施するかどうかを決定しなければなりません。

 事務局及び情報システム担当者は実施することが決定した策定・改訂案件について「文書」の文言の変更を行うとともに、策定・改訂内容の記録を残さなければなりません。

文書の配布

対象者への周知と手段

 委員会は、「文書」の策定・改訂を実施した場合、迅速に開示が許可された対象者へ周知しなければなりません。

 文書の配布については、以下を遵守しなければなりません。

  1. 委員会は、「文書」を社内イントラネット上の共有フォルダもしくはWeb サーバ上で公開する
  2. 委員会は、公開された文書へのアクセスが、開示を許可された対象者のみが閲覧できるように正しく制御されるように、管理しなければなりません
  3. 委員会は、ネットワーク上の問題等によって「文書」の閲覧ができなくなることを避けるために、一定数の紙媒体による「文書」を保有していなければなりません

理解度の確認

 配布文書を対象者が理解しているか確認するため、以下を遵守しなければなりません。

  1. 委員会は、メールやタスク管理システム等の手段により、対象者の理解度を確認しなければなりません
  2. 対象者は、委員会からの周知を受けてから、速やかに「文書」の内容を確認し、理解しなければなりません
  3. 対象者は、委員会が用意した理解度確認用の手段を、周知後1週間以内に実施しなければなりません

理解度実施の確認

 配布文書を対象者が理解したか、以下により確認しなければなりません。

  1. 委員会は、対象者が理解度確認の手段をすべて実施し、必要な条件を満たすことにより、「文書」を受け取り正しく理解したとみなすことができます
  2. セキュリティ責任担当者は、メールやタスク管理システム等の手段により未実施者を識別し、未実施者に対して実施を促さなければなりません
  3. セキュリティ責任担当者は、やむを得ない理由で対象者の実施が困難な場合、速やかに委員会に報告しなければなりません

文書の廃棄

 文書の廃棄にあたっては、以下を遵守しなければなりません。

  1. 「方針」の廃棄は、社長の承認を必要とします。「対策規程」及び「対策手順」の廃棄は、情報セキュリティ委員会の承認を必要とします。
  2. 事務局及び情報システム担当者は、「文書」の廃棄の記録を残さなければなりません。

(監査規程)

省略。

物理的管理規程

趣旨

 本規程は、敷地・建物・室・機器・設備等を保護し、それらの損傷や利用の妨害、許可されていないアクセスを防止し、格納する情報の安全性を確保することを目的とする。

対象者

 敷地・建物・室の設置と利用、機器・設備等の利用に関わるすべての従業員。

対象システム

 敷地内のすべての情報システム及びすべての機器。

物理的セキュリティ

(4.1.1 セキュリティ区画の設定)

(4.1.2 セキュリティ区画の運用)

(現状ではセキュリティ区画を設置しないため省略。

機器・設備の保護

 機器、設備を保護するため、以下を遵守しなければならない。

  1. 機器・設備の設置位置については、不正な操作が実施しにくく、不用意な操作ミス(間違いや見落とし)が起こりにくいように配慮しなければならない。
  2. 重要度の高い機器・設備は他のものと分離して設置しなければならない。
  3. 機器を設置する場合、落下や損傷の防止措置をとらなければならない。
  4. 機器の周辺では飲食・喫煙等を行ってはならない。

電源・空調の保護

 電源、空調を保護するため、以下を遵守しなければならない。

  1. 電源・空調室およびその設備には耐震、耐火、耐水などの防災対策を実施しなければならない。
  2. 電源は、必要に応じて安定化装置の導入、負荷変動機器との配電隔離等によって電源容量と品質を確保しなければならない。
  3. 電源は過電流・漏電等による機器への障害に対する保護措置をとらなければならない。
  4. 電源には避雷設備を設置しなければならない。
  5. 重要度の高い機器・設備に対する電源には、無停電装置、バックアップ電源等を設置しなければならない。
  6. 空調設備は機器・設備を適切に運転するために十分な温度・湿度の調整能力を確保しなければならない。
  7. 重要度の高い機器・設備に対する空調設備については予備装置を確保しなければならない。