情報セキュリティ規程

  • 2021年5月12日作成
  • 2021年6月16日更新

モチヤ株式会社

第1章総則

(目的)

第1条

この規程は、モチヤ株式会社(以下「会社」という。)が業務上取り扱う顧客、取引先など(以下「顧客等」という。)の情報資産及び会社の情報資産を各種の脅威から適切に保護することにより、会社の事業活動を正常かつ円滑に行うことを目的とする。

(適用範囲)

第2条

  1. この規程は、業務上取り扱う顧客等の情報資産及び会社の情報資産すべてに適用する。なお、顧客等の情報資産の管理・取扱い等について、契約等により特段運用ルール等を定めている場合には、当該運用ルール等に従うものとする。
  2. 本規程は、前項の情報資産を利用する役員、従業員および元従業員に適用する。

(定義)

第3条

この規程で用いる用語の定義は、次のとおりとする。

  1. 情報セキュリティ責任者とは、情報管理および情報セキュリティの確保に責任がある者をいう。
  2. アカウント管理者とは、情報資産を利用する者に適切なアクセス権限の割当と、資産管理台帳の管理をする者をいう。
  3. 外部パートナーとは、会社の業務委託先の従業員または個人事業者で、会社との業務委託契約に基づき会社または会社の顧客等の情報等の情報資産を利用する者をいう。
  4. 情報資産とは、情報、情報システム、及びこれらを適切に運用・管理・利用するために必要なものをいい、ハードウェア、ソフトウェア、ネットワークや記録媒体のほか、業務上知り得た情報、知識、ノウハウ等をすべて含むものとする。
  5. 機密情報とは、情報資産の中で、許可したもの以外に開示し、目的外に利用された場合、経営資源としての価値を損なう恐れのある情報をいう。

(対象情報)

第4条

この規程の対象情報は、記録媒体を問わず、社内に保管するすべての電子化情報、非電子化情報とし、業務に関する記憶情報を含む。

(保護対象)

第5条

この規程の保護対象は、情報のみに限らず、記録媒体、保管手段および情報システム等のすべてとする。

第2章情報セキュリティの保持義務

(情報セキュリティ保持の基本)

第6条

  1. 情報セキュリティの保持は、日常の経営活動、業務推進、組織運営の一環として取り組む。
  2. 情報セキュリティの保持は、全役職員の責務であり、経営資源と同様に組織を通じて管理する。

(目的外利用の禁止)

第7条

  1. 情報は定められた目的以外に利用してはならない。
  2. 情報資産および情報システムは、私的な目的に利用してはならない。
  3. 情報は、非合法な手段による利用、社内規則に違反した利用および社会通念に反する利用をしてはならない。
  4. 情報は、提供を強要してはならない。

(情報の開示)

第8条

  1. 社外へ情報を開示する場合は、情報セキュリティ責任者の許可を受けなければならない。
  2. この規程に定める範囲以外での利用が業務上生じる場合は、事前に情報セキュリティ責任者の許可を得なければならない。

(情報の返却・廃棄)

第9条

  1. 情報は、開示期限を定め、期限内に返却または廃棄しなければならない。
  2. 社外に保管する場合は、返却または廃棄の確認を必要とする。

(同意書の提出)

第10条

  1. 従業員は入社時に、役員は就任時に、外部パートナーは業務契約時に情報セキュリティに関する「モチヤの委託業務に従事される方へ 情報セキュリティ同意書」(以下「同意書」という。)に署名しなければならない。
  2. 退職する場合は、理由の如何を問わず、退職後も機密情報を開示しないことを制約し、誓約書に署名しなければならない。

第3章情報セキュリティの保持義務

(管理体制)

第11条

  1. 会社の代表取締役又は、それに値する者が、情報セキュリティの総括責任者として、情報セキュリティ責任者を任命する。
  2. 情報セキュリティ責任者は、情報資産および会社の情報セキュリティを統括管理しその責任を負う。
  3. 情報セキュリティ責任者は、情報セキュリティ管理の充実に努めなければならない。

第4章機密情報の管理

(機密情報)

第12条

  1. 会社の情報資産の中で、許可した者以外に開示し、目的外に利用された場合、経営資源としての価値を損なう恐れのある情報を機密情報とする。
  2. 取引先情報を預かっている場合、取引先が機密情報として指定し、かつ、会社が同意した情報は機密情報として取り扱う。

(機密区分の設定)

第13条

会社の情報には、機密区分を設定する。

  1. 機密区分は、次の各号とする。
    1. 個人情報および会社運営管理に必要な情報が記載された機密文書を「極秘」と指定する。
    2. 前項の極秘情報を除く、インターネット上に公開されていない情報およびすべての取引先情報が記載された機密文書を「社外秘」と指定する。
    3. 個人情報を含まずすべての取引先情報が記載された機密文書を「関係者外秘」と指定する。
  2. 機密区分の付与は情報セキュリティ責任者が行い、適宜、見直さなければならない。
  3. 機密区分の付与および変更にあたっては、関連情報との整合性確保の観点から、別途定める機密区分表に基づき合理的に行う。
  4. 情報セキュリティ責任者は、機密区分の変更内容について、周知徹底しなければばらない。

(機密情報へのアクセス管理)

第14条

  1. 機密情報へのアクセス権限は、アカウント管理者が機密区分に照らして付与するものとする。
  2. 機密情報へのアクセス許可は、担当業務に必要な範囲とする。
  3. 機密情報については、利用目的を制限するとともに、アクセス権限者を制限する。
  4. 具体的な管理方法は、別途定める同意書によるものとする。

(電子化情報の取扱い)

第15条

電子化情報は、その特性を考慮し、情報セキュリティの確保に努めるものとする。

(ネットワークセキュリティの確保)

第16条

  1. ネットワークを介した情報資源へのアクセスは、ユーザIDとパスワードにより厳密に管理されなければならない。
  2. パスワードは適切に管理されるとともに、定期的に変更し、不正なアクセスを予防しなければならない。
  3. インターネット利用にあたっては、マナーを守り、外部に迷惑をかけてはならない。
  4. 極秘情報については、ネットワーク経由での送付を禁じる。

(個人情報の取扱い)

第17条

個人情報の取扱いは、個人情報保護法に準拠して行うものとする。

(知的財産権の尊重)

第18条

知的財産権は、これを尊重しなければならない。

第6章緊急事態への対応

(緊急事態の想定と対応計画)

第22条

  1. 情報セキュリティに関しては、緊急事態を想定した対応策を定めなければならない。
  2. 情報セキュリティに関する緊急事態の発生に備え、複数の連絡手段による連絡網を整備する。

(緊急事態発生時の対応)

第23条

  1. 情報セキュリティに関する緊急事態が発生した場合は、情報セキュリティ責任者のもとに対応する。
  2. 緊急事態の発生時には、あらかじめ定めた連絡網により関係者へ緊急連絡するとともに、協力して解決にあたるものとする。

第7章情報セキュリティ教育

(基本的教育)

第24条

  1. 管理者に対しては、情報セキュリティ教育を定期的に実施する。
  2. 情報セキュリティ管理の状況を、定期的に従業員へ知らせることにより、管理レベルの向上に資するものとする。

第8章点検

(自己点検)

第25条

情報セキュリティ責任者は情報セキュリティ管理状況を自己点検しなければならない。

附則

この規程は,2021年5月12日から施行する。