Security Regulations 情報セキュリティ規程
情報セキュリティ規程
- 2021年5月12日作成
- 2021年6月16日更新
- 2022年4月 1日刷新
モチヤ株式会社
第1章総則
(目的)
第1条
この規則は、モチヤ株式会社(以下「会社」という。)が業務上取り扱う顧客、取引先など(以下「顧客等」という。)の情報資産及び会社の情報資産を各種の脅威から適切に保護することにより、会社の事業活動を正常かつ円滑に行うことを目的とする。
(適用範囲)
第2条
- この規則は、第3条第1項第5号で定義する情報資産すべてに適用する。なお、顧客等の情報資産の管理・取扱等について、契約等により特段運用ルール等を定めている場合には、当該運用ルール等に従うものとする。
- この規則は、事業者、従業者及び第3条第1項第5号の情報資産に携わっているすべての者に適用する。
(1)事業者…事業を営む法人その他団体又は個人をいう。
(2)従業者…次の者を総称したものをいう。
①会社の役員
②会社に使用されている従業員
③会社の指揮監督を受ける派遣労働者等
④外部委託契約者
(定義)
第3条
この規則で用いる用語の定義は、次の通りとする。
- 情報セキュリティとは、情報の機密性、完全性及び可用性を維持すること。
・機密性は、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること、として定義される。
・完全性は、情報及び処理方法の正確さ及び完全である状態を安全防護すること、として定義される。
・可用性は、許可されたユーザが、必要時に、必要な情報及び関連資産にアクセスできることを確実にすること、として定義される。 - 情報セキュリティ責任者とは、情報管理及び情報セキュリティの確保に責任がある者をいい、代表取締役が就任する。
- アカウント管理者とは、情報資産を利用する者に適切なアクセス権限の割当と、資産管理台帳の管理をする者をいい、2022年4月1日現在山崎清賀が就任する。
- 外部委託契約者とは、会社の業務委託先の従業員又は個人事業者で、会社との業務委託契約に基づき会社又は会社の顧客等の情報等の情報資産を利用する者をいう。
- 情報資産とは、会社の活動において日々蓄積され、顧客やパートナー企業とのやり取りで発生するものや、受領するすべての情報などを含み、それらの履歴・ログも含めて何らかの形で資産価値を生むものが情報資産という。媒体としては、紙の書類だけでなく、サーバ、SSDやHDD、USBメモリやSDカード等に保存、又は、従業者自身が記憶、掌握されているデータ及び情報すべてを指す。また、これらには、顧客の個人情報、従業員の人事情報、会社の財務情報、契約書、社内システムのソースコード等が含まれる。
- 秘密情報とは、情報資産のうち、外部への開示が予定されておらず、また開示によって企業に損害が生じる可能性のある情報をいう。その詳細については、別途「営業秘密等管理規程」に定める。
- 情報セキュリティ事故とは、以下のような事態を指す。
- セキュリティに対する侵害例 不正アクセスによる情報漏えい、従業員による情報漏えい、ウイルス・マルウエア感染、DoS 攻撃、記録媒体等の紛失 等
- システム・ネットワークの故障・損壊例 電源異常、熱暴走、天災による機器損壊 等
- 情報資産への脅威例 建物への侵入 等
(情報セキュリティ責任者の役割)
第4条
- 情報セキュリティ責任者は、管理対象となる情報資産について、その情報資産の入手時、策定時等においてその価値を把握し、また、その情報資産に対して発生可能性のある自然発生的災害・故障及び人為的故意・過失によってもたらされる脅威の大きさを把握し、情報資産のリスクを評価しなければならない。
- 情報セキュリティ責任者は、管理対象となる情報資産の棚卸しを少なくとも1年に1回(原則毎年4月)定期的に行い、その情報資産の価値を把握し、また、その情報資産に対して発生可能性のある自然発生的災害・故障及び人為的故意・過失によってもたらされる脅威の大きさを把握し、情報資産のリスクを評価し、必要に応じ情報資産の価値、またその情報資産に対して発生可能性のある自然発生的災害・故障及び人為的故意・過失によってもたらされる脅威の大きさについて改訂を行わなければならない。
- その他情報セキュリティ責任者の役割の詳細は、附属する規程に定める。
第2章人的管理
(人的管理)
第7条
- 人的管理は、第2条第2項に規定される者がその責任を理解し、求められている役割にふさわしいことを確実にすることを目的とする。
(人的管理規程)
第8条
- 人的管理のその詳細については別途人的管理規程に定める。
(情報の開示)
第3章外部委託先管理
(外部委託先管理)
第9条
- 外部委託先管理は、第2条第2項に規定される、事業者、就業者であって、会社の業務を外部の業者に委託し、実施する場合の契約における問題及び委託先を管理する上での問題を未然に防ぐことを目的とする。
- この規程に定める範囲以外での利用が業務上生じる場合は、事前に情報セキュリティ責任者の許可を得なければならない。
(外部委託先管理規程)
第10条
- 外部委託先管理のその詳細については別途外部委託先管理規程に定める。
(同意書の提出)
第4章物理的管理
(物理的管理)
第11条
- 物理的管理は、敷地・建物・執務室・機器・設備等を保護し、それらの損傷や利用の妨害、許可されていないアクセスを防止し、格納する情報の安全性を確保することを目的とする。
(物理的管理規程)
第12条
- 物理的管理のその詳細については別途物理的管理規程に定める。
第5章システム管理
(システム管理)
第13条
- サーバ、PC 及びスマートデバイス上の機密性・完全性・可用性を確保し、発生し得る各種問題を未然に防ぐことを目的とし、システム管理を行う。
(システム管理規程)
第14条
- システム管理のその詳細については別途システム管理規程に定める。
第6章システム・デバイスの取扱
(デバイスの取扱)
第15条
モバイルPCを含むPC(携帯可能なパーソナル・コンピュータ端末を含むパーソナルコンピューター全般をいう。以下同じ。)及びスマートフォン(モバイルPCに準じた機能を有する携帯電話及びタブレット型端末をいう。)ほか業務で使用する機器等(以下、「デバイス」という。)を用いた情報管理に係る社内基準を確立し、デバイスの有用性を考慮しつつ、その重要な情報資産と関連する脅威や脆弱性を全社的に認識し、適切なデバイスの使用の原則を定め、情報資産への不正アクセス、紛失、破壊、改ざん及び漏えいの予防等、情報セキュリティ事件事故の発生を防ぐような体制作りを行う。
(システム・デバイス取扱規程)
第16条
- システム・デバイス取扱のその詳細については別途「システム・デバイス取扱規程」に定める。
(モバイルデバイスの取扱)
第17条
モバイルPC(携帯可能なパーソナル・コンピュータ端末をいう。以下同じ。)及びスマートフォン(モバイルPCに準じた機能を有する携帯電話及びタブレット型端末をいう。)ほか、通信機能を持つデバイス(以下総称し「モバイルデバイス」という。)を用いた情報管理に係る社内基準を確立し、モバイルデバイスの有用性を考慮しつつ、その重要な情報資産と関連する脅威や脆弱性を全社的に認識し、適切なモバイルデバイスの使用の原則を定め、情報資産への不正アクセス、紛失、破壊、改ざん及び漏えいの予防等、情報セキュリティ事件事故の発生を防ぐような体制作りを行う。
(モバイルデバイス取扱規程)
第18条
モバイルデバイス取扱のその詳細については別途「モバイルデバイス取扱規程」に定める。
第7章営業秘密等の管理
(秘密等管理規程)
第19条
- 営業秘密等の管理のその詳細については別途「秘密等管理規程」に定める。
第8章情報セキュリティの保持義務
(情報セキュリティ保持の基本)
第20条
- 情報セキュリティの保持は、日常の経営活動、業務推進、組織運営の一環として取り組む。
- 情報セキュリティの保持は、全役職員の責務であり、経営資源と同様に組織を通じて管理する。
(目的外利用の禁止)
第21条
- 情報資産は定められた目的以外に利用してはならない。
- 情報資産及び情報システムは、私的な目的に利用してはならない。
- 情報資産は、非合法な手段による利用、社内規則に違反した利用及び社会通念に反する利用をしてはならない。
(適正取得)
第22条
偽り等の不正の手段、強要などにより情報資産を入手してはならない。
(情報資産の開示)
第23条
- 開示とは、開示の必要な相手方にその情報資産を明らかにすることをいう。
- 社外又は従業者以外へ情報資産を開示する場合は、秘密保持契約に定める範囲の情報資産を除き事前に情報セキュリティ責任者の許可を受けなければならない。
- この規則に定める範囲以外での利用が業務上生じる場合は、事前に情報セキュリティ責任者の許可を得なければならない。
- 情報資産を開示したときは、開示期限を定め、期限内に返却を求め、又は開示先が廃棄したことを確認しなければならない。
(情報資産の公開)
第24条
- 公開とは、広く不特定多数に対し情報資産を知らしめ、会社の活動、成果、目的、貢献などを周知し、評価の向上など目的とする事を言う。
- 情報資産を公開する場合は、公開する目的や、その結果もたらされる会社の利益を勘案し公開の可否を決定しなければならない。
- 情報資産公開の最終決定者は、代表取締役とする。
(情報資産の返却・廃棄)
第25条
- 他社の情報資産を受領したときは、開示期限を守り、その情報資産について期限内に返却又は廃棄しなければならない。
第9章情報セキュリティの管理体制
(管理体制)
第26条
- 会社の代表取締役は、情報セキュリティ責任者を任命する。ただし、代表取締役が情報セキュリティ責任者を兼務する事を妨げない。
- 情報セキュリティ責任者は、情報資産及び会社の情報セキュリティを統括管理しその責任を負う。
- 情報セキュリティ責任者は、情報セキュリティ管理の充実に努めなければならない。
- 情報セキュリティ責任者は、生じる可能性がある情報セキュリティ事故を把握し、未然に防ぐことを努めなければならない。
第10章秘密情報の管理
(秘密情報の管理)
第27条
- 不正競争防止法に定める営業秘密の取扱を定めるほか、会社の秘密情報全般の取扱について定め、会社の秘密情報の不正な取得、使用及び開示その他企業経営に係る秘密情報の漏えいの防止等、秘密情報の適正な管理及び活用を図るらなければならない
- 秘密情報は第3条第1項第6号で定める情報資産をいう。
(秘密区分の設定)
第28条
- 会社の情報には、秘密区分を設定する。
- 秘密区分は、「営業秘密等管理規程」に定める
第11章ネットワークセキュリティの管理
(ネットワークセキュリティの管理)
第29条
- ネットワークの可用性の確保、及び不正アクセスや通信の盗聴などの防止に必要なセキュリティに関して、インターネット接続、社内LAN、社内WANにおいてネットワーク機器及び各種通信関連のサーバの構築の条件、及び運用・管理の実施方法の遵守事項を規定する。
- ネットワークセキュリティ管理のその詳細については別途ネットワークセキュリティ管理規程に定める。
第12章特定個人情報・個人情報の取扱
(特定個人情報・個人情報の取扱)
第30条
- 特定個人情報並びに、個人情報を適正に取り扱うために必要となる基本的な事項を定め、特定個人情報並びに個人情報の取得、利用、保管、提供、訂正、廃棄の各段階における留意事項及び安全管理措置について定めなければならない。
(特定個人情報・個人情報の取扱規程)
第31条
- 特定個人情報・個人情報の取扱について、その詳細については別途特定個人情報・個人情報の取扱規程に定める。
第13章インターネットの利用
(インターネットの利用)
第32条
- インターネット、電子メールの使用について詳細を、別途「システム・デバイス取扱規程」「モバイルデバイス取扱規程」に規定する。
第14章他社秘密情報へのアクセス
(他社秘密情報へのアクセス)
第33条
- 他社の秘密情報へのアクセスは、当該企業が許可した場合に限る。
- 偽り等の不正の手段、強要などにより他社の秘密情報を入手してはならない。
第15章情報セキュリティ事故への対応
(情報セキュリティ事故の想定)
第34条
- セキュリティインシデントが発生した場合及びセキュリティインシデントの発生と疑われる場合、適切な連絡経路を通じて極力速やかに報告し、定められた手順に従って迅速に対応し、情報システム環境の復旧が速やかになされることと、発生した事態から問題点や改善点などに対する学習を行い、継続的な再発防止が行われることを目的とする。会社におけるセキュリティインシデントとは次のような事態を指す。
- セキュリティに対する侵害例:不正アクセスによる情報漏えい、従業員による情報漏えい、ウイルス・マルウエア感染、DoS 攻撃、記録媒体(書類を含む)等の紛失 等
- システム・ネットワークの故障・損壊例:電源異常、熱暴走、天災による機器損壊
- 情報資産への脅威例:建物への侵入等
- 情報セキュリティ事故のその詳細については別途「セキュリティインシデント報告・対応規程」に定める。
第16章情報セキュリティ教育
(情報セキュリティ教育)
第35条
- 情報セキュリティ教育のその詳細については別途「人的管理規程」に定める。
第17章点検
(自己点検)
第36条
- 情報セキュリティ責任者は、規程等で定める場合を除き、情報セキュリティ管理状況を原則年1回(毎年4月)又は、必要に応じ、各規程に定める運用、記録、保守等自己点検しなければならない
第18章罰則
(罰則)
第37条
- 本規則の遵守事項に違反した者は、その違反内容によっては罰則を課せられる場合がある。罰則の適用については『人的管理規程』に従う。
附則
・本規則等は、2022年4月1日に情報セキュリティ責任者によって承認され、2022年4月1日より施行する。
・本規則等の変更を求める者は、情報セキュリティ責任者に申請しなければならない。情報セキュリティ責任者は申請内容を審議し、変更が必要であると認められた場合には速やかに変更し、その変更内容をすべての対象者に通知しなければならない。
・本規則等は、定期的(原則年1回毎年4月)に内容の適切性を審議し、変更が必要であると認められた場合には速やかに変更し、その変更内容をすべての対象者に通知しなければならない。
この規則には、以下の規程が付属する
「人的管理規程」
「外部委託先管理規程」
「物理的管理規程」
「セキュリティインシデント報告・対応規程」
「システム管理規程」
「ネットワーク管理規程」
「システム・デバイス利用規程」
「モバイルデバイス取扱規程」
「SNS利用規程」
「秘密等管理規程」
「特定個人情報・個人情報等取扱規程」
この規則並びに附属する規程を元に「情報セキュリティ運用ガイドブック」を作成する。また、本規則並びに附属する規程を改廃する場合は、「情報セキュリティ運用ガイドブック」の内容も同時に見直さなければならない。
Contact お問い合わせ
Drupalでの開発・運用、サーバー構築、Webサイト構築全般、制作費用などに関してお気軽にご相談ください。