情報セキュリティ基本規程
第1章 総則
第1条(目的)
情報セキュリティ基本規程(以下「本規程」という)は、当社が保護すべき情報(以下「情報資産」という)の、
「機密性」 ・・・ 限られた人だけが情報に接触できるように制限をかけること
「完全性」 ・・・ 不正な改ざんなどから保護すること
「可用性」 ・・・ 利用者が必要なときに安全にアクセスできる環境であること
を確保・維持し、当社の情報セキュリティ水準の向上および情報資産の適切な保護・管理を行うことを目的とします。
第2条(用語の定義)
- 情報資産
当社が取り扱うすべての紙媒体、サーバ・PC等のシステム機器、システム媒体やクラウドシステムに保存された情報で、当社として機密保全の必要性が高く、当該情報が漏洩することによって会社に甚大な損害や損失を与える恐れがあるもの。 - IT資産
情報資産が格納されているパソコンやサーバなどのハードウェア、使用しているアプリケーションもしくはそのライセンス、顧客データやソースコードなど電子化されたデータ類など、ITに関する有形無形の資産。 - リスク評価
当社が持つ情報資産について、どのようなリスクが存在するのか調査して洗い出し、そのインパクトを評価して対応を決めること。 - リスク管理
想定されるリスクが起こらないように、そのリスクの原因となる事象の防止策を検討し実行に移すこと。 - 脅威
自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因のこと。 - 脆弱性
情報セキュリティリスクを顕在化させる脅威によって突かれる弱点のこと。主な事例は以下の通り。
① ソフトウェア・OSの潜在的不具合や、サポート切れなど時間の経過によって発生した不具合
② ソフトウェア仕様書や操作手順書の不備、情報管理の体制の不備
③ データセンターの災害やトラブルに弱い立地 - 従業者
当社の組織内にあって当社の業務に従事している者(会社の役員を含む)。 - 利用者端末
従業者が業務で利用するPC、タブレット、スマートフォン等の端末。 - 機微情報
相手がそれを知ることで、社会的差別につながる可能性のある個人情報。
・ 思想・信条・宗教など
・ 人種・本籍地・社会的身分・犯罪歴など
・ 障害の有無、健康診断や病歴など
・ デモなどへの参加歴
・ 労働組合などへの加盟歴
・ 性生活に関する事項など
第3条(情報セキュリティに関する基本的な考え方)
当社は、情報資産を適切に保護・管理するため、以下の基本的な考え方に基づいて活動します。
- 故意又は過失に係わらず、情報資産の漏えい、盗難、紛失、破壊、不正な侵入といった情報セキュリティ上の問題を防止し、また予期せぬ故障及び自然災害に備えます。
- 情報資産に対して、前項に掲げる情報セキュリティ上の問題が発生した場合、その原因を速やかに調査・分析し、その影響・被害を最小限に止めるように努めます。
- 情報資産の管理・保護は、従業者一人一人が守るべきものであり、経営陣はその活動を積極的に推進します。
- 必要に応じて、本規程で定めた内容を補足するための各種基準、ガイドラインを策定します。
- 本規程および(4)項で策定した各種基準、ガイドラインを、必要に応じて点検・見直しし、継続的に改善を図ります。
図1 規程の体系
第4条 (適用範囲)
本規程は、当社が取り扱うすべての情報資産を対象とします。
本規程は、当社に就労するすべての従業者に適用します。
第5条 (法令等の遵守)
当社は、情報資産を取り扱うにあたり情報セキュリティに係る関連法令等を遵守します。
なお、日本国内における主な関連法令は以下の通りです。
- サイバーセキュリティ基本法
- 特定電子メールの送信の適正化等に関する法律
- 個人情報の保護に関する法律
- 知的財産基本法
- 著作権法
- 不正競争防止法
- 刑法
- 不正アクセス行為の禁止等に関する法律
第2章 情報セキュリティガバナンス
第6条 (情報管理体制)
当社において情報管理(情報セキュリティおよび個人情報保護)の維持・向上を図るための体制メンバーとその役割と責任は以下の通りとします。
- 最高情報管理責任者(以下「CIO」という)
代表社員より指名され、情報資産に対する継続的な情報セキュリティの維持・向上に係るすべての責任・権限を有します。必要に応じて、情報セキュリティに係る取組状況を社長及び取締役会に報告します。 - ITインフラ担当
CIOの傘下で、ID・アクセス権の管理や、IT資産台帳の管理、物理的なIT資産の設置・保管・廃棄手続きを実施します。CIOより指名されたものがこの任に当たります。
図2 情報管理体制
第7条 (情報管理)
CIOは、法への準拠・情報資産の重要性の観点から、情報管理に関する「情報管理基準」を定めます。また、以下の対策を定義し、CIOはこの対策に基づいて情報資産を適切に保護・管理します。
- 情報の適正な取得・利用
当社が外部から情報を取得する場合は、適法かつ適切な方法で取得するものとします。また取得した情報は、利用目的以外および公序良俗に反した利用は行いません。 - 情報資産の機密区分
情報資産をその機密度に応じ以下のとおり区分し、その区分に応じて適切に情報を取扱います。
| 機密区分 | 定義 |
| 極秘 | 秘密として保全する必要が極めて高く、万一漏洩すると当社に極めて重大な損害を与えるおそれがあり、 その内容を管理職以上の少数の関係者以外には開示、漏洩してはならない当社の事業活動の根幹に関わる高度な情報 |
| 関係者外秘 | 極秘情報に次ぐ高度な情報であって、秘密として保全する必要性が高く、万一漏洩すると 当社 に重大な損害を与えるおそれがあり、その内容を関係者以外には開示、漏洩してはならない情報 |
| 社外秘 | 関係者以外秘に次ぐ情報であって、秘密として保全する必要性があり、万一情報漏洩すると当社 に損害を与えるおそれがあり、その内容を 従業者以外には開示、漏洩してはならない情報 |
- 情報資産が記載/格納された媒体に対する機密区分の表示規則
媒体により以下の方法で機密区分の表示を行います。
- 紙媒体
文書表紙または文書のヘッダ/フッタに機密区分を表示 - 電子媒体
電子媒体に機密区分を表示
- 電子ファイル
●ファイル名に機密区分を付記
●ファイル内に機密区分を表示
- 情報資産の台帳による管理
情報管理責任者は、情報資産に関して、以下の項目について台帳を作成し、これを管理(作成、廃棄、移転、コピー、持ち出し等の記録)します。また定期的な棚卸しにより台帳の最新化を行います。
- 情報資産名
- 作成/廃棄年月日
- 担当部署名
- 媒体形式
- 保存場所
- 保存期間
- 棚卸実施
- 棚卸担当者名
2.(IT資産管理)
ITインフラ担当は、IT資産に対する以下の対策を策定し、これを適切に保護・管理します。
- IT資産の台帳による管理
ITインフラ担当は、IT資産に関して、以下の項目について台帳を作成し、管理(購入、廃棄、変更、移転等の記録)を行います。また定期的な棚卸しにより台帳の最新化を行います。
- IT資産名(資産管理No)
- 購入/廃棄/変更年月日
- 管理部署名
- 設置場所
- 設置期限
- IT資産の設置・保管
- ITインフラ担当は、IT資産の盗難、紛失が無いよう安全な場所に保管・管理します。(第13条 物理セキュリティ参照)
- IT資産の廃棄
ITインフラ担当は、情報の漏洩が無いようIT資産を適切な方法で廃棄します。
3.(媒体管理)
CIOは、情報資産が格納されている電子媒体の利用・保管・廃棄の対策を策定し、この対策に基づいて電子媒体を適切に保護・管理します。
- 可搬型電子媒体の利用制限
可搬型電子媒体(USBメモリやUSB-HDD/SSDなど)は紛失・盗難のリスクがあるため、利用は必要最小限とします。利用する場合は、(2)で管理されているシステム媒体を利用し、保存するファイルは暗号化またはパスワードにより保護します。 - 可搬型電子媒体の台帳による管理
可搬型電子媒体に関し、以下の項目については台帳を作成し、各部署で責任者を決め管理(購入、廃棄、利用等の記録)を行います。また定期的な棚卸しにより台帳の最新化を行います。
本棚卸台帳は「関係者外秘」として取り扱います。
- 可搬型電子媒体管理No(可搬型電子媒体種別)
- 購入/廃棄年月日
- 管理部署名
- 可搬型電子媒体の保管
可搬型電子媒体の保管は、CIOが盗難、紛失の無いよう安全な場所に保管・管理します。 - 可搬型電子媒体の廃棄
可搬型電子媒体の廃棄は、情報の漏洩が無いようCIOが適切な方法で行います。
第8条(リスク管理)
CIOは、重要な情報資産の利用に伴い発生する情報セキュリティリスクを管理し、必要に応じて見直しを行います。
2.(リスク評価・対応)
CIOは、情報資産の重要度および保護要件(機密性、完全性、可用性)、内部および外部の脅威と発生可能性に基づいて、定期的又は必要に応じて情報セキュリティリスクの評価を行います。CIOは、そのリスク評価結果に基づき、リスク対応の方針および優先順位付けを行い、これに従ってリスク対応計画を策定・実施します。
第9条(サプライチェーンリスク管理)
CIOは、重要な情報資産の外部委託に伴い発生するサプライチェーンリスクを管理するためのプロセス(リスク評価、リスク対応)を定めるとともに、必要に応じて見直しを行います。
2.(サプライチェーンリスク評価・対応)
外部調達を担当する部門のCIOは、重要な情報資産について適正な供給源を確保することに努めます。定められたサプライチェーンリスク管理プロセスに従い、以下を実施します。
- サプライチェーンリスクの洗い出し・特定
- サプライチェーン要素・プロセスにある弱点/欠陥を評価し、影響を抑止するための対策を立案
- サプライヤ(再委託以降のサプライヤ含む)契約時において、以下の項目を契約内に含むことを確認します。
- 情報資産に関する機密保持
- 再委託に関する制限
- 必要に応じてサプライヤの関連拠点への監査権限
- サプライヤが契約を遵守していることを定期的に評価・確認
第10条(セキュリティ評価・改善)
CIOは、情報セキュリティに係る管理策の有効性を少なくとも年に1回は評価し、その結果と次年度における改善策を取締役会に報告し承認を得るものとします。CIOおよび情報管理責任者は、報告結果に基づき継続的に改善措置を実施します。
第3章 人的セキュリティ
第11条(雇用時の対応)
人事部門は、雇用に際して情報資産の利用および情報資産の保護に関する責任を明記した雇用契約書または誓約書を提示し、本人からの同意を取得し保管します。
2.(雇用期間中の対応)
当社従業者はその雇用期間中、本規程および関連する規程類を守るよう努めます。これに従わない従業者は「就業規程」に基づいた懲戒を与えられる場合があります。
3.(退職及び異動時の対応)
人事部門は、必要に応じて、退職後の情報資産漏洩を防止するための誓約書を提示し、本人からの同意を取得し保管します。
人事部門は、退職にあたって従業者に貸与/付与していたIT資産(PC、携帯電話等)を速やかに回収します。またメールアドレス、システムやリモートアクセスの利用IDを速やかに利用停止します。異動の場合、それらの継続利用の必要性を確認し、必要ない場合は速やかに利用停止します。
第12条(情報連絡体制の構築)
CIOは、関係当局(警察や主管官庁)、各種メディアなどとの連絡体制、および情報セキュリティに関わる協会・団体(JPCERTやIPAなど)、セキュリティベンダーなどとの協力体制を構築・維持します。
第13条(教育・啓発・訓練)
CIOは、すべての従業者に対して、情報セキュリティおよび個人情報保護に関する教育を少なくとも年に1回は実施します。またその実施結果を記録・保管し、社長に報告するとともに結果を分析し、改善案を次期計画にフィードバックします。
情報管理責任者および推進者が、その役割を実施するために必要な知識を習得するための教育を必要に応じて実施します。
第4章 物理セキュリティ
第14条(物理的セキュリティ)
CIOは、事業所(オフィスルーム及びマシンルームなど)、フロア、エリアなどで利用、保存される情報資産を保護するため、秘密区分等の観点から、セキュリティ区画、および入退室管理基準を策定するとともに、必要に応じて見直しを行います。
総務部門は、これに従ってフロアのセキュリティ区画分け、入退室管理等を実施するとともに、以下の点を対策します。
- オフィスレイアウト、来訪者の動線
来訪者が受付や入退室管理システム等を通らずにオフィスエリアや極秘エリアに入れないこと。
- PCディスプレイの向き
一般エリアから業務中のPCディスプレイが覗き見られないような配置とすること。もしそのような配置となっている場合は、パーティションなどでディスプレイを見えないようにすること。
- サーバ、ネットワーク機器の地震、停電対策
ITインフラ担当は、サーバ、ネットワーク機器など重要なIT機器をサーバラック内に設置し、災害により破損しないようにすること。またサーバラックのカギは厳重に管理すること。
- 停電に備え、UPSを設置することが望ましい。
2. (セキュリティ区画および入退室管理)
CIOは、事業所内で取り扱う情報資産を機密度に応じて以下のとおり区分し、その区分に応じた管理策を実施します。
- 極秘エリア
「極秘」情報を取り扱うエリアであり、独立した部屋で常時施錠とすることが望ましい。「極秘」情報の取扱い許可を得た一部の人のみ入室を可能とします。許可のない人が一時的に入室する場合は許可を得た人のエスコートが必要です。
入退室は通常のオフィスエリアと別に記録・管理を行います。
例 社長室、サーバルーム、データセンター、電源室 など
- 関係者外秘エリア
オフィスエリア内ですが「関係者外秘」情報を取り扱うエリアであり、パーティションなどで周囲から区切られていることが望ましい。「関係者外秘」情報の取扱い許可を得た一部の人のみこのエリアでの作業を可能とします。
入退室は通常のオフィスエリアと同じ管理とします。
例 採用候補者の個人情報や社員の機微情報を扱う人事部門のエリア、決算情報などを扱う経理・財務部門のエリア など
- オフィスエリア
通常業務を行うエリアであり、一般エリアからは区分されている必要があります。当社従業者であれば入室可能です。また外部の方が一時的に入室する場合は当社従業者のエスコートが必要です。
入退室は、入退室管理システムにより施錠、記録することが望ましいですが、システムが導入できない場合は受付等で入退室者の確認、記録をとることとします。
- 一般エリア
外部からの来訪者が許可なく入れるエリアです。
例 受付、外部との会議室 など
第5章 システムセキュリティ
第15条(システムセキュリティ)
CIOは、当社で使用するシステムのセキュリティに係る役割・責任、対応体制及び対応手順など第16条〜第27条の詳細については「システムセキュリティ基準」を定め、定期的に見直しを行います。総務部門は、これに従って管理を実施します。
従業者が、システム(PC、サーバなど)を利用する場合、業務以外の目的での利用は禁止されています。また無許可のシステムを利用した業務の実施および無許可のソフトウェアのシステムへの導入も禁止されています。
第16条(ネットワークセキュリティ)
CIOは、当社で使用するネットワーク(オフィス内ネットワーク、インターネットへの接続、外部システムとの接続、リモートアクセスなど)について、以下の項目の対策を定めます。
- ネットワーク機器の管理
- ネットワークに接続可能な機器
- Wifi機器の設置およびアクセスポイントへの接続
- インターネット接続時のセキュリティ対策(接続IP/ポート制限、URLフィルタリング、マルウェア検知など)
- 外部システムと接続時のセキュリティ要件
- リモートアクセス時のセキュリティ要件
- インターネットドメインの管理
第17条(ID管理、識別・認証、アクセス制御)
CIOは、当社で使用するシステムのID管理について、以下の項目の対策を定めます。ID/アクセス権に関しては、「最小付与、最小権限、最小特権」の考え方に基づき管理します。
- IDおよびアクセス権付与時の申請フロー(特権ID含む)
- パスワード必要条件(パスワードポリシー)
- 多要素認証を必要とするシステム要件
- ID/アクセス権の定期的な棚卸し
第18条(メールおよびチャットツールのセキュリティ)
CIOは、当社で使用する電子メールおよびチャットツールの利用および管理について、以下の項目の対策を定めます。
- 情報資産を授受する場合の対策
- 送受信内容の監査
第19条(クラウドシステムのセキュリティ)
CIOは、当社でクラウドサービス(SaaS)の利用やクラウド上のコンポーネントを使用したシステムの構築(IaaS、PaaS等)を行う場合、以下の項目の対策を定めます。
- クラウドサービスの利用承認・登録
- クラウドサービスに求められるセキュリティ要件
- 情報資産を授受する場合の対策
第20条(システム開発のセキュリティ)
CIOは、当社で開発するシステムについては、情報資産の保護を基本に考え(Security by Default)、以下の項目の対策を定めます。
- 要件定義、設計フェーズでのセキュリティ要件の明確化
- 各フェーズでセキュリティ要件についての適切なレビュー
- サーバやネットワーク機器構築時の有効機能および接続ポート等の最小化、サーバ間の時刻同期
- 機能・プロセスの分離、入出力制御、プロセス制御、共有リソース制御
- 開発/テスト/本番環境の分離
- 開発/テスト時の本番データの利用禁止
- リリース前の脆弱性診断の実施、重大な脆弱性の改修
- リリース承認プロセス
第21条(ログのセキュリティ)
CIOは、当社が利用するシステム(特に重要な情報資産を含むシステムやリモートアクセスシステム)におけるログの保存およびそのセキュリティについて、以下の項目の対策を定めます。
- 取得・保存するログ項目
- 保存場所およびアクセス権
- 保存期間
第22条(改ざん防止・可用性の確保)
CIOは、故意又は過失に係わらず、利用するシステムにおいて取り扱う情報資産の改ざんを防止するため、アクセス権の付与・設定手順を定め、また重要な情報資産についてはアクセス権の定期的な棚卸を行い見直します。また、サイバー攻撃やシステムの故障による情報資産へアクセスできない状況を防止するため、重要なシステムに対してはシステムバックアップや二重化等の対策を行います。
第23条(暗号化機能)
CIOは、当社で使用するシステムで重要な情報資産を送受信または保存する場合、以下の項目の対策を定めます。
- 外部システムと送受信する場合は、通信を暗号化します。暗号化方式は最新のものを利用し、また危殆(安全でなくなる)化した方式は利用不可とする設定を行います。
- インターネットを含む外部からアクセス可能なシステムに重要な情報資産を保存する場合は、暗号化して保存します。暗号化方式は最新のものを利用し、また危殆化した方式は利用不可とします。
- 利用者端末は暗号化ツールまたはハードウェア暗号化を利用し、ストレージ全体(ファイル個別ではなく)を暗号化します。
- 暗号鍵は漏洩、改ざんの無いよう、適切に管理します。
第24条(マルウェア対策)
- CIOは、マルウェア対策ソフトウェアを当社が管理するすべてのサーバおよび利用者端末に導入し、マルウェアを検知、隔離してシステムを防御します。当社で利用するメールシステムでは、送受信メールのマルウェア感染チェックを行うツールを導入します。
- CIOは、マルウェア対策ソフトウェアをすり抜けサーバ、利用者端末がマルウェアに感染した場合に備え、サーバ、利用者端末の不審な動きを検知し、隔離、修復するシステムを導入することが望ましい。
2.(標的型メール攻撃訓練)
CIOは、すべての従業員に対して、標的型メール攻撃を模擬した訓練を少なくとも年に1回は実施します。またその実施結果を記録・保管し、経営層へ報告するとともに模擬メールを開封する等攻撃に脆弱な従業員については、別途教育を行います。また結果を分析し、改善案を次期計画にフィードバックします。
第25条(システムメンテナンス)
CIOは、システムのメンテナンスにおいてシステム構成管理/変更管理を確実に実施する等、適切な管理策を策定し実施します。また、必要に応じて管理策を見直します。
第6章 セキュリティ・オペレーション
第26条(セキュリティ監視)
CIOは、当社が使用するシステムのログ情報を保存・管理し、定期的にチェックすることで異常・不正な振る舞いを監視・検知します。異常・不正な振る舞いを検知した場合は、第28条に記載のインシデント対応チームに連絡し、調査・対応を依頼します。
第27条(脆弱性対応)
CIOは、公開ソース/第三者ソースから当社が使用するシステム(ハードウェア、OS、ミドルウェア、アプリケーションなど)の脆弱性情報を積極的に収集・分析・緊急性の判断を行い、対応が必要な場合はITインフラ担当に対し対応の指示を行います。
特にサーバ、PC、タブレット等のOSのセキュリティに関する更新プログラムについては速やかに適用します。
第28条(インシデント対応基準および対応)
CIOは、セキュリティインシデントの管理に係る役割・責任、対応体制及び対応手順などの「インシデント対応基準」を定め、定期的に見直しを行います。
セキュリティインシデントが発生した場合は、CIO、関連部門長、インシデント対応基準に定めるインシデント対応チーム(以下、CSIRTという)は、基準に従って、影響調査、内外の関係者との情報共有・支援調整を行うとともに、被害の拡大防止措置、システムの復旧、再発防止策の実施を行います。
2.(インシデント事例の共有・活用)
CSIRTは、インシデント対応から学んだ教訓の活用、インシデント分析・軽減・復旧・情報連絡プロセスの継続的改善などに有効な情報を当社内で共有を行い、再発防止に努めます。
3.(インシデント対応訓練)
CSIRTは、従業者に対して、インシデント発生時における対応の訓練を実施し、インシデント対応基準の浸透および改善を行います。
第29条(事業継続計画および対応)
CIOは、当社が使用するシステムの事業継続対応に係る役割・責任、対応体制及び対応手順などの事業継続計画を定め、定期的に見直しを行う。
災害や重大インシデントが発生した場合は、CIO、情報管理責任者は、事業継続計画に従って、事業および重要なシステムの復旧に係る活動を実施します。
附則
第1条(規程の改廃)
この規程の改定は、CIOが起案し、代表社員の決議によります。
第2条(規程の取扱い)
この規程は会社の所有物です。従業者が、社内掲示板・共有サーバ等からダウンロード、印刷、複製等の手段によって、会社の許可なく公表および社外に持ち出す行為は禁止されています。
2025年 6月 30日 制定
