1 趣旨
当社の扱っている情報が、ネットワークコンピュータ上で扱われることが当然のこととなった。ネットワークコンピュータは、その導入による業務効率の影響は甚だしく、また、経営支援ツールとしても今後も大いに活用していくべきものである。インターネットを利用してビジネスチャンスを拡大している当社にとって、「セキュリティの確保」は必須事項である。
当社は、顧客満足度を向上させるためにも、「セキュア」なブランドイメージを早急に構築しなければならない。
そのために、当社は、ネットワークコンピュータ上を流通する情報やコンピュータ及びネットワーク等の情報システム(以下、情報資産)を第4の資産と位置付ける。よって、当社は、情報資産を重要な資産とし、保護・管理しなければならない。
当社は、情報資産を保護する「情報セキュリティマネジメント」を実施するために、『情報セキュリティポリシー』を策定する。
『情報セキュリティポリシー』は、当社の情報資産を、故意や偶然という区別に関係なく、改ざん、破壊、漏洩等から保護されるような管理策をまとめた文書である。
当社の情報資産を利用する者は、情報セキュリティの重要性を認知し、この『情報セキュリティポリシー』遵守しなければならない
2 『情報セキュリティポリシー』の適用者
当社の社員・契約社員(一時雇用者を含む)を従業員と定義する。
『情報セキュリティポリシー』の適用者は、経営陣、従業員を含めた、当社の情報資産を利用するすべての者である。
2.1 経営陣の責務
経営陣は、『情報セキュリティポリシー』への支持・支援を表明し、率先して情報セキュリティマネジメントを推進しなければならない。
2.2 従業員の責務
従業員には、当社の情報資産の使用を認めるが、それは、円滑な業務遂行の手
3段としての使用を認めることであり、私的利用を許可するものではない。従業員は、情報資産を扱う上で、企業利益の維持・向上および顧客満足のために、『情報セキュリティポリシー』に同意し、遵守しなければならない。また、これに違反した者は、その結果について責任を負わなければならない。
2.3 外部委託業者に対する対応
『情報セキュリティポリシー』の適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。
3 『情報セキュリティポリシー』の構成と位置付け
『情報セキュリティポリシー』は、以下の3つの階層に分けて策定・管理される文書とする。
3.1 情報セキュリティ方針
情報セキュリティ方針(以下、「方針」とする)は、『情報セキュリティポリシー』の最上位に位置する文書である。この文書は、当社の情報セキュリティマネジメントにおける方針を記述したものである。この文書に基づいて下層の文書を策定する。
3.2 情報セキュリティ対策標準
情報セキュリティ対策標準(以下、「対策標準」とする)は、方針の下層に位置する文書である。この文書は、方針での宣言を受け、項目毎に遵守すべき事項を網羅的に記述する。
3.3 情報セキュリティ実施手順書
情報セキュリティ実施手順書(以下、「実施手順書」とする)は、対策標準の下層に位置する文書である。この文書は、対策標準で記述された文書をより具体的に、配布するべき対象者毎に内容をカスタマイズして記述する。
3.4 既存の規定との関連
方針は、当社の他の規定(人事規定、就業規則等)と同等の位置付けの文書とする。よって、この文書の改廃は所定の規定に準じて行うものとする。
3.5 その他関連法規
『情報セキュリティポリシー』は、関連法規と照らして違反することの無いようにしなければならない。また、必要に応じて関連規格に遵守した管理策を導入しなければならない。
関連法規・関連規格としては、以下のものが挙げられる。
国際規格
・ISO/IEC 17799
・ISO/IEC TR 13335(GMITS)
国内規格
・ JIS Q 15001
国内法規
・ 刑法
・ 不正アクセス行為の禁止等に関する法律
・ 建築基準法/同施行令
・ 消防法/同施行令/同施行規則
・ 不正競争防止法
・ 著作権法
4 『情報セキュリティポリシー』の公開対象者
方針は、従業員すべてを公開対象とする。したがって、一般には公表しない機密情報として取り扱わなければならない。以下、方針以外の文書は機密情報である。対策標準は、情報セキュリティ委員会メンバーと担当部署の者を公開対象とする。
実施手順書は、該当する業務を行う者を公開対象とする。
5 『情報セキュリティポリシー』の公開
『情報セキュリティポリシー』は機密文書として扱い、原則として、社外に公開してはならない。ただし、公開しなければ業務を遂行できない場合には、機密保持契約を締結した上で、公開を認める場合がある。
6 基本用語の定義
『情報セキュリティポリシー』における用語は以下の通り定義する。
6.1 情報セキュリティ(ISO/IEC17799 より抜粋)
情報の機密性、完全性及び利用の可能性の維持。
注)
機密性は、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること、として定義される。完全性は、情報及び処理方法の正確さ及び完全である状態を安全防護すること、として定義される。
利用の可能性は、認可されたユーザが、必要時に、情報及び関連財産にアクセスできることを確実にすること、として定義される。
6.2 リスクアセスメント(ISO/IEC17799 より抜粋)
情報及び情報処理施設/設備に対する脅威、それらへの影響及びバルネラビリティ並びにそれらがおこる可能性の評価。
6.3 リスクマネジメント(ISO/IEC17799 より抜粋)
許容コストにより、情報システムに影響を及ぼす可能性があるセキュリティリスクを明確にし、制御し、最小限に抑制するか、又は除去するプロセス。
6.4 脅威
自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因のこととする。
6.5 脆弱性
建物の構造上の欠陥、定期点検の不備、情報セキュリティ規定・要員教育の不備等、脅威を発生し易くさせる要因、脅威を増加させる要因(脆さ、弱点)のこととする。
7 社内教育の実施
情報セキュリティ委員会は、情報セキュリティに関する継続的な社内教育を行う。この社内教育は、意識向上と技術向上の両面から実施しなければならない。
7.1 取締役会への報告
情報セキュリティ委員会は、情報セキュリティの維持・管理状況や『情報セキ
ュリティポリシー』の改定状況、及び情報セキュリティに関する事故や問題の発
生状況を取締役会へ報告しなければならない。
7.2 『情報セキュリティポリシー』違反者への処罰
情報セキュリティ委員会は、従業員の『情報セキュリティポリシー』に違反し
た行為等が判明した場合、該当従業員に対して適切な処置を講じることとする。
場合によっては、人事規定に基づいた処罰を人事部に申請することとする。
8 情報セキュリティマネジメント
当社は、情報資産を保護するために、情報セキュリティマネジメントを以下の通り進めることとする。
8.1 リスク分析
当社の情報資産に関するリスクアセスメント、リスクマネジメント全般は、代表取締役が行うこととする。
8.2 ポリシー策定
『情報セキュリティポリシー』の策定・評価・レビューは取締役会が行うこととする。取締役会では、方針および対策標準を策定することとする。対策手順書に関しては、取締役会より指名された各情報システムの担当者が策定し、運用しなければならない。
8.3 対策の実施
当社で策定した『情報セキュリティポリシー』に記述した対策は、計画的に実装しなければならない。情報システム部は、セキュリティ対策実装のための計画書を策定し、取締役会の承認を得なければならない。
8.4 教育・啓蒙
当社は、情報資産を扱うすべてのものに対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティの教育を行うこととする。当社の情報資産に関わるすべて者は、会社が提供する情報セキュリティの教育を受けなければならない。同時に、当社の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ委員に提言することが望ましい。
8.5 監査・評価
取締役会は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティポリシー』に反映させなければならない。それらは、監査の結果、情報資産の利用者から届けられた情報、情報セキュリティの脆弱性に関する情報の収集等の活動から得られる情報をもとに行われる場合もある。
8.6 文書の改廃
『情報セキュリティポリシー』の改廃は、方針は、取締役会の承認を必要とする。対策標準及び実施手順は、情報セキュリティ委員会が決議する。
9 違反時における罰則
当社は、『情報セキュリティポリシー』の違反者に対し、厳格な措置をとることとする。情報セキュリティ委員会は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じることとする。
10 情報セキュリティ侵害時の対応
当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。
11 執行期日
本方針は、令和2年11月11日に取締役会にて承認され、令和2年11月11日より施行する。