本規程は、事業者が取り扱う情報資産を、外部および内部の脅威から適切に保護し、事業の継続性ならびに顧客等の信頼を確保することを目的として、情報セキュリティに関する基本方針および管理・運用の枠組みを定めるものである。
1 本規程の対象となる情報資産は、次の各号に掲げるものを含む一切の情報およびそれを記録・処理する媒体・システムをいう。
(1) 顧客等の個人情報
(2) 業務遂行上生成・取得する業務情報
(3) 顧客から提供または預託された情報
(4) 契約書、仕様書、設計書、ノウハウ等の機密情報
(5) 情報システム、ネットワーク機器、端末、アカウントその他、これらに関連する情報資産
2 本規程において使用する用語の定義は、次の各号のとおりとする。
(1) 事業者
本事業を行う法人または個人事業主をいう。
(2) 事業従事者
事業者が行う業務に従事する者であって、事業者本人のほか、アルバイト、パートタイムスタッフ、業務委託先、協力会社の担当者等を含む。
(3) 情報資産
前項各号に掲げる情報およびそれを記録・処理する媒体・システム等を総称する。
1 事業者は、情報資産について、次の三要素を確保することを基本方針とする。
(1) 機密性:許可された者のみが情報にアクセスできること。
(2) 完全性:情報が正確かつ完全な状態に維持されていること。
(3) 可用性:必要なときに必要な情報にアクセスできること。
2 事業者は、関連する法令、指針、ガイドラインおよび契約上の義務を遵守し、情報セキュリティの継続的な改善に努めるものとする。
1 本規程に基づく情報セキュリティの統括的な管理を行う者として、情報セキュリティ責任者を置く。
2 情報セキュリティ責任者は、事業者が個人事業主である場合は事業者本人がこれを兼ねるものとし、事業者が法人である場合は、その代表者等が指名する者とする。
3 情報セキュリティ責任者は、次の各号に掲げる業務を行う。
(1) 情報セキュリティに関する方針、規程および手順の策定・見直し
(2) 情報資産に関するリスクの把握およびリスク低減策の立案・実施状況の把握
(3) インシデント発生時の対応方針の決定および対応の統括
(4) 事業従事者に対する情報セキュリティ教育・訓練の計画および実施
(5) 外部委託先の情報セキュリティ管理状況の確認および必要な是正要求
1 事業従事者は、本規程およびこれに基づく細則・手順の内容を理解し、遵守しなければならない。
2 事業従事者は、次の各号に掲げる事項を遵守し、情報セキュリティの維持向上に努めるものとする。
(1) 自らに付与されたID・パスワード、端末、記録媒体等を適切に管理し、第三者に譲渡・貸与しないこと。
(2) 機密情報および個人情報を業務目的以外に使用せず、正当な理由なく第三者に開示しないこと。
(3) 自らの権限を超えて情報にアクセスし、または情報システムを操作しないこと。
(4) 不審なメール、リンク、ファイル等を安易に開封せず、疑義がある場合は事業者(情報セキュリティ責任者)に相談すること。
(5) インシデントまたはそのおそれのある事象を認識した場合には、速やかに事業者(情報セキュリティ責任者)に報告すること。
3 事業者本人は、自らも前二項の義務を負うものとし、模範となる行動をとるよう努める。
1 事業者は、情報資産の重要度に応じ、概ね次のとおり分類し、分類に応じた保護措置を講じる。
(1) 機密情報
漏えいした場合に事業者、顧客または関係者に重大な不利益を与えるおそれのある情報。
(2) 内部情報
事業運営に関する内部向け情報であって、外部への不用意な開示は望ましくないが、重大な被害には直結しない情報。
(3) 公開情報
ウェブサイト、パンフレット等、外部への公開を前提とした情報。
2 事業者は、機密情報について、暗号化、厳格なアクセス制御等、より厳格な保護措置を適用するものとする。
1 機密情報の外部への持ち出しは、業務上真に必要な場合に限り行うものとする。
2 前項の場合、事業者は次の各号に掲げる措置を講じる。
(1) 持ち出し内容、目的および期間を把握すること。
(2) 持ち出すデータについて暗号化等の技術的保護措置を講じること。
(3) USBメモリ等の外部記録媒体の利用を原則として禁止し、やむを得ず利用する場合にはセキュリティ機能付き媒体を使用すること。
3 持ち出しに用いた媒体等については、業務終了後速やかに回収または安全な方法で廃棄するものとする。
1 事業者は、情報システムの利用に際し、事業従事者ごとに固有のIDを付与し、共同利用およびなりすましを防止する。
2 IDおよびパスワードの管理責任は当該事業従事者が負うものとし、第三者への貸与・譲渡を禁止する。
3 事業者は、不要となったIDを速やかに無効化し、長期間使用されていないIDについては定期的に棚卸しを行い、無効化する。
1 事業者は、情報資産へのアクセス権限を、業務遂行上必要な範囲に限定する(最小権限の原則)。
2 事業従事者の担当業務が変更された場合、事業者は速やかにアクセス権限の見直しを行うものとする。
3 事業者は、定期的にアクセス権限の適切性を確認し、不必要な権限が付与されていないことを確認する。
1 機密情報を取り扱う作業場所は、施錠その他の方法により、不用意な立ち入りを防止する。
2 自宅等で業務を行う場合であっても、家族・訪問者等の第三者が機密情報を容易に閲覧できないよう、画面の向き、置き場所等に留意する。
3 来訪者が機密情報を扱う場所に立ち入る必要がある場合には、その必要性を確認し、立ち入り中は事業者または事業従事者が付き添うものとする。
1 機密文書および記録媒体は、施錠可能なキャビネット、書庫等に保管するものとする。
2 不要となった機密文書は、シュレッダー等により復元不能な方法で廃棄する。
3 記録媒体(USBメモリ、外付けHDD等)については、盗難・紛失防止のため、所在を把握し、持ち出しの有無を管理するものとする。
1 事業者は、業務に使用するすべての端末にマルウェア対策ソフトを導入し、その定義ファイル等を最新の状態に維持する。
2 事業従事者は、不審なメール、添付ファイル、URLリンク等を安易に開かず、疑義のある場合には事業者に確認するものとする。
3 マルウェア感染が疑われる場合には、当該端末のネットワーク接続を切断し、業務利用を一時停止したうえで、事業者(情報セキュリティ責任者)による調査・対応を行う。
1 事業者は、可能な範囲でシステムのアクセスログ、操作ログ等を記録し、一定期間保管するよう努める。
2 事業者は、必要に応じてログを点検し、不審なアクセスまたは操作の有無を確認するものとする。
3 ログにより不正アクセスまたは異常な挙動が認められた場合には、インシデントとして取り扱い、第16条以下の定めに従い対応する。
1 事業者は、業務上利用する通信について、原則として暗号化されたプロトコル(HTTPS、SSH等)を使用するものとする。
2 社外からシステムへアクセスする場合には、VPNその他の安全な手段を用いるよう努める。
3 公衆無線LAN等を利用して業務を行う場合には、暗号化通信を必須とし、ID・パスワード等の機密性の高い情報の入力については、特に慎重に取り扱うものとする。
1 事業者は、自ら情報セキュリティに関する知識・技術の習得に努め、必要に応じて書籍、オンライン講座、外部セミナー等を活用する。
2 事業者は、事業従事者がいる場合には、本規程の内容および日常の業務で求められる情報セキュリティ対策について説明を行い、必要に応じて教育・訓練を実施する。
3 重大なインシデントが発生した場合には、その事例と原因、再発防止策を事業従事者に共有し、再発防止のための注意喚起を行う。
本章において「インシデント」とは、次の各号に掲げる事象その他情報セキュリティ上重大な影響を及ぼすおそれのある事象をいう。
(1) 情報の漏えい、紛失または盗難
(2) 不正アクセスまたはそのおそれ
(3) マルウェア感染
(4) 情報システムの停止、改ざん、破壊
(5) ハードウェア故障等によるデータ消失
1 インシデントまたはそのおそれのある事象を認識した事業従事者は、速やかに事業者(情報セキュリティ責任者)に報告しなければならない。
2 事業者は、次の各号に掲げる初動対応を行う。
(1) 事実関係の確認およびインシデントの発生有無の判断
(2) 被害状況および影響範囲の把握
(3) 必要に応じたシステムの一時停止、ネットワークからの切り離し等の被害拡大防止措置
1 インシデントにより顧客その他第三者に影響が生じるおそれがある場合、事業者は、状況に応じて速やかに当該関係者に報告し、必要な説明を行うものとする。
2 法令により行政機関等への報告または届出が必要とされる場合には、事業者は、所要の手続を適切な期限内に行うものとする。
1 事業者は、インシデント発生の原因を分析し、必要な再発防止策を策定・実施する。
2 前項の結果に基づき、本規程および関連手順、ならびに教育・訓練の内容について、必要に応じて見直しを行うものとする。