本規程は、事業者が保有し、又は利用する情報資産について、その管理・保護に関する具体的な運用方法を定めることにより、情報資産の適切な管理と安全性の確保を図ることを目的とする。
1 本規程において「情報資産」とは、事業者が事業活動において保有し、又は利用する次の各号に掲げるものをいう。
(1) データ(電子データ、データベース等)
(2) 文書(紙媒体の帳票、契約書、メモ等)
(3) 記録媒体(USBメモリ、外付けHDD、光学ディスク等)
(4) 端末(PC、スマートフォン、タブレット等)
(5) システム(業務アプリケーション、クラウドサービス等)
(6) ネットワーク(有線・無線LAN、VPN等)
(7) その他、事業者の事業運営に関わる一切の情報およびそれを処理・保存するための設備
2 本規程において使用する用語のうち、次の各号に掲げるものの定義は、各号に定めるところによる。
(1) 事業者
本事業を行う法人または個人事業主をいう。
(2) 事業従事者
事業者の業務に従事する者であって、事業者本人のほか、アルバイト、パートタイムスタッフ、業務委託先、協力会社の担当者等を含む。
(3) 管理責任者
本規程に基づく情報資産管理の統括的な責任を負う者をいう。事業者が個人事業主である場合は事業者本人がこれを兼ねるものとし、事業者が法人である場合は、その代表者等が指名する者とする。
1 事業者は、重要な情報資産(個人情報・機密情報を含むものを中心とする)について、情報資産台帳を作成し、次の事項を記録・更新する。
(1) 資産の名称・種別(端末、システム、媒体等)
(2) 保管場所または設置場所
(3) 管理責任者および利用者
(4) 含まれる情報の概要および重要度(機密性・可用性等)
(5) 取得日および廃棄予定時期
(6) 特記事項(ライセンス情報、契約情報等)
2 事業者は、情報資産台帳を定期的に見直し、実態との乖離がないよう更新するものとする。
3 情報資産台帳は、原則として事業者のみが閲覧できる状態で管理し、外部に漏えいしないよう注意する。
1 事業者は、業務で使用する端末のOSおよびソフトウェアについて、ベンダーが提供する更新プログラム(パッチ等)を適切なタイミングで適用し、既知の脆弱性が放置されないよう管理する。
2 重要な業務システムについて更新を行う場合、事業者は、可能な範囲で事前にバックアップを取得し、更新による不具合が生じた際に復旧できるよう配慮する。
3 サポートが終了したOS・ソフトウェアを継続して利用することは原則として避け、やむを得ず利用する場合には、ネットワーク接続の制限等、リスクを低減する措置を講じる。
1 業務に用いる端末は、事業者が認めたものに限るものとし、事業従事者による利用についても事業者の許可を要する。
2 端末には、ID・パスワード、PIN、指紋認証等の適切な認証手段を設定し、第三者による不正利用を防止する。
3 事業者は、私物端末(BYOD)を業務に利用させる場合、個人情報・機密情報の保存方法、バックアップ方法、紛失時の対応等についてあらかじめルールを定め、事業従事者に遵守させる。
1 端末の持ち出しは、業務上必要な場合に限り行うものとする。
2 端末を持ち出す場合、事業者または管理責任者は、持ち出し目的および行き先等を把握し、可能な範囲で記録するよう努める。
3 持ち出した端末は、盗難・紛失防止のため、移動中や保管中に放置しないこと、公共の場に置きっぱなしにしないこと等、基本的な安全対策を徹底する。
4 端末の紛失・盗難が発生した場合、事業者は速やかにパスワード変更、リモートロック・リモートワイプ等の可能な対策を講じる。
1 USBメモリ、外付けHDD、SDカード等の外部記録媒体の利用は、業務上必要な場合に限り行うものとする。
2 機密性の高い情報を外部記録媒体に保存する場合、暗号化等の保護措置を講じる。
3 来歴不明な外部記録媒体や信頼性の確認できない媒体の使用は禁止する。
4 外部記録媒体に保存された情報が不要となった場合には、速やかに安全な方法(暗号化キーの廃棄、上書き消去、物理破壊等)により削除・廃棄する。
1 業務に使用するネットワークへの接続は、事業者が認めた端末および回線に限るものとする。
2 事業者は、不要なポート開放や不要なサービスの稼働を避け、ネットワーク構成を簡素かつ安全なものとするよう努める。
3 社外のネットワークからクラウドサービス等にアクセスする場合、可能な範囲でVPNその他の安全な手段を用いる。
1 業務で利用する無線LANについては、WPA2、WPA3等の強固な暗号化方式を利用し、暗号化されていないネットワーク(オープンなWi-Fi)の利用は原則として行わない。
2 無線LANのSSIDおよびパスワードは、第三者に容易に推測されないものとし、定期的な変更を含め適切に管理する。
3 公衆無線LAN等をやむを得ず利用する場合、ID・パスワード等の重要情報の入力は極力避け、やむを得ず入力する場合には暗号化通信を前提とする。
1 事業者は、可能な範囲で、次のようなログを記録・保存するよう努める。
(1) システム・サービスへのアクセスログ(ログイン・ログアウト、接続元情報等)
(2) 重要な設定変更・管理操作に関する操作ログ
(3) 外部へのデータ送信・アップロード等に関する記録
2 ログの保存期間は、業務内容およびシステム構成を踏まえ、合理的な範囲で定めるものとする。
3 ログには個人情報等が含まれる場合があるため、情報資産と同様に適切な管理を行う。
1 事業者は、必要に応じてログを確認・分析し、不審なアクセスや不正利用の兆候がないかを確認する。
2 インシデントが発生した場合またはそのおそれがある場合には、当該事象に関連するログを優先的に確認し、原因究明および影響範囲の特定に活用する。
3 ログ分析の結果、不正の疑いが認められた場合には、情報セキュリティ規程および個人情報保護規程に基づき、必要な対応を行う。
1 事業者は、重要な業務データおよび設定情報について、定期的にバックアップを取得するものとする。
2 バックアップの対象には、少なくとも次のものを含めるよう努める。
(1) 顧客データ、取引データ等の重要な業務データ
(2) システム設定情報、構成情報
(3) 必要に応じて、契約書等の重要書類の電子データ
3 バックアップの取得頻度は、データの更新頻度および重要度に応じて設定し、業務への影響を最小限に抑えられるよう配慮する。
1 バックアップデータは、原本と同じ場所のみに保存することを避け、火災・盗難等のリスクを考慮して、可能な範囲で別の場所または別のクラウド環境に保管するよう努める。
2 バックアップデータについても、暗号化等の安全管理措置を講じ、第三者による不正アクセスから保護する。
3 事業者は、必要に応じてバックアップからの復旧テストを行い、実際に復元可能であることを確認するよう努める。
1 紙の文書(契約書、申込書、名簿等)については、重要度に応じて分類し、機密性の高いものは施錠可能なキャビネット等に保管する。
2 紙文書の持ち出しは、業務上必要な場合に限り行うものとし、その必要性、持ち出し先等を事業者(管理責任者)が把握する。
3 在宅作業等において紙文書を利用する場合、家族その他の第三者に閲覧されないよう、保管場所・取り扱いに留意する。
1 不要となった記録媒体(紙文書、USBメモリ、外付けHDD等)は、復元不能な方法により廃棄するものとする。
2 紙文書の廃棄にあたっては、シュレッダーによる裁断等、内容が読み取れない方法で処理する。
3 電子的記録媒体の廃棄にあたっては、単なる削除やフォーマットにとどまらず、上書き消去、暗号鍵の破棄、物理破壊等、復元が困難な方法を用いるよう努める。
4 外部業者に媒体廃棄を委託する場合は、外部委託管理規程に従い、適切な委託先の選定および証跡の取得を行う。