1.情報セキュリティ基本方針
インターネットを活用してビジネスを行っている本気ファクトリー株式会社(以下、「当社」という)にとって、「セキュリティの確保」は必須事項である。お客様との関係において、セキュリティ事件が発生した場合の営業機会の損失は甚だしいものになることは想像に難くない。当社は、顧客満足度を向上させるためにも、「セキュア」なブランドイメージを早急に構築しなければならない。 そのために、当社は、IT上を流通する情報やコンピュータ及びネットワークなどの情報システム(以下、情報資産)を第4の資産と位置付ける。よって、当社は、情報資産を 重要な資産とし、保護・管理しなければならない。 当社は、情報資産を保護する「情報セキュリティマネジメント」を実施するために、『情報セキュリティポリシー』を策定する。 『情報セキュリティポリシー』は、当社の情報資産を、故意や偶然という区別に関係なく、改ざん、破壊、漏洩等から保護されるような管理策をまとめた文書である。 当社の情報資産を利用する者は、情報セキュリティの重要性を十分に認知し、この『情報セキュリティポリシー』を遵守しなければならない。
2.情報セキュリティポリシーの適用範囲
情報セキュリティポリシーの適用範囲は、当社のすべての情報資産に関連する人的・物理的・環境的リソースも含むものとする。
3.情報セキュリティポリシーの適用者
3.1 経営陣の責務
当社の役員・従業員(正社員、パート社員、契約社員)など、当社の情報資産を利用するすべての者に適用する。
3.2 従業員の責務
従業員には、当社の情報資産の使用を認めるが、それは円滑な業務遂行の手段としての使用を認めることであり、私的利用を許可するものではない。従業員は情報資産を扱う上で、企業利益の維持・向上および顧客満足のために、情報セキュリティポリシーに同意し、遵守しなければならない。またこれに違反した者は、その結果について責任を負わなければならない。
3.3 外部委託業者に対する対応
情報セキュリティポリシーの適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。
4.情報セキュリティポリシーの構成と位置付け
情報セキュリティポリシーは、「情報セキュリティ方針」、「情報セキュリティ対策標準」、「情報セキュリティ実施手順書」の3つの階層に分けて策定・管理される文書とする。
4.1 情報セキュリティ方針
情報セキュリティ方針(以下、「方針」とする)は、情報セキュリティポリシーの最上位に位置する文書である。この文書は、当社の情報セキュリティマネジメントにおける方針を記述したものである。この文書に基づいて下層の文書を策定する。
4.2 情報セキュリティ対策規程
情報セキュリティ対策規程(以下、「対策規程」とする)は、方針の下層に位置する文書である。この文書は、方針での宣言を受け、項目毎に遵守すべき事項を網羅的に記述する。
4.3 情報セキュリティ対策手順書
情報セキュリティ実施手順書(以下、「実施手順書」とする)は、対策標準の下層に位置する文書である。この文書は、対策規程で記述された文書をより具体的に、配布するべき対象者毎に内容をカスタマイズして記述する。
4.4 既存の規程との関連
方針は、当社の社内規程・就業規則と同等の位置付けの文書とする。よって、この文書の改廃は所定の規程に準じて行うものとする。
4.5 その他関連法規
情報セキュリティポリシーは、関連法規と照らして違反することの無いようにしなければならない。また、必要に応じて関連規格に遵守した管理策を導入しなければならない。
関連法規・関連規格としては、以下のものが挙げられる。
国際規格
・ISO/IEC 27000 シリーズ
国内規格
・ JIS Q 15001
国内法規
・ 刑法
・ 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
・ 建築基準法/同施行令
・ 消防法/同施行令/同施行規則
・ 不正競争防止法
・ 著作権法・個人情報の保護に関する法律(個人情報保護法)
・ 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律
(番号法)
・外国為替及び外国貿易法(外為法)および輸出貿易管理令
・労働契約法
・労働基準法
・会社法
・金融商品取引法
・刑事訴訟法
5.情報セキュリティポリシーの公開対象者
(1)情報セキュリティ基本方針は、一般に公開する。
(2)情報セキュリティ方針は、従業員すべてに公開とする。外部には公表しない機密情報として取り扱わなければならない。
情報セキュリティ方針以外の文書も機密情報である。
情報セキュリティ対策規程は、情報セキュリティ委員会メンバーと担当部署の者に公開とする。
(3)対策手順書は、該当する業務を行う者に公開とする。
(4)公開しなければ業務を遂行できない場合には、機密保持契約を締結した上で、公開を認める場合がある。
6.基本用語の定義
『情報セキュリティポリシー』における用語は以下の通り定義する。
6.1 情報セキュリティ
情報の機密性、完全性及び可用性を維持すること。
注)
機密性は、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること、として定義される。
完全性は、情報及び処理方法の正確さ及び完全である状態を安全防護すること、として定義される。
可用性は、許可されたユーザが、必要時に、必要な情報及び関連資産にアクセスできることを確実にすること、として定義される。
6.2 リスクアセスメント
情報及び情報処理施設/設備に対する脅威と重要度を特定し、事故発生につながる脆弱性及び事故のおこりやすさを評価すること。
6.3 リスクマネジメント
リスクアセスメントにより、情報及び情報処理施設/設備に影響を及ぼす可能性がある情報セキュリティリスクを明確にし、許容コストに応じて情報セキュリティリスクを制御し、最小限に抑制するか、又は除去するプロセスを指す。
6.4 脅威
自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因のこと。
6.5 脆弱性
ハードウェア・ソフトウェアの欠陥、定期点検の不備、要員教育の不備等、脅威を増加させる要因(脆さ、弱点)のこと。
7.体制
7.1 情報セキュリティ委員会
当社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、全社的なマネジメント体制を整えるものとする。情報セキュリティ委員会の詳細情報に関しては、情報セキュリティ委員会構成メンバーを参照のこと。
8.情報セキュリティ委員会の構成図及び構成メンバー
8.1 常勤委員
常勤委員は、委員長とする。
8.2 非常勤委員
非常勤委員は、外部コンサルタント、法律専門家、システムセキュリティ責任者である。 非常勤委員は、委員長によって召集されたときに参加する。
8.3 委員長
委員長は、当社の取締役を取締役情報統括役員として社長が任命する。委員長は、当社に おける情報セキュリティマネジメントに関しての最高責任者である。
8.4 事務局
事務局は、情報セキュリティ委員会を運営する上での事務作業を行う。
また、情報セキュリティ委員会で作成・策定した情報セキュリティマネジメント計画書や『情報セキュリティポリシー』文書の管理を行う。
8.5 タスクフォース
情報セキュリティ委員会は、各作業を実施するにあたってタスクフォースを設けることができる。このタスクフォースの責任者は、いずれかの委員とする。タスクフォースには、『情報セキュリティポリシー』策定、緊急時対応等の作業を実施する。
9.情報セキュリティ委員会の役割と責務
情報セキュリティ委員会の主な役割を下記の通り定める。
9.1 情報セキュリティマネジメントの企画及び計画
情報セキュリティ委員会は、当社における情報セキュリティマネジメントを実施していく企画及び計画を作成し、その計画通り情報セキュリティマネジメントを実施しなければならない。
この企画及び計画には、情報セキュリティマネジメントを遂行する為のリスクアセスメント、リスクマネジメントはもちろんのこと、『情報セキュリティポリシー』の見直しや従業員への普及・啓発も考慮に入れなければならない。
9.2 『情報セキュリティポリシー』文書の配布責任
情報セキュリティ委員会は、『情報セキュリティポリシー』を策定又は改訂した場合には、迅速に対象従業員へその文書を配布し、周知徹底させなければならない。
9.3 社内教育の実施
情報セキュリティ委員会は、経営陣、従業員に対し情報セキュリティに関する継続的な社内教育を行う。この社内教育は、意識向上と技術向上の両面から実施しなければならない。
9.4 『情報セキュリティポリシー』の遵守状況の評価及び改訂
情報セキュリティ委員会は、従業員の『情報セキュリティポリシー』遵守状況を定期的に調査し、『情報セキュリティポリシー』のレビューを行うこととする。また、従業員の『情報セキュリティポリシー』に対する意見や要望を収集し、その妥当性・準拠性を評価するとともに必要に応じて内容の改訂を行うこととする。
9.5 監査結果の評価及び改訂
情報セキュリティ委員会は、監査の結果を受けて、『情報セキュリティポリシー』の妥
当性を評価すると共に、必要に応じて、内容の改訂を行わなければならない。
9.6 社長への報告
情報セキュリティ委員会は、情報セキュリティの維持・管理状況や『情報セキュリティポリシー』の改訂状況、及び情報セキュリティに関する事故や問題の発生状況を社長へ報告しなければならない。
9.7 『情報セキュリティポリシー』違反者への処罰
情報セキュリティ委員会は、従業員の『情報セキュリティポリシー』に違反した行為等が判明した場合、該当従業員に対して適切な処置を講じることとする。場合によっては、人事規程に基づいた処罰を人事部に申請することとする。
10.情報セキュリティマネジメント
当社は、情報資産を保護するために、情報セキュリティマネジメントを以下の通り進めることとする。
10.1 リスク分析
当社の情報資産に関するリスクアセスメント、リスクマネジメント全般は、情報セキュリティ委員会が行うこととする。
10.2 情報セキュリティポリシー策定
『情報セキュリティポリシー』の策定・評価・レビューは情報セキュリティ委員会が行うこととする。
情報セキュリティ委員会では、方針および対策規程を策定することとする。
対策手順書に関しては、情報セキュリティ委員会より指名された各情報システムの担当者が策定し、運用しなければならない。
10.3 対策の実施
当社で策定した『情報セキュリティポリシー』に記述した対策は、計画的に実装しなければならない。
情報システム部は、セキュリティ対策実装のための計画書を策定し、情報セキュリティ委員会の承認を得なければならない。
10.4 教育・啓蒙
当社は、情報資産を扱うすべての者に対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティ教育を行うこととする。
当社の情報資産に関わるすべての者は、当社が実施する情報セキュリティの教育を受けなければならない。
同時に、当社の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ委員に提言することが望ましい。
10.5 評価
情報セキュリティ委員会は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティポリシー』に反映させなければならない。それらは、監査の結果、情報資産の利用者から届けられた情報、情報セキュリティの脆弱性に関する情報の収集等の活動から得られる情報をもとに行われる場合もある。
10.6 文書の改廃
『情報セキュリティ方針』及び『情報セキュリティ基本方針』の改廃は、社長の承認を必要とする。対策規程及び対策手順は、情報セキュリティ委員会が承認する。
11.違反時における罰則
当社は、『情報セキュリティポリシー』の違反者に対し、厳格な措置をとることとする。
情報セキュリティ委員会は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じることとする。
12.情報セキュリティ侵害時の対応
当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。
13.改訂
本方針は、平成29年3月17日に社長によって承認され、平成29年3月21日より施行する。
【参考文献】 情報セキュリティポリシーサンプル改版(1.0版)
NPO 日本ネットワークセキュリティ協会(JNSA) http://www.jnsa.org/
【実 施】 2017年3月21日