情報セキュリティ管理規定
REGULATIONS on INFORMATION SECURITY MANAGEMENT| 第1章 総則 | (第1条~第10条) | |
| 第2章 情報セキュリティ管理体制 | (第11条~第15条) | |
| 第3章 情報セキュリティ対策 | (第16条~第46条) | |
| 第1節 情報資産の管理 | (第16~27条) | |
| 第2節 情報システム、ネットワークのセキュリティ対策 | (第28~40条) | |
| 第3節 事故・欠陥等の対応 | (第41~43条) | |
| 第4節 その他のセキュリティ対策 | (第44~46条) | |
| 第4章 その他 | (第47条~第48条) |
| 第1章 総則 |
| 第1条(目的) 本規程は、業務上知ることのできた秘密の取扱いに関し必要な事項を定めるとともに、シーズテクノ株式会社(以下、「当社」という。)のすべての情報資産を各種の脅威から保護するために、体制及び対策を定め、高いレベルで情報セキュリティを確保することにより業務を円滑に推進することを目的とする。 |
| 第2条(定義) この規則における用語の定義は、次の各号に定めるところによる。 (1)情報資産 当社が所有する全ての情報(情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報を含む)及び関連する設備をいう。 (2)情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。 (3)情報システム コンピュータ、ネットワーク等で構成され、情報処理を行う仕組をいう。 (4)ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。 (5)管理区域 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋や重要なストレージの保管庫をいう。 (6)機密性 情報にアクセスすることを認められた者だけが情報にアクセスできる状態を確保することをいう。 (7)完全性 情報が破壊、改竄又は消去されていない状態を確保することをいう。 (8)可用性 情報にアクセスすることを認められた者が、必要なときに、中断されることなく、情報にアクセスできる状態を確保することをいう。 (9)個人情報 当社が定める個人情報保護方針によって定義される個人情報をいう。 (10)特定個人情報 個人番号(マイナンバー)を含んだ個人情報のことをいう。 (11)従業者 研究員、取締役、部長及び当社の指揮監督を受けて当社の業務に従事している者をいう。 |
| 第3条(情報セキュリティ対策基準) 本規程第2章の情報セキュリティ管理体制、第3章の情報セキュリティ対策の有効性、効率性の確保を目的として、遵守すべき行為及び判断等に関する事項を示す「情報セキュリティ対策基準」(以下「対策基準」という。)を別途役員が定めるものとする。 |
| 第4条(適用範囲) 本規程の適用範囲は、従業者、共同研究に関与する者及び委託事業者とし、情報セキュリティ対策について、本規程を遵守するものとする。 また、本規程に定めのない事項については、対策基準によるものとする。 |
| 2 共同研究に関与する者や委託事業者との間では、業務で取り扱う情報の機密性に応じて、情報セキュリティ要件についての取り決めを定める契約を締結するものとする。 |
| 第5条(委員会における情報の取扱い) 当社で設置、運営する委員会で審議される項目には、共同研究者や技術審査を依頼する者の独自のノウハウや開発中の技術に関する情報が含まれているため、委員会で配布する資料や情報は委員会における審議の目的以外に使用してはならず、また委員会開催中だけでなく委員会終了後も、何人に対しても開示してはならない。 なお、共同研究者や技術審査を依頼する者等から、情報開示に関して承認を得ている場合は、この限りではない。 |
| 2 第1項に記載の秘密保持義務を条件として、委員会の委員を委嘱するものとする。 |
| 第6条(保護対象) 本規程で保護の対象とするものは、当社が保有する全ての情報資産とする。 |
| 第7条(情報資産の分類と定義) 当社で取り扱う情報資産は、機密性、完全性及び可用性により分類し、対策基準に基づきセキュリティ対策を講じるものとする。 また、それぞれに区分される情報の定義は、次の各表に示す通りとする。 |
| 2 一つの情報資産に異なる区分の情報が複数存在する場合は、最高度の区分に従って情報を取り扱うものとする。 |
| 3 機密性に区分される情報の分類基準と対象とする情報資産は、次の表の通りとする。 なお、機密性1に区分される情報資産は、公表可能な情報とする。 |
| 区分 | 分類基準 | 対象とする情報資産 |
| 機密性3 | 当社が定める非公開情報のうち、特定の従業者又は組織など、業務上必要とする最小限の者のみが扱う情報資産 |
|
| 機密性2 | 当社が定める非公開情報のうち、機密性3以外の情報資産(機密性2に該当する全ての情報資産は、情報にアクセスすることが認められた者以外の従業者の利用を制限する。) |
|
| 機密性1 | 機密性2又は機密性3の情報資産以外の情報資産 | |
| 4 完全性に区分される情報の分類基準と対象とする情報資産は、次の表の通りとする。 |
| 区分 | 分類基準 | 対象とする情報資産 |
| 完全性2 | 当社業務で取り扱う情報資産のうち、改竄、誤謬又は破損により、関係者の権利が侵害される、又は当社業務の適確な遂行に支障(軽微なものを除く)を及ぼすおそれがある情報資産 |
|
| 完全性1 | 完全性2の情報資産以外の情報資産 | |
| 5 可用性に区分される情報の分類基準と対象とする情報資産は、次の表の通りとする。 |
| 区分 | 分類基準 | 対象とする情報資産 | |||
| 可用性2 | 当社の業務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、関係者の権利が侵害される、又は当社業務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 |
可用性1 |
可用性2の情報資産以外の情報資産 | | |
| 第8条(守秘義務) 当社の従業者は、当社で保有する機密性3及び機密性2の情報資産について、当社の業務に従事している間だけでなく、当社の職を退いた後も、他の従業者又は当社外の者、その他第三者に開示・漏洩してはならない。 |
| 第9条(目的外利用の禁止) 当社で保有する情報資産は、当社の業務以外で利用してはならない。 |
| 第10条(個人情報の取り扱い) 個人情報の取り扱いについては、個人情報保護方針によるものとする。 |
| 第2章 情報セキュリティ管理体制 |
| 第11条(情報セキュリティ管理責任者) 企画部長を情報セキュリティ管理責任者とする。 |
| 2 情報セキュリティ管理責任者は、当社の従業員に対し、情報セキュリティを確保するために遵守する事項について、研修を行うものとする。 |
| 3 セキュリティ管理責任者は、当社の情報セキュリティについて監査を行い、第14条に定める情報取扱責任者に対し、適宜見直しを指示するものとする。 |
| 第12条(情報セキュリティ管理者) 企画部企画課長を情報セキュリティ管理者とする。 |
| 2 情報セキュリティ管理者は、情報セキュリティ管理責任者を補佐するとともに、その指示に従い、情報システム及びネットワークに対する情報セキュリティ対策を実施するものとする。 |
| 3 情報セキュリティ管理者は、情報セキュリティ管理責任者の指示に従い、情報システム及びネットワークの企画、開発、設定の変更、運用、更新等を行うものとする。 |
| 4 情報セキュリティ管理責任者は、当社の情報システム、ネットワークについての管理責任を有し、それらのセキュリティの状況について確認し、適宜見直しを行うものとする。 |
| 5 情報セキュリティ管理責任者は、当社の情報システム、ネットワークについての企画、開発、設定の変更、運用、更新等を行うものとする。 |
| 6 情報セキュリティ管理責任者は、当社の情報資産に対する侵害が発生した場合又は侵害のおそれがある場合に、必要かつ十分な措置を行うものとする。 |
| 7 情報セキュリティ管理責任者は、当社の情報システム及びネットワークに対する情報セキュリティ対策についての作業等を行う、情報セキュリティ担当者を指名するものとする。 |
| 8 情報セキュリティ管理責任者は、自身の権限に属する事務を第12条に定める情報セキュリティ管理者および情報セキュリティ担当者に処理させることができるものとする。 |
| 第13条(情報セキュリティ担当者) 情報セキュリティ担当者は、情報セキュリティ管理責任者の指示に従い、情報システム及びネットワークに対する情報セキュリティ対策の作業を行うものとする。 |
| 2 情報セキュリティ担当者は、情報セキュリティ管理責任者の指示に従い、情報システム及びネットワークの企画、開発、設定の変更、運用、更新等の作業を行うものとする。 |
| 第14条(情報取扱責任者) 各部の長を情報取扱責任者とする。 |
| 2 情報取扱責任者は、各部の所管する情報資産の管理責任を有し、各部の情報セキュリティを確保するために遵守すべき事項等について所属する部の従業者に対し指導及び助言を行うものとする。 |
| 3 情報取扱責任者は、当該部署の情報取扱担当者を指名し、所管する情報資産のセキュリティ対策を実施させるものとする。 |
| 4 情報取扱責任者は、所管の情報資産に対する侵害が発生した場合又は侵害のおそれがある場合は、速やかに情報セキュリティ管理責任者に報告するとともに、一次的な対応を指示するものとする。 |
| 第15条(情報取扱担当者) 情報取扱担当者は、情報取扱責任者の指示に従い、所管する情報資産のセキュリティ対策を行うものとする。 |
| 第3章 情報セキュリティ対策 |
| 第1節 情報資産の管理 |
| 第16条(管理責任) 各部の所管する情報資産についての管理責任は、情報取扱責任者が有するものとする。 |
| 第17条(情報資産台帳) 情報セキュリティ管理責任者及び情報取扱責任者は、当社の情報資産について、本規程第7条に従い、機密性、完全性、可用性を分類した情報資産台帳を作成し、利用範囲や保存媒体等を管理するものとする。 |
| 第18条(情報の作成) 従業者は、業務上不要な情報を作成してはならない。 |
| 2 情報を作成する者は、情報の作成時及び作成途上においても第7条の規定に従い分類するものとする。 また、情報の作成途上で不要となった場合には、当該情報を消去するものとする。 |
| 3 作成した情報及び作成途上の情報が機密性2に該当する場合は、表紙や余白等にその情報の取扱い方法を表示するものとする。 |
| 第19条(情報資産の入手) 当社外の者が作成した情報資産を入手した者は、第7条の規定に従い分類するものとする。 なお、入手した情報資産の分類が不明な場合、情報取扱責任者に判断を仰ぐものとする。 |
| 2 入手した情報が機密性2に該当する場合は、表紙や余白等にその情報の取扱い方法を表示するものとする。 |
| 第20条(情報資産の保管) 機密性2に区分される情報資産の内、電磁的記録については、関係者以外がアクセスすることができないフォルダに保管するものとする。 |
| 2 機密性2に区分される情報資産の内、印刷物等についてはフラットファイル等に格納し、保管場所を特定するものとする。 なお、格納するフラットファイル等には、情報の取扱い方法を表示するものとする。 |
| 第21条(情報資産の利用) 機密性2に区分される情報資産は、第18条又は第19条に従い取扱い方法が表示されたものを、必要最小限の数量のみ印刷又は複写するものとする。 |
| 2 機密性2に区分される情報資産を外部に持ち出す際は、情報取扱責任者の許可を得るものとする。 |
| 第22条(情報資産の送信・郵送) 機密性2の情報資産を電子メール等により送信する際は、暗号化又はパスワード設定を行うものとする。 |
| 2 機密性2の情報資産を郵送等により送付する際は、封筒に格納するなど外部に情報が漏洩しない対策を行うとともに、郵送先に誤りがないか二重のチェックを行うものとする。 |
| 第23条(情報資産の運搬) 機密性2の情報資産を運搬する際は、文書等については封筒等に封入し、カバン等に入れて持ち運ぶものとし、電磁的記録等についてはパスワードの設定を行うなど、情報資産の不正利用を防止するための措置を講じるものとする。 |
| 第24条(情報資産の提供・公表) 機密性2の情報資産は原則として情報にアクセスすることが認められた者以外の従業者及び外部に提供・公表してはならない。 ただし、法令等に定められている場合及び業務遂行上の必要性が認められる場合は、情報取扱責任者に許可を得て提供・公表するものとする。 |
| 第25条(文書の廃棄) 機密性2に区分される情報資産のうち、文書については、再利用せず不要になり次第シュレッダー等で裁断し、判読不能な状態にして廃棄する。 |
| 第26条(パソコン等の廃棄) パソコン等の機器や電磁的記録が可能なストレージ、その他の情報機器については情報セキュリティ管理責任者の指示がない限り廃棄してはならない。 |
| 2 パソコン等の機器や電磁的記録が可能なストレージを廃棄又はリース品を返却する際は、専用ソフト等による情報消去を行い、保存されている情報を消去し、復元不可能な状態にする措置を講じるものとする。 |
| 第27条(その他) 情報資産の管理に関し本規程に定めのない事項については、対策基準に従うものとする。 |
| 第2節 情報システム、ネットワークのセキュリティ対策 |
| 第28条(サーバ等の管理) 情報セキュリティ管理責任者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じるものとする。 |
| 第29条(機器の定期保守及び修理) 情報セキュリティ管理責任者は、所管するサーバ等の機器の定期保守を必要に応じて実施するものとする。 |
| 2 情報セキュリティ管理責任者は、コンピュータを外部の業者に修理させる場合、内容を消去した状態で行わせるものとする。 内容を消去できない場合、情報セキュリティ管理責任者は、修理を委託する事業者との間で、機器の機密性に応じて守秘義務契約を締結するなど、秘密保持に必要な措置を講じるものとする。 |
| 第30条(敷地外への機器の設置) 情報セキュリティ管理責任者は、当社が管理する施設の外にサーバ等の機器を設置する場合、定期的に当該機器への情報セキュリティ対策状況について確認するものとする。 |
| 第31条(管理区域) 管理区域は、固定された隔壁で区画された専用の事務室とし、外部からの侵入が容易にできない構造とする。 |
| 2 情報システム管理責任者は、管理区域への入退室について、許可された者のみに制限する措置を講じるものとする。 |
| 第32条(バックアップの実施) 情報セキュリティ管理責任者は、サーバ等に記録された情報について、必要に応じて定期的にバックアップを実施するものとする。 |
| 第33条(アクセス制御) 情報セキュリティ管理責任者は、所管するネットワーク又は情報システムに、権限のない者がアクセスできないように制限するものとする。 |
| 第34条(利用者IDの取扱い) 情報セキュリティ管理責任者は、利用者の登録、変更、抹消等の情報管理、従業者の異動、出向、退職に伴う利用者IDの取扱い等の方法を定めるものとする。 |
| 第35条(パスワードに関する情報管理) 情報セキュリティ管理責任者は、従業者のパスワードに関する情報を厳重に管理するものとする。 |
| 第36条(不正プログラム対策) 情報セキュリティ管理責任者は、所管するパソコン等に不正プログラム対策ソフトウェア等を常駐させるなど、不正プログラム対策について適切な措置を実施するものとする。 |
| 第37条(不正アクセス対策) 情報セキュリティ管理責任者は、ネットワークにファイアウォールを設定するなど、不正アクセス対策について適切な措置を実施するものとする。 |
| 第38条(可搬媒体) 電磁的記録を持ち運ぶことができる可搬媒体は、原則として情報セキュリティ管理責任者が貸与するUSBメモリを使用するものとし、その他の可搬媒体を当社が管理するパソコン等に接続してはならない。 ただし、容量不足等の理由により他の可搬媒体を使用せざる得ない場合は、別途情報セキュリティ管理責任者と協議するものとする。 |
| 2 従業者は、貸与されたUSBメモリを厳密に管理するものとし、USBメモリ内のデータは不要になり次第速やかに削除しなければならない。 |
| 第39条(従業者が当社の外で使用する機器の登録) 当社の従業者が当社の外で各自のスケジュール管理及びメールの受発信を行うために端末を使用する際は、その端末について事前に情報セキュリティ管理責任者に報告し登録するものとする。 |
| 第40条(その他) 情報システム、ネットワークのセキュリティ対策に関し、本規程に定めのない事項については、対策基準に従うものとする。 |
| 第3節 事故・欠陥等の対応 |
| 第41条(事故等の報告) 従業者、共同研究に関与する者及び委託事業者は、情報セキュリティに関する事故、情報システムにおける欠陥及び誤動作を発見した場合、速やかに情報取扱責任者に報告しなければならない。 |
| 2 報告を受けた情報取扱責任者は、一次的な対応を指示するとともに、速やかに情報セキュリティ管理責任者に報告しなければならない。 |
| 第42条(ネットワークの遮断) 従業者、共同研究に関与する者及び委託事業者は、情報セキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、速やかに当該外部ネットワークを物理的に遮断しなければならない。 |
| 第43条(事故等の対応) 情報セキュリティ管理責任者は、情報セキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、情報取扱責任者に対し適切な措置を求めなければならない。 |
| 第4節 その他のセキュリティ対策 |
| 第44条(研修) 情報セキュリティ管理責任者は、情報セキュリティに関する研修を実施し、従業者は、定められた研修に参加しなければならない。 |
| 第45条(監査) 情報セキュリティ管理責任者は、情報セキュリティ対策を徹底するために、情報セキュリティの管理現場に対し監査を実施するものとする。 |
| 2 公平性、公正性、中立性及び特に専門性を期するために、必要に応じて外部の監査組織による監査を実施するものとする。 |
| 第46条(見直し) 情報セキュリティ監査の結果及び情報セキュリティを取り巻く状況の変化に応じ、本規程及び対策基準の見直しを図るものとする。 |
| 第4章 その他 |
| 第47条(罰則) 当社は、本規程に違反した従業者に対して就業規則に基づき処分を行い、その他の従業者、共同研究に関与する者及び委託事業者に対しては、契約又は法令に照らして決定する。 |
| 第48条(改正) この規程の改正は、委員会の決議を経て行う。 |
| 附 則 この規則は、令和4年4月1日から施行する。 |