コンテンツ
情報セキュリティ規程
平成30年規程第1号
平成30年5月11日制定
第1章目的及び対象
(目的)
第1条 この規程は、合同会社Metamorphose(以下「当社」という。)の情報漏えいの防止等情報セキュリティを確保するため、当社のとるべき対策の枠組みを定め、当社が自らの責任において対策を図るための措置を講ずることにより、もってサイバーセキュリティ対策を含む情報セキュリティ対策の強化・拡充を図ることを目的とする。
(適用対象)
第2条 この規程の適用対象とする者は、当社の管理対象である情報及び情報システムを取り扱う当社の役員及び職員(以下「役員等」という。)とする。
2 この規程の適用対象とする情報は、役員等が職務上取り扱う情報であって、情報処理若しくは通信の用に供するシステム(以下「情報システム」という。)又は外部電磁的記録媒体に記録された情報及び情報システムの設計又は運用管理に関する情報とする。
第2章情報セキュリティ対策のための基本指針
(リスク評価と対策)
第3条 当社は、その組織の目的等を踏まえ、第10条に定める自己点検の結果、第11条に定める監査の結果、法に基づきサイバーセキュリティ戦略本部が実施する監査の結果等を勘案した上で、保有する情報及び利用する情報システムに係る脅威の発生の可能性及び顕在時の損失等を分析し、リスクを評価し、必要となる情報セキュリティ対策を講じるものとする。
2 当社は、前項の評価に変化が生じた場合には、情報セキュリティ対策を見直すものとする。
(情報セキュリティ関係規程の整備)
第4条 当社は政府機関の情報セキュリティ対策のための統一規範(平成28年8月31日サイバーセキュリティ戦略本部決定)、政府機関等の情報セキュリティ対策の運用等に関する指針(平成28年8月31日サイバーセキュリティ戦略本部決定)及び政府機関の情報セキュリティ対策2 のための統一基準(以下「統一規範等」という。)と同等以上の情報セキュリティ対策が可能となるように情報セキュリティに関係する規程及び手順書等(以下「関係規程」という。)を定めるものとする。
2 当社は、前条第1項の評価結果を踏まえ、関係規程の評価及び見直しを行うものとする。
第3章情報セキュリティ対策のための基本対策
(管理体制)
第5条 当社は、情報セキュリティ対策を実施するための組織・体制を整備するものとする。
2 当社は、最高情報セキュリティ責任者を置く。
3 最高情報セキュリティ責任者は、この規程で規定した情報セキュリティ対策に関する事務を統括し、役員等に対して、別表に掲げる情報セキュリティ対策を講じさせるとともに、その責任を負う。
4 最高情報セキュリティ責任者は、自らの担務を関係規程に定める責任者及び管理者に担わせることができる。
(対策推進計画)
第6条 最高情報セキュリティ責任者は、第3条第1項の評価の結果を踏まえた情報セキュリティ対策を総合的に推進するための計画(以下「対策推進計画」という。)を定めるものとする。
2 当社は、対策推進計画に基づき情報セキュリティ対策を実施するものとする。
3 最高情報セキュリティ責任者は、前項の実施状況を評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、対策推進計画の見直しを行うものとする。
(例外措置)
第7条 当社は、関係規程に定めた情報セキュリティ対策の実施に当たり、例外措置を適用するために必要な申請・審査・承認のための手順と担当者を関係規程の中で定めるものとする。
(教育)
第8条 当社は、役員等が自覚をもって関係規程に定められた情報セキュリティ対策を実施するよう、情報セキュリティを含めた情報リテラシー確保のための教育を行うものとする。
(情報セキュリティインシデントへの対応)
第9条 当社は、情報セキュリティインシデント(JIS Q27000:2014における情報セキュリティインシデントをいう。以下同じ。)に対処するため、適正な体制を構築するとともに、必要な措置を定め、実施するものとする。
2 情報セキュリティインシデントの可能性を認知した者は、関係規程に定める報告窓口に連絡するものとする。
3 関係規程に定める責任者は、情報セキュリティインシデントに関して報告を受け又は認知したときは、必要な措置を講ずるものとする。
(自己点検)
第10条 当社は、情報セキュリティ対策の自己点検を行うものとする。
(監査)
第11条 当社は、関係規程が統一規範等に準拠し、かつ実際の運用が関係規程に準拠していることを確認するため、情報セキュリティ監査を行うものとする。
(情報の格付)
第12条 当社は、取り扱う情報に、機密性、完全性及び可用性の観点に区別して、分類した格付を付すものとする。
2 当社は、外部の機関(以下「外部機関」という。)との情報の提供、運搬及び送信に際しては、前項で定めた情報の格付のうち、いかなる区分に相当するかを明示等するものとする。
(情報の取扱制限)
第13条 当社は、情報の格付に応じた取扱制限を定めるものとする。
2 当社は、取り扱う情報に、前項で定めた取扱制限を付すものとする。
3 当社は、外部機関との情報の提供、運搬及び送信に際しては、情報の取扱制限を明示等するものとする。
(情報のライフサイクル管理)
第14条 当社は、情報の作成、入手、利用、保存、提供、運搬、送信及び消去の各段階で、情報の格付及び取扱制限に従って必要とされる取扱いが損なわれることがないように、必要な措置を定め、実施するものとする。
(情報を取り扱う区域)
第15条 当社は、当社事務所等の作業場所において情報を取り扱う区域の範囲を定め、その特性に応じて対策を決定し、実施するものとする。
(外部委託)
第16条 当社は、情報処理に係る業務を外部委託する場合には、必要な措置を定め、実施するものとする。
2 当社は、外部委託(約款による外部サービスの利用を除く。)を実施する場合は、委託先において情報漏えい対策や、委託内容に意図しない変更が加えられない管理を行うこと等の必要な情報セキュリティ対策が実施されることを選定条件とし、仕様内容にも含めるものとする。
3 当社は、要機密情報を約款による外部サービスを利用して取り扱わないものとする。
4 当社は、機器等の調達に当たり、既知の脆弱性に対応していないこと、危殆化した技術を利用していること、不正プログラムを埋め込まれること等のサプライチェーン・リスクへの適切な対処を含む選定基準を整備するものとする。
(情報システムに係る文書及び台帳整備)
第17条 当社は、保有する情報システムに係る文書及び台帳を整備するものとする。
(情報システムのライフサイクル全般にわたる情報セキュリティの確保)
第18条 当社は、保有する情報システムの企画、調達・構築、運用・保守、更改・廃棄及び見直しの各段階において情報セキュリティを確保するための措置を定め、実施するものとする。
2 当社は、情報システムの脆弱性対策、アクセスログの定期的点検など情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段を確保するものとする。
(情報システムの運用継続計画)
第19条 当社は、保有する情報システムに係る運用継続のための計画(以下「情報システムの運用継続計画」という。)を整備する際には、非常時における情報セキュリティ対策についても、勘案するものとする。
2 当社は、情報システムの運用継続計画の訓練等に当たっては、非常時における情報セキュリティに係る対策事項の運用が可能かどうか、確認するものとする。
(暗号・電子署名)
第20条 当社は、暗号及び電子署名の利用について、必要な措置を定め、実施するものとする。
(インターネット等を用いた情報の授受)
第21条 当社は、インターネット等を用いて情報の授受をする際には、利用者端末の情報セキュリティ水準の低下を招く行為を防止するために、必要な措置を定め、実施するものとする。
(情報システムの利用)
第22条 当社は、情報システムの利用に際して、役員等に情報セキュリティを確保するために行わせる必要な措置を定め、実施するものとする。
2 当社は、役員等による規定の遵守を支援する機能について、情報セキュリティリスク及び業務効率化の観点から支援する範囲を検討し、当該機能を持つ情報システムを構築するものとする。
(関係規程への委任)
第23条 この規程に定めるもののほか、この規程の実施のための手続その他その執行について必要な事項は、関係規程で定める。
附則
1 この規程は、平成30年5月1日より施行する。
別表
〔役員等の遵守事項〕
(情報の作成と入手及び利用時の対策)
1 情報を利用等する場合は自らが担当している業務の遂行以外の目的で利用等しないこと。
2 情報の作成や変更時等に格付及び取扱制限を決定及び明示等するとともに、明示された格付及び取扱制限に従って情報を取り扱うこと。
3 USBメモリ等の電磁的記録媒体を用いて情報を取り扱う際、定められた手順に従うこと。
(情報の保存時の対策)
4 要機密情報を保存する際は、アクセス制限を設定するなど、情報の格付及び取扱制限に従って情報を適切に管理すること。
5 要機密情報を含む電磁的記録媒体、書類又は重要な設計書については、施錠ができる書庫・保管庫に保存する等の適切な管理をすること。
(情報の送信又は運搬時の対策)
6 要機密情報を送信又は運搬する場合には、安全確保に留意して送信手段又は運搬方法を決定し、情報の格付及び取扱制限に応じて、安全確保のため暗号化等適切な措置を講じること。
(情報のバックアップ)
7 業務に係る情報の滅失等が、業務の遂行に影響を与える可能性が高いと判断される場合、適切な頻度でバックアップ又は複写を取得すること。
(情報の提供時の対策)
8 要機密情報を当社外に提供する場合は、手順に従い、第5条第4項に規定した責任者に許可又は届出を行うこと。
9 電磁的記録を公表又は提供する場合は、ファイルのプロパティ等に含まれる作成者名、組織名、作成履歴等、公表に不要な付加情報を削除する等、不用意な情報漏えいを防止するための措置を講じること。
10 情報を提供する場合は、提供先において、当該情報に付された格付及び取扱制限に応じて適切に取り扱われるよう、取扱い上の留意事項を確実に伝達するなどの措置を講じること。
(情報の消去時の対策)
11 電磁的記録媒体に保存された情報が不要となった場合は、速やかに情報を消去すること。
12 電磁的記録媒体や書面を廃棄する場合は、全ての情報を復元できないように抹消すること。
(当社支給以外の端末の利用時の対策)
13 当社支給以外の端末により情報処理を行う場合は、情報の格付に従い、第5条第4項に規定した責任者に許可又は届出を行うこと。
14 当社支給以外の端末により情報処理を行う場合は、定められた手続及び安全管理措置に関する規定に従うこと。
(当社外の情報セキュリティ水準の低下を招く行為の防止)
15 当社外の情報セキュリティ水準の低下を招く行為の防止に関する規定に従うこと。
16 国民等、当社外の者に対して、アクセスや送信させることを目的としてドメイン名を告知する場合に、「.co.jp」で終わるドメイン名を使用すること。
(不正プログラム感染及び拡大の防止)
17 不正プログラムの感染防止のため以下の行為を行わないこと。
・安全性が確実ではないファイルをダウンロードする。
・安全性が確実ではないファイルを移送、提供等する。
・安全性が確実ではないファイルを開き、あるいは実行する。
18 不正プログラムに感染した恐れがある場合には、当該端末の通信回線への接続を速やかに切断し、第5条第4項に規定した責任者等に連絡し、その指示に従うこと。
(識別コード又は主体認証情報等の管理)
19 主体認証情報(パスワード等)の管理に当たって、「他者に知られない」「他者に教えない」「忘れない」「容易に推測可能なものを用いない」「定期的に更新する」ことを徹底すること。
20 主体認証情報格納装置(ICカード等)の管理に当たって、「他者に貸与しない」「紛失しない」こと。
21 識別コード(ユーザID等)が不要になった場合又は主体認証情報が他者に使用された(又は使用される危険性が生じた)場合には、速やかに第5条第4項に規定した管理者に届け出ること。
(端末の利用時の対策)
22 モバイル端末を利用する際、第5条第4項に規定した責任者の承認を得るとともに、定められた手順に従い適切に利用すること。
23 端末は業務目的のみで使用し、その際使用する端末において利用可能と定められたソフトウェアのみを利用すること。
(通信回線の利用時の対策)
24 許可されていない端末等を通信回線に接続せず、許可された通信回線のみを利用すること。
(電子メールの利用時の対策)
25 要機密情報を含む電子メールを送受信する場合には、第5条第4項に規定した責任者が指定(当社によって運営又は外部委託されているものをいう。)した電子メールサービスを利用すること。
(ウェブの利用時の対策)
26 ウェブブラウザのセキュリティ設定を適切に行うこと。(あらかじめ第5条第4項に規定した管理者が設定している場合には、それに従って適切に使用すること。)
27 ウェブサイトに要機密情報を入力して送信する場合は、次の事項を確認すること。
(a)送信内容が暗号化されていること。(ウェブブラウザの鍵アイコン表示等による確認)
(b)送信先が想定している組織のウェブサイト(サイト証明書等による確認)
(違反への対処)
28 情報セキュリティ関係規程への重大な違反を知った場合は、速やかに第5条第4項に規定した責任者にその旨を報告すること。
(例外措置の運用)
29 定められた審査手続きに従い、許可権限者に規定の例外措置の適用を申請すること。
(情報セキュリティ対策の教育)
30 情報セキュリティ対策についての啓発を自ら進んでおこなうこと。 また、業務上関係のあるセキュリティ対策は、あらかじめ受講の上業務に従事すること。
(自己点検)
31 計画に基づき決定された自己点検票及び手順に従い、自己点検を実施すること。
(情報セキュリティインシデントの対処)
32 不審メールの受信等情報セキュリティインシデントの可能性を認知した場合は、速やかに報告窓口及び第5条第4項に規定した責任者に連絡するとともに対処手順等に従いその対処に努めること。
(外部委託における対策)
33 委託先に要機密情報を提供する場合は、提供する情報を必要最小限とし、委託先において情報が不要になった場合、あるいは外部委託終了時には委託先に不要な情報を返却、廃棄又は抹消をさせること。
34 委託先における情報セキュリティインシデントを認知した場合は、速やかに報告窓口及び第5条第4項に規定した責任者又は管理者に連絡するとともに対処手順等に従いその対処に努めること。
(約款による外部サービスの利用における対策)
35 利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適切な措置を講じた上で利用すること。
(情報セキュリティ関係規程の運用)
36 情報セキュリティ関係規程に係る課題及び問題点を発見した場合は、第5条第4項に規定した責任者又は管理者を通じて統括情報セキュリティ責任者に報告すること。