情報セキュリティポリシー

株式会社○○(以下、弊社)は、お客様からお預かりした情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。

1.基本方針の策定

弊社は、情報の適正な取扱いの確保について組織として取り組むために、基本方針を策定するものとします。

2.情報の取扱いに係る規律の整備

弊社は、その取り扱う情報の漏えい等の防止その他の情報の安全管理のために、情報の具体的な取扱いに係る規律を整備致します。

3.組織的安全管理措置

弊社は、組織的安全管理措置として、次に掲げる措置を講じます。
(1)組織体制の整備
安全管理措置を講ずるための組織体制を整備致します。
(2)情報の取扱いに係る規律に従った運用
あらかじめ整備された情報の取扱いに係る規律に従って情報を取り扱います。
なお、整備された情報の取扱いに係る規律に従った運用の状況を確認するため、利用状況等を記録致します。
(3)情報の取扱状況を確認する手段の整備
情報の取扱状況を確認するための手段を整備致します。
(4)漏えい等事案に対応する体制の整備
漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備致します。
(5)取扱状況の把握及び安全管理措置の見直し
情報の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組みます。

4.人的安全管理措置

弊社は、人的安全管理措置として、従業者に、情報の適正な取扱いを周知徹底するとともに適切な教育を行います。また、弊社は、従業者に情報を取り扱わせるに当たっては、個人情報保護法第24条その他法令に基づき従業者に対する監督を致します。

5.物理的安全管理措置

弊社は、物理的安全管理措置として、次に掲げる措置を講じます。
(1)情報を取り扱う区域の管理
情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域及びその他の情報を取り扱う事務を実施する区域について、それぞれ適切な管理を行います。
(2)機器及び電子媒体等の盗難等の防止
情報を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行います。
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
情報が記録された電子媒体又は書類等を持ち運ぶ場合、容易に情報が判明しないよう、安全な方策を講じます。
(4)情報の削除及び機器、電子媒体等の廃棄
情報を削除し又は情報が記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行います。

6.技術的安全管理措置

弊社は、情報システム(パソコン等の機器を含む。)を使用して情報を取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じます。
(1)アクセス制御
担当者及び取り扱う情報データベース等の範囲を限定するために、適切なアクセス制御を行います。
(2)アクセス者の識別と認証
情報を取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証致します。
(3)外部からの不正アクセス等の防止
情報を取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用致します。
(4)情報システムの使用に伴う漏えい等の防止
情報システムの使用に伴う情報の漏えい等を防止するための措置を講じ、適切に運用致します。

7.外的環境の把握

弊社が、外国において情報を取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、情報の安全管理のために必要かつ適切な措置を講じます。

制定日:20XX年○月○日
株式会社○○
代表取締役社長 ○○○○