受託開発における情報セキュリティ運用ルール

MNL-001 approved v1.0 作成: 鈴木謙吾承認: 加藤匡邦承認日: 2026-06-10 次回レビュー: 2027-06-10

本覚書は、当社が受託開発業務を遂行するにあたり、情報セキュリティを確保するための基本的な運用ルールを示すものです。

ここに記載する内容は当社の標準的な基本ルールであり、委託元企業様におかれましては、必要に応じて貴社の情報セキュリティ方針や運用ルールに適合するよう修正・追加いただくことが可能です。

両社は本覚書に基づき合意した内容を受託開発業務に適用し、これを基本として運用します。ただし、実際の作業内容や運用ルールについては、本覚書を更新することなく両社協議のうえ柔軟に変更できるものとします。なお、本覚書自体は、変更内容を反映させる形で年に1度を目安に更新し、最新版を共有するものとします。

はじめに

目的

受託開発業務における情報資産の保護、セキュリティリスク低減、透明性の確保。

適用範囲

本覚書は、当社の従業員および受託開発に従事する業務委託者に適用します。

柔軟性

本覚書は契約書のような拘束力を意図するものではなく、合意事項として適用されます。委託元企業様のルールが存在する場合はそれを優先し、本覚書は必要に応じて改変・補完されます。

見直し

本覚書は、両社協議のうえ随時改訂可能とします。

第1章　個人に関しての基本ルール

セキュリティ教育と情報機器の利用

受託業務に従事する者は、定期的に情報セキュリティ教育を受講し、最新のルールを理解したうえで情報機器を扱い業務を行います。

作業内容の通知

委託元企業様が作業状況を把握できるよう、作業内容の通知を行います。
作業通知および記録は、委託元と合意した媒体（例：専用Slackチャンネル、チケット管理システム等）に残し、監査可能な状態で保管することとします。

「作業開始」の通知
受託業務に従事する際は、業務開始時に通知を行います。
「作業終了」の通知
受託業務に従事する際は、委託業務終了時に、当日実施した作業内容を簡潔に記載し通知を行います。
「月報」の送付
日々の作業通知を基に、月単位で「作業日・作業内容・作業時間」の一覧を作成し、提出します。
なお、月報は簡易的な一覧表形式とします。

個人情報の取扱い

個人情報や業務情報をメールやSNS等に無断で転送・投稿することを禁止します。

個人情報のローカル保存は禁止とします。
業務上必要不可欠な集計・分析・不具合調査等の目的で利用する場合に限り、責任者の承認を得たうえで一時的に保存することができるとします。

保存する場合は暗号化ストレージを用い、利用終了後、原則24時間以内に削除し、その旨を記録・報告します。

契約終了時のデータ処理

契約終了時には、個人PCやローカル端末に保存されたソースコード等業務関連データを安全に削除し、削除完了については必要に応じて報告します。

第2章　開発の基本方針

セキュリティを考慮した開発

企画・設計・実装・テスト・運用の各工程で、常に情報セキュリティを考慮します。
ソースコードはバージョン管理システムで一元管理し、コードレビューを必須とします。
本番用ブランチへの直接コミットは禁止とし、レビューを経て反映します。
テスト環境と本番環境は分離し、相互接続を禁止します。

OSやフレームワーク等の更新ポリシーと脆弱性対応

OSおよび主要ミドルウェア（DB,、キャッシュサーバ等）、フレームワーク、プログラミング言語のメジャー更新は、現行利用バージョンのサポート終了前に移行します。
ただし、陳腐化を防ぐため、最新のメジャー更新がリリースされた後、1年以内の更新を目標としています。

利用しているライブラリの脆弱性の対応は以下を基本方針とします。
修正が困難な場合はリスク評価を行い、代替策を講じます。

重大（Critical）CVSS v3 9.0以上、または実害が出ている／公知の悪用（KEV等）
- 検知・一次通知
  検知後 2時間以内（営業時間外は可能な限り）
- 暫定対処（遮断・WAF・権限/設定変更等）
  24時間以内
- 恒久対応（パッチ/アップグレード）
  72時間以内を目安
高（High）CVSS v3 7.0–8.9
- 暫定対処：7日以内
- 恒久対応：14日以内
中（Medium）以下
- 定例のバッチ適用で対応（月1回以上）

テストデータと個人情報の扱い

テストや検証に使用するデータは、必ず匿名化・マスキングを行います。
実データを利用する場合は、責任者の承認を得て、利用終了後、原則24時間以内に削除し、その旨を記録・報告します。

再委託の禁止

受託した業務を第三者に再委託することは当社の判断で行うことは一切ありません。

やむを得ず再委託を行う場合は、必ず委託元企業様の事前書面承認を得た上で、当社と同等の情報セキュリティ対策を契約により義務付けます。
なお、クラウドサービス(CI/CDサービスやJira、GitHub等開発用SaaSサービスを含む)の利用は再委託に含みません。
ただし、個人情報・認証情報その他機密性の高いデータを第三者クラウドに保存・処理する場合は、事前に協議するものとします。

監査・レビュー対応

委託元企業様から監査やレビューを求められた場合は、作業記録・ログ・手順など、セキュリティ上開示可能な範囲で提示し、透明性を確保します。

第3章　本番環境・作業に関して

本番・テスト環境のアカウント管理

本番環境（例：AWS 等クラウドサービス）は、原則として委託元企業様にてご用意いただきます。
当社は委託元企業様より付与されたアカウント・権限の範囲で作業を行い、アカウントの所有権や資産管理責任を持ちません。
契約終了時には、委託元企業様において不要となったアカウントや権限を削除してください。当社は付与された権限の利用停止に協力します。

作業通知と承認

本番環境やサーバーに対して作業を行う場合は、事前に「作業内容・対象システム・予定時間・影響範囲・切り戻し手順」を通知します。
作業は必ず責任者の承認を経て実施し、単独判断による変更は行いません。

職務分離と責任分担

本番リリースや設定変更は、実施者と承認者を分離し、相互に牽制が働く体制とします。
緊急対応の場合も、事後に承認とレビューを行い、再発防止策を必ず検討します。

Infrastructure as Code（IaC）の利用

本番環境の設定や構成は、可能な限り IaC（例：Terraform、 CloudFormation 等）で管理します。
設定変更はレビューと承認を経てコード化し、再現性を担保します。
IaC コードはバージョン管理システムで管理し、変更履歴を追跡可能とします。

作業記録・ログ管理

本番作業の実施内容は、すべて記録として残します。
サーバー・アプリケーション・アクセスログ等は、改ざん防止の措置を施し、委託元規程に従い保管します。
指定がない場合はクラウドベンダーのストレージ上に最低3年間保管することとします。
ログは定期的にレビューを行い、不審な操作がないかを確認します。

インシデント検知と対応

本番環境では、不正アクセスや異常挙動を把握するため、監視・検知を実施します。
一次通知は、委託元と合意した連絡手段（例：専用Slackチャンネル、電話等）により行うものとします。

標準対応（追加費用不要）
CloudWatch Logs 等を用いたアラート通知を Slack 等に自動送信し、営業時間内に担当者が確認・対応します。
重大インシデント一次通知体制
委託元企業様と合意した契約範囲に従って実施します。
(覚書締結時にここに記載します。)
拡張対応（24時間体制での即応や復旧作業等）
(別途保守契約にて定め、その内容をここに記載します。)
インシデント対応後
一次対応（遮断・隔離）、原因調査、報告、再発防止策を実施します。

切り戻しとリスク対策

本番環境の変更時には、必ずロールバック（切り戻し）手順を準備した上で作業します。
重大な影響が想定される場合は、影響範囲のレビューを行い、必要に応じて段階的にリリースします。

緊急対応時

障害等の緊急作業においても、作業内容を必ず記録し、事後に責任者承認とレビューを行います。
インシデント発生時は、原因調査・証跡確保・再発防止策を行い、顧客にも報告します。

改訂履歴

改定日	版	改定内容	承認
20XX/YY/ZZ	-	初版制定	-
2026-06-10	1.0	GitHubリポジトリ（airs/isms）へ移行（「改訂履歴」を「はじめに」内から文書末尾へ移動、空見出しを除去）	加藤匡邦