情報セキュリティ管理規程
本規程は、エアーズ株式会社(以下「当社」)における情報セキュリティ管理の基本的ルールを定め、情報資産を事故・災害・不正行為等の脅威から保護し、ISMSの有効な運用を確保することを目的とする。
2. 適用範囲
Section titled “2. 適用範囲”本規程は、当社の全従業員(正社員、契約社員、派遣社員、業務委託者を含む)および当社の情報資産を取り扱うすべての関係者に適用する。
3. 教育・周知
Section titled “3. 教育・周知”- 本規程の内容は、年1回以上の情報セキュリティ教育において全従業員へ周知する。
- 規程違反があった場合は、就業規則等に基づき懲戒対象とする。
4. 職務の分離(A.5.3)
Section titled “4. 職務の分離(A.5.3)”- 一つの誤りや不正が重大な影響を与える業務については、可能な限り職務を分離し、複数人体制で実施する。
- 以下の業務は、必ず実行者と承認者を分離する:
- システムの設定変更・本番リリース
- 顧客向けの一斉メール送信
- マスターデータ更新
- 金銭・会計処理
- 職務分離が困難な場合は、代替としてログ監査・ダブルチェックなどの統制を実施する。
5. 関係当局との連絡(A.5.5)
Section titled “5. 関係当局との連絡(A.5.5)”- 情報セキュリティインシデントが発生した場合、必要に応じて関係当局へ速やかに通報する。
- 通報は、情報セキュリティ責任者または経営者の承認を得て実施する。
- 特に以下のケースにおいては、所管官庁や専門機関へ連絡を行う。
- 個人情報の漏えい等があった場合:個人情報保護委員会
https://www.ppc.go.jp/personalinfo/legal/leakAction - 特定個人情報(マイナンバー)の漏えい等があった場合:個人情報保護委員会
https://www.ppc.go.jp/legal/rouei - 情報セキュリティに関する相談や支援が必要な場合:情報処理推進機構(IPA)
https://www.ipa.go.jp/security/anshin/index.html
- 個人情報の漏えい等があった場合:個人情報保護委員会
6. 専門組織との連絡(A.5.6)
Section titled “6. 専門組織との連絡(A.5.6)”- 当社は、情報セキュリティに関する最新情報を入手し、必要に応じて社内へ展開するため、関連する専門組織との連携を行う。
- 主な参照先は以下のとおりとする。
- 情報処理推進機構(IPA)
https://www.ipa.go.jp/security - 個人情報保護委員会(PPC)
http://www.ppc.go.jp
- 情報処理推進機構(IPA)
- ISMS責任者は、これらの情報源を定期的に確認し、脅威情報や関連法令・ガイドラインの更新を把握して、必要に応じて全従業員に周知する。
7. 脅威インテリジェンス(A.5.7)
Section titled “7. 脅威インテリジェンス(A.5.7)”- 当社は、情報セキュリティに関する最新の脅威情報を収集・分析し、リスクアセスメントやセキュリティ対策に活用する。
- 主な情報源は以下のとおりとする。
- 情報処理推進機構(IPA)
https://www.ipa.go.jp/security - 個人情報保護委員会(PPC)
http://www.ppc.go.jp - その他、セキュリティベンダーや業界団体が提供する脆弱性情報・脅威レポート
- 情報処理推進機構(IPA)
- ISMS責任者は、入手した脅威情報を評価し、必要に応じてリスク管理プロセスへ反映し、全社に周知する。
8. プロジェクトマネジメントにおける情報セキュリティ(A.5.8)
Section titled “8. プロジェクトマネジメントにおける情報セキュリティ(A.5.8)”- 新規システム開発やサービス導入等のプロジェクトにおいては、企画段階から情報セキュリティを考慮する。
- プロジェクト責任者は、必要に応じてISMS責任者によるレビューを受け、セキュリティ要件を満たすことを確認する。
9. 情報資産の許容される利用(A.5.10)
Section titled “9. 情報資産の許容される利用(A.5.10)”- 当社の情報資産(PC、スマートフォン、クラウドサービス、ネットワーク、紙媒体等)には、それぞれ利用可能範囲を定める。
利用者は、この範囲を超えて私的利用・不正利用を行ってはならない。 - 利用可能範囲は、関連する規程・マニュアルにおいて具体的に定め、必要に応じて見直す。
10. 情報の分類(A.5.12)
Section titled “10. 情報の分類(A.5.12)”- 当社の情報資産は、機密性の重要度に応じて次の3区分に分類する。
- 機密:漏えいすると取引先・顧客に重大な影響があるもの(個人情報、NDA対象情報等を含む)
- 社外秘:漏えいすると当社の事業運営に大きな影響があるもの(社内資料、業務マニュアル等)
- 公開:社外公開を前提とした情報(Webサイト、プレスリリース等)
- 各情報資産の責任者は、分類に従い適切な保護措置を講じなければならない。
- 分類ルールは定期的に見直し、必要に応じて更新する。
11. 情報のラベル付け(A.5.13)
Section titled “11. 情報のラベル付け(A.5.13)”- 分類された情報資産には、その区分を識別できるように適切なラベル付けを行う。
- ラベル付けの方法は以下を原則とする。
- 機密:文書やファイルのヘッダーまたはフッターに「機密」と明記する
- 社外秘:文書やファイルのヘッダーまたはフッターに「社外秘」と明記す
- 公開:ラベル付けは不要。ただし公開前に責任者による承認を得ること
- ラベル付けが困難な情報(例:口頭伝達、システム内データ等)については、分類に応じたアクセス制御、暗号化、利用者教育などの代替措置を講じる。
- ラベル付けおよび代替措置の実施状況は、POL-005_従業員向け基本規程に基づき記録・監査される。
12. 情報の転送(A.5.14)
Section titled “12. 情報の転送(A.5.14)”- 当社の情報資産を外部に送信・転送する場合は、暗号化通信(HTTPS、VPN等)などの適切なセキュリティ対策を講じなければならない。
- 情報の転送は、POL-005_従業員向け基本規程に定める禁止事項・利用ルールに従うものとする。
- ISMS責任者は、情報転送に関する技術的対策(DLP、メール誤送信防止機能など)の導入状況を定期的に確認し、必要に応じて改善を行う。
13. 法令・規制及び契約上の要求事項の遵守(A.5.31, A.5.34)
Section titled “13. 法令・規制及び契約上の要求事項の遵守(A.5.31, A.5.34)”- 当社は、情報セキュリティに関連する法令・規制および契約上の要求事項を特定し、これを遵守する。
- 関連する法令・規制・契約上の要求事項は「法規制リスト」(未整備。FRM-013の是正タスクとして整備予定)として管理し、年1回以上見直す。
- 主な関連法令・規制の例は以下とする。
- 個人情報の保護に関する法律(個人情報保護法)
- 労働関連法令(労働基準法、労働安全衛生法 等)
- 下請代金支払遅延等防止法(下請法)
- 不正競争防止法、著作権法
- 外為法および暗号化関連規制
- 事業において利用する個人情報は、個人情報保護法に基づき管理を行う。
- 法規制リストの管理責任者はISMS責任者とし、主管部門は必要に応じてその内容を補足・更新する。
14. 秘密保持契約(A.6.6)
Section titled “14. 秘密保持契約(A.6.6)”- 機密情報のやり取りは、原則として秘密保持契約(NDA)または守秘義務条項を含む契約を締結している組織とのみ行う。
ただし、個人情報その他法令や契約で制約されていない情報については、信頼できる組織に限り、契約締結前であっても情報をやり取りすることができる。 - 従業員・業務委託者・サプライヤーとの個別契約においては、秘密保持条項を必須とし、別途定める各規程に従う。
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-08-22 | - | 初版制定 | - |
| 2025-08-29 | - | 章構成を変更。8章以降を再構成。11章法令・規制及び契約上の要求事項の遵守を追加 | - |
| 2025-09-05 | - | A.5.10の規定を追加。番号とフォーマットの調整。 | - |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。改訂履歴章(旧4章)を文書末尾へ移動し後続章番号を繰り上げ。POL-005への参照(2箇所)を相対リンクへ置換(リンク表記を旧称「POL-005_情報資産管理規程(利用者向け基本規程)」から現行文書名に変更)。「法規制リスト」に未整備の注記を追加。改訂履歴の改定日の誤記(20205/09/05)を2025-09-05へ修正 | 加藤匡邦 |