従業員向け基本規程
本規程は、当社の情報セキュリティマネジメントシステムの一環として制定したものであり、社外に開示する場合は「社外秘」として取り扱う。
また、当社の承諾なく複製・転載・再配布することを禁止する。
本規程は、当社の情報資産(PC、スマートフォン、クラウドアカウント等)を取り扱う従業員および業務委託者が、日常業務で遵守すべき基本ルールを定め、事故・不正利用・漏えい等のリスクから情報を保護することを目的とする。
2. 適用範囲
Section titled “2. 適用範囲”本規程は、会社から貸与された資産(PC、スマートフォン等)および会社が許可した私物端末(BYOD:Bring Your Own Device)を業務で利用するすべての従業員・業務委託者に適用する。
管理者業務(アカウント発行、権限管理、ログ監査等)は別途「POL-006_SaaS等管理者規程」に従う。
3. 教育・周知
Section titled “3. 教育・周知”- 本規程は、入社時教育および規定の改定時など必要において全利用者に周知する。
- 規程違反者には再発防止教育を行う。
4. 利用者の基本責任
Section titled “4. 利用者の基本責任”- 各利用者は、貸与資産および業務で利用する情報を適切に管理し、紛失・盗難・不正利用を防止する責任を負う。
- 違反が確認された場合は、就業規則または契約に基づき処分の対象となる。
5. 情報資産の管理
Section titled “5. 情報資産の管理”5.1 記録の管理(A.5.9)
Section titled “5.1 記録の管理(A.5.9)”- 貸与された PC・スマートフォンおよび発行された各種アカウント等個人の管理すべき情報資産は、「FRM-002_個人別資産台帳_テンプレート」を基に作成し、記録する。(以下これを資産管理台帳と呼ぶ)(作成済みの個人別資産台帳は
docs/ledgers/配下のFRM-003〜FRM-005) - 利用者は、貸与・返却・変更の際に速やかに記録を更新し、証跡を添付する。
5.2 貸与資産(PC・スマートフォン)(A.5.11, A.8.1)
Section titled “5.2 貸与資産(PC・スマートフォン)(A.5.11, A.8.1)”- 貸与された資産は資産管理台帳に記録し、利用開始・返却時に更新する。
- 貸与PCやスマートフォンは、ストレージ暗号化(例:FileVault、BitLocker)を有効にする。
- 貸与PCおよび業務利用端末は、スリープ・休止・再起動後に必ずパスワードまたは同等の認証で再ログインを要求する設定とする。
- 社外で利用する場合、たとえ一時的であっても、無人状態で放置しない。
例) 新幹線等でPCのはいったカバンを置いたままトイレ等へ行くなどは禁止。
5.3 私物端末の業務利用(BYOD)(A.6.7, A.5.15, A.6.5)
Section titled “5.3 私物端末の業務利用(BYOD)(A.6.7, A.5.15, A.6.5)”- BYOD端末を利用する場合は、以下を必須とする:
- ディスク暗号化、画面ロックの設定
- 最新OSへの更新
- 紛失・盗難時は速やかに報告し、遠隔ロック・ワイプを実施する
- 廃棄・譲渡時は初期化を行い、業務情報が残存しないようにし、その情報を資産管理台帳に記録すること。
6. 情報の分類と暗号化(A.5.12, A.8.24)
Section titled “6. 情報の分類と暗号化(A.5.12, A.8.24)”- 当社の情報は「POL-004_情報セキュリティ管理規程」で定める分類(機密・社外秘・公開)に従って取り扱う。
- 機密情報・社外秘情報を扱う場合は、暗号化通信(VPN、TLS等)を利用する。
7. 資産返却・廃棄時のルール(A.5.11, A.6.5, A.8.10)
Section titled “7. 資産返却・廃棄時のルール(A.5.11, A.6.5, A.8.10)”- 退職・契約終了時には、すべての貸与資産を返却し、アカウントを返納する。
- アカウントの返却や・私物端末の廃棄は資産台帳に記録し、証跡を残す。
8. 情報のやり取り(転送・共有)(A.5.14)
Section titled “8. 情報のやり取り(転送・共有)(A.5.14)”- 業務で利用する情報は、必ず暗号化通信(HTTPS、VPN、TLS等)を用いて送信すること。
- 業務で受信した電子メールを、個人のメールアドレス(例:Gmail、Yahooメール等)に転送してはならない。
- SNSやチャットサービスには、業務情報や従業員のプライバシーに関する情報(写真への映り込みを含む)を許可なく投稿してはならない。
- 一般的でない手段(SNSのDM機能など)で業務情報をやり取りする場合は、必ず相手方の事前承認を得ること。
9. パスワード及び認証情報の管理(A.5.15, A.5.16, A.5.17)
Section titled “9. パスワード及び認証情報の管理(A.5.15, A.5.16, A.5.17)”- 業務システムにログインする際は、可能な場合、以下の方式を優先して利用すること。
※ これらが利用可能な場合は、パスワード単独認証を避けること。- Googleアカウントによるシングルサインオン(SSO)
- GitHubアカウント認証
- パスキー認証(FIDO2 等)
- サービス仕様上、パスワードが必要な場合は次を遵守すること。
- 12文字以上で英字・数字・記号を組み合わせる
- パスワードは他サービスとの使い回しは禁止
- 複雑なパスワードが設定できない場合は、その理由を「個人別資産台帳」(
docs/ledgers/配下のFRM-003〜FRM-005)に記録すること
- パスワードを使う場合において、ISMS責任者が承認したパスワードマネージャーを使用し、同ツールで生成した強固なパスワードを保存・使用すること。
- パスワードやパスワードマネージャーの情報を第三者と共有してはならない
- 貸与PCや業務用端末は必ず利用者本人専用とし、ゲストアカウントや共有アカウントの利用は禁止する
10. ネットワーク利用(A.6.7, A.8.1, A.5.23)
Section titled “10. ネットワーク利用(A.6.7, A.8.1, A.5.23)”- 喫茶店、駅、空港、ホテル等の不特定多数が利用可能な公共無線LAN(フリーWi-Fi)は利用を禁止する。
- 在宅勤務においては、自宅の固定回線等、利用者が管理する暗号化設定済みのネットワークを利用することができる。
- 委託元が業務利用を前提に提供する社内ネットワークは利用を許可する。
- コワーキングスペースや宿泊施設等で提供されるネットワークを利用する場合は、暗号化(WPA2以上)が有効であり、かつ会社が許可したVPNを利用することを条件とする。
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-08-22 | - | 初版制定 | - |
| 2025-08-29 | - | 教育・周知の規程を「3.」に移動。改訂履歴を「4.」に移動し、番号の振り直し。 各種別規程を参照する箇所をリンクに変更。「パスワード及び認証情報の管理」に項目を追加。 「情報の転送」を追加。 | - |
| 2025-09-05 | - | BYODの規程を追加。11章のAnnex A 対応番号の修正 | - |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。改訂履歴章(旧4章)を文書末尾へ移動し後続章番号(節番号含む)を繰り上げ。POL-006への参照を相対リンクへ置換(リンク表記を旧称「POL-006_SaaS・アクセス管理規程(管理者向け)」から現行文書名に変更)。POL-004・FRM-002への参照を相対リンクへ置換。個人別資産台帳の所在(docs/ledgers/ のFRM-003〜FRM-005)を注記 | 加藤匡邦 |