オフィス等施設・設備規程
本規程は、当社の情報セキュリティマネジメントシステムの一環として制定したものであり、社外に開示する場合は「社外秘」として取り扱う。
当社の承諾なく複製・転載・再配布することを禁止する。
本規程は、当社のオフィス等の施設および設備に関して、契約・設計・工事・運用・保守を担当する者が、情報資産を物理的・環境的な脅威から保護できるよう、物理セキュリティ要件を遵守して設備の発注・設計・管理を行うための基本ルールを定めることを目的とする。
2. 適用範囲
Section titled “2. 適用範囲”本規程は、当社が管理または利用するオフィス拠点、営業所、倉庫その他の事業用施設において、設備の契約・設計・工事・運用・保守・管理を担当する総務部門、拠点管理者、発注担当者、設備管理責任者に適用する。
3. 教育・周知
Section titled “3. 教育・周知”- 本規程は、設備の契約・工事・保守・管理を担当する者に対し、職務開始時および必要に応じて教育を行い周知する。
- 規程違反が確認された場合は、社内規程または契約に基づき是正措置・処分を行う。
4. 用語の定義
Section titled “4. 用語の定義”- 設備設計責任者
オフィス等の施設・設備に関して、契約・発注・設計の方針を決定する者をいう。 - 設備運用管理者
導入された設備を運用・保守し、利用者へのルール徹底を担う者をいう。 - 利用者
当社オフィス等の施設・設備を利用する従業員および委託者をいう。
5. 物理的セキュリティ境界(A.7.1)
Section titled “5. 物理的セキュリティ境界(A.7.1)”設備設計責任者
Section titled “設備設計責任者”- 以下に従ってゾーンを区切り、フロア図を作成しなければならない。
- 来客エリア:受付や会議室など、来客が入室可能なエリア
- 執務エリア:執務室や営業所など、従業員のみが入室可能なエリア
- サーバエリア:サーバ機器の保管場所など、従業員の中でも許可された者のみがアクセス可能なエリア
6. 物理的入退(A.7.2)
Section titled “6. 物理的入退(A.7.2)”設備設計責任者
Section titled “設備設計責任者”- 出入口に施錠設備及び入退室管理システムを導入し、入退ログを取得できる仕組みを導入しなければならない。
- 荷物受け渡しを来客エリアで行えるようにしなければならない。
- サーバエリアへの入退についてログが残るような設備を導入しなければならない。
設備運用管理者
Section titled “設備運用管理者”- 施錠や入退室システムを日常的に運用し、入退ログを確認し不審なログがないかを確認しなければならない。
- 利用者に対し、無人状態になる場合は、時間帯に限らず、必ず出入口の施錠を行うこと遵守させなければならない。
- 利用者に対し、執務エリアへの来客を含めた従業者以外の入室は原則禁止し、入室の必要がある場合は、従業者が必ず帯同することを遵守させなければならない。
- 利用者に対し、荷物の受け取りは来客エリアで行うことを遵守させなければならない。
7. オフィス・施設のセキュリティ(A.7.3)
Section titled “7. オフィス・施設のセキュリティ(A.7.3)”設備設計責任者
Section titled “設備設計責任者”- サーバやネットワーク機器の設置場所を秘匿できるように設計を決定しなければならない。
設備運用管理者
Section titled “設備運用管理者”- 利用者に対し、機器設置場所を不用意に第三者へ口外しないよう徹底させなければならない。
8. 物理的セキュリティの監視(A.7.4)
Section titled “8. 物理的セキュリティの監視(A.7.4)”設備設計責任者
Section titled “設備設計責任者”- 出入り口やサーバールームなど施設の状況により、必要な箇所に監視カメラを設置しなければならない。
9. 物理的及び環境的脅威からの保護(A.7.5)
Section titled “9. 物理的及び環境的脅威からの保護(A.7.5)”設備設計責任者
Section titled “設備設計責任者”- 火災・浸水・盗難リスクを考慮した設備配置および地震対策を決定しなければならない。
- 地震等への備えとして、社内の電子機器類には転倒防止のための対策を行わなければならない。
設備運用管理者
Section titled “設備運用管理者”- 利用者に対し、来客に来客カードを付与し、着用させることを遵守させなければならない。
10. セキュリティを保つべき領域での作業(A.7.6)
Section titled “10. セキュリティを保つべき領域での作業(A.7.6)”設備設計責任者
Section titled “設備設計責任者”- 盗み見防止を考慮した設計を決定しなければならない。
設備運用管理者
Section titled “設備運用管理者”- 利用者に対し、執務エリア内での写真撮影は、情報の映り込みに配慮させなければならない。
- ホワイトボード等の情報が残る媒体の利用後、利用者に対して、速やかに内容を消去させる、またはしなければならない。
11. クリアデスク・クリアスクリーン(A.7.7)
Section titled “11. クリアデスク・クリアスクリーン(A.7.7)”設備運用管理者
Section titled “設備運用管理者”- 利用者に対し、離席時の画面ロックや業務終了時のクリアデスクを徹底させなければならない。
12. 機器の設置及び保護(A.7.8)
Section titled “12. 機器の設置及び保護(A.7.8)”設備設計責任者
Section titled “設備設計責任者”- ネットワーク機器やサーバを従業員が容易に触れられない場所へ設置するようにしなければならない。
- 重要な機器や紙媒体は、火災・浸水・盗難リスクを考慮した設備配置および地震対策を決定しなければならない。
設備運用管理者
Section titled “設備運用管理者”- 利用者に対し、紙媒体や機器を決められた場所に保管するよう徹底させなければならない。
13. 記録媒体(A.7.10)
Section titled “13. 記録媒体(A.7.10)”設備設計責任者
Section titled “設備設計責任者”- 基本はペーパーレスとし、紙を使う業務を行う必要がある場合に備えてシュレッダーを設置すること。
設備運用管理者
Section titled “設備運用管理者”- 利用者に対し、紙を使う業務を行った場合にはシュレッダーを利用させて処分させなければならない。
14. サポートユーティリティ(A.7.11)
Section titled “14. サポートユーティリティ(A.7.11)”設備設計責任者
Section titled “設備設計責任者”- 停電やメンテナンスに備え、重要機器にUPSを設置するか代替策を準備しなければならない。
設備運用管理者
Section titled “設備運用管理者”- UPS等を維持・保守し、利用可能な状態を保たなければならない。
15. ケーブル配線のセキュリティ(A.7.12)
Section titled “15. ケーブル配線のセキュリティ(A.7.12)”設備設計責任者
Section titled “設備設計責任者”- ケーブルが通路を跨がずに配線されるようにしなければならない。
設備運用管理者
Section titled “設備運用管理者”- 設置されたケーブルを日常的に点検し、設計時の状態を保たなければならない。
16. 装置の保守(A.7.13)
Section titled “16. 装置の保守(A.7.13)”設備設計責任者
Section titled “設備設計責任者”- サーバ・ネットワーク機器に関してベンダー推奨の周期でメンテナンスを行えるよう、契約・体制を決定しなければならない。
設備運用管理者
Section titled “設備運用管理者”- 設備運用管理者は、保守契約に基づき点検・保守を実施し、安全な状態を維持しなければならない。
17. 装置のセキュリティを保った処分又は再利用(A.7.14)
Section titled “17. 装置のセキュリティを保った処分又は再利用(A.7.14)”設備運用管理者
Section titled “設備運用管理者”- 機材等を廃棄する場合は、社内で内部メモリを物理的に破壊するか、専門の廃棄業者に依頼しなければならない。
- 廃棄を専門の廃棄業者に依頼する場合は、廃棄証明書もしくはデータ消去証明書を受領しなければならない。
データ消去証明書等の発行ができない廃棄業者と委託契約は結べない。
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-08-22 | - | 初版制定 | - |
| 2025-09-05 | - | 内容を全体的に修正。 | - |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。改訂履歴章(旧4章)を文書末尾へ移動し後続章番号を繰り上げ(原文で「15」が重複していた章番号は繰り上げにより解消)。12章の設備運用管理者の項番(原文「3」始まり)を1に正規化 | 加藤匡邦 |