機密情報保護方針
機密情報保護の基本方針
1.基本方針
クレアン(以下、当社)は、当社とお客様・取引先との信頼関係を強化し、より一層の安心とサービスを提供するため、以下の機密情報保護方針を定める。当社内の機密情報およびお預かりした機密情報保護の確保と日々の改善に努めることが当社の事業活動の基本であり、社会的責務であることを認識し、本機密情報保護方針(以下方針)を遵守する。
なお、機密情報とは、機密情報を含む可能性のあるすべての有形資料および電子情報を含む。
- 委託者から貸与された一切の資料
- 前項の複製・要約・その他二次的資料
- 電子メールやFAX、郵便物、電子掲示板などの内容および通信履歴
- 業務遂行に際し作成された一切の資料
- 業務の成果物のうち、機密情報を含む一切
当社の事業においては、機密情報の収集、預かり、格納、伝達、報告、返却、消去といった業務が日常発生する。機密情報が守られなければ、当社の事業活動の停止、停滞、当社に対する信頼の失墜、失落は免れない。したがって、当社の全員が不断の努力をもって、機密情報を保護し、方針を遵守する責任があり、意図の有無を問わず、当社内外の機密情報に対する権限のないアクセスや改竄、複写、破壊、漏洩等を行ってならない。
当社CSR委員会リスクマネジメント部会は、利用者が方針を理解し、実施できるように教育、指導を徹底する責任がある。
2.趣旨ならびに位置付け
方針は、下記のとおりの設置目的をもって、当社の管理するコンピュータ、ネットワーク等を利用し情報を取り扱うにあたって、遵守しなければならない最低限の事項をまとめたものである。詳細は、関連法規、条約、当社の各種規約、ならびに内規等に従うものとする。
- 当社の機密情報保護に対する侵害の阻止
- 当社内外の機密情報保護を侵害する行為の抑止
- 情報の機密区分の分類と管理責任者の策定
- 情報の機密区分に応じた管理策
- 機密情報ごとのITインフラとマネジメント
- 機密情報保護の評価と更新
- 建物内の入退出管理
- 機密情報を取り扱う人の情報管理の状況と必要な管理策の実施
3.対象範囲ならびに適用と責任
当社における方針の対象範囲は、当社全体とし、方針は、当社の機密情報を利用する当社の役職員および従業員(取締役、正社員、契約社員、インターン等)すべてに適用される。役職員および従業員は、諸規程に定めている責任を果たさなければならない。
4.罰則
本基本方針、諸規程、ガイドラインおよびそれらに付属する規則等に従わない場合は、就業規則に定められている懲戒の規定に従い処罰される。
5.実施手順
本方針の実施手順は、当社の規約、内規等によって別途定めるものとする。
情報システムの適正な管理
「業務の安定・円滑な運営と業務の継続のための、情報システム構築および運用管理」を基本方針としています。クレアンのさまざまな業務を遂行するにあたり、お客様が安心してクレアンに業務を依頼できるよう、外部からの不正アクセスの防止のためのファイアウォール、情報漏えい・改ざん防止のためのアクセス制限、データの定期的なバックアップなど、基本的取り組みを徹底して行うことで、情報システムの適正な管理を追求しています。
対策基準
1.運営体制
機密情報保護の責任者は、当社代表とする。当社代表は、機密情報保護に関する総括的な意思決定を行い、当社内外に対する全責任を負うものとする。方針の解釈に関しては、当社代表がすべての権利を保有し、当社代表による解釈をもってその最終決定とする。方針の策定ならびに重要事項の決定は、当社CSR委員会が行うものとする。システム管理責任者ならびにシステム管理者は、CSR委員会リスクマネジメント部会が担うものとし、システム管理の実施、緊急時の対応等にあたる。情報保護に関する啓発および教育についても、CSR委員会リスクマネジメント部会が担当し、自主管理ドメイン等のシステム管理者に対する教育を行うとともに、一般の利用者に対する幅広い初心者教育を行う。
2.機密情報保護侵害の阻止および侵害行為の抑止
2-1.機密情報保護侵害の阻止
外部または内部からの不正アクセスが検出された場合、当社のネットワーク管理者は、緊急措置手順に従って関連する通信の遮断または該当する情報機器の切り離しを実施する。不正アクセスが継続する場合には、所定の手続きに基づいて、当該情報機器またはそれを接続するネットワークに対し、事態を警告し、対策をとるよう勧告し、さらには、定常的な利用を停止するなどの抑止措置をとる場合ができる。
2-2.当社内外の機密情報保護を侵害する行為の抑止
当社内外を問わず、あらゆる機関、企業、組織、団体、個人等の機密情報を侵害してはならない。また、情報保護に関連する諸法規、条約ならびに当社が定める規約等を遵守しなければならない。
3.機密情報の管理者と機密情報の扱い
3-1.機密情報の管理者
当社の管理する機器に保存された情報は、当社のシステム管理者が管理しなければならない。当社の管理するネットワークに個人および自主管理ドメインの機器を接続した場合、当該機器内の情報は、その機器および自主管理ドメインのシステム管理者と利用者が管理しなければならない。
3-2.非公開情報の扱い
特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可された者が許可された操作だけを行えるように、認証、アクセス制御等を実施しなければならない。非公開情報を扱う場合と同じく、ネットワークは、暗号化や盗聴防止策を講じなければならない。さらに、異常な登録、閲覧および操作が行われていないか、定期的に調査・確認しなければならない。
3-4.公開情報の扱い
あらゆる公開情報を不当に利用してはならない。情報は改竄、破壊されないように適切に管理されなければならない。また、非公開情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分注意し、公開できる情報だけを抽出し、公開してよい形に加工しなければならない。情報が記録された媒体は、適切に管理されなければならない。
3-5.情報機器および記憶媒体の処分
非公開・限定公開・公開を問わず、情報機器および記憶媒体を破棄する場合は、その処分方法に注意しなければならない。
4.機密情報保護ならびに方針の評価と更新
4-1.機密情報保護の評価と更新
当社の機密情報を守るためには、適切な物理的・技術的・人的セキュリティが実施されているかを定期的に評価・調査・監査しなければならない。改善が必要と認められた場合は、速やかに情報セキュリティの更新を行わなければならない。
4-2.方針の評価と更新
機密情報保護の調査とともに、方針の実効性を定期的に評価し、改善が必要と認められた場合には、変更内容および実施時期の決定を行い、保護レベルの高い、かつ遵守可能な方針に更新しなければならない。
附 則
この機密情報保護方針は、2005年4月1日より施行する。
2015年9月1日
株式会社クレアン
代表取締役社長 薗田綾子