情報セキュリティ方針

第1章 総則

(目的)

第1条 この規程は、会社保有情報等の適切な活用・保全・運用に関し、会社取締役・社員全員が職務遂行上遵守すべき基本的事項を規定し、全社的情報セキュリティ管理を実現することにより、経営管理の質的向上を図ることを目的とする。

(適用範囲)

第2条 会社のすべての会社保有情報のセキュリティ管理は、この規程に則って行う。

2 顧客および社員等に関する個人情報については、この規程よりも高度なものを求める部分については、さらに別途定める個人情報保護規程等に基づくものとする。

(用語定義)

第3条 この規程における用語の定義は次のとおりとする。

(1) 会社保有情報とは、電磁化・非電磁化にかかわらず会社が保有するすべての情報をいう。

(2) 会社保有情報には、別段の定めのない限り、職務の遂行によって新たに生成または拡充された情報が含まれるものとする。

(3) 会社保有情報には、会社の所有する情報だけでなく、他社(者)から正当に入手し保有する会社保有情報も含むものとする。

2 他社(者)とは、会社および会社取締役、社員以外の個人、法人、団体等をいう。

3 社員とは、会社と雇用関係(契約社員およびパートタイマーを含む。)を有するすべての者をいう。

4 電磁化情報とは、情報システムによって処理可能な状態にある情報をいう。

5 非電磁化情報とは電磁化情報以外の情報をいう。

6 情報管理責任者とは、情報内容の変更、開示等に関する意思決定権および情報管理権限を有する者のことをいい、情報作成者所属グループレベル以上の部門責任者がこの職責に任ぜられるものとする。

7 機密とは、第15条の規定により機密区分が「極秘」または「秘密」に区分されたものをいう。

8 開示とは、手段・方法の如何、社内外を問わず、特定の相手方または不特定多数の相手方に電磁的または非電磁的な方法により送信、伝達、送付、表明し、または示すことをいう。

9 公表とは、不特定多数の他者に開示することをいう。

10 アクセスとは、情報の閲覧を含み、情報を使用すること、および情報利用手段を使用することをいう。

11 アクセス権限とは、アクセスできる権限をいう。

12 アクセス権限者とは、アクセス権限を有する者をいう。

13 情報セキュリティとは、情報を必要とするアクセス権限者のみが正しい内容の情報を正しく利用できるよう、会社保有情報を安全に保護することをいう。

14 情報セキュリティの管理とは、情報セキュリティを維持・運営・向上させるため、会社保有情報およびその環境を管理することをいう。

第2章 情報セキュリティ保全の基本的責務

(情報セキュリティ関連義務)

第4条 すべての取締役および社員は、会社保有情報のセキュリティを保全しこれに対する注意義務を負う。

(情報の不正入手の禁止)

第5条 すべての取締役および社員は、他者に帰属する情報を非合法にまたは社会的批判を招く手段により入手してはならない。また提供を相手方に強要したり、相手方の申し出を受諾したりしてはならない。

(会社保有情報の不正利用等の禁止)

第6条 すべての取締役および社員は、会社保有情報を会社業務以外の目的に利用してはならない。

2 すべての取締役および社員は、会社保有情報の使用目的が限定されているかどうかを確認する義務を負い、使用目的が限定されている場合は、その目的以外に使用してはならない。

3 すべての取締役および社員は、会社保有情報を許可なく社外に持ち出したり他者に開示したりしてはならない。

4 すべての取締役および社員は、情報取扱に関するすべての法令を遵守しなければならない。なお、本規程よりも厳しい法令はこの規程に優先して従わねばならないものとする。

(業務委託先への業務依頼)

第7条 部門長は、職務遂行上必要な場合に限り、社外の業務委託先を指定し、会社保有情報にかかる業務の一部または全部を委託することができる。ただし、この場合、委託する業務内容は、職務遂行上必要な範囲に厳しく限定するとともに、業務委託先におけるその守秘義務および複製物の取扱い方法を含む、会社保有情報の情報セキュリティを規定した秘密保持契約書を業務委託先と締結し、これを履行させなければならない。

2 部門長は、業務委託先に会社業務を委託した場合、当該業務終了後の会社保有情報およびその複製物の返却・廃棄等の処理結果を文書等により確認しなければならない。

第3章 情報セキュリティの管理体制

(会社の情報セキュリティ統括)

第8条 情報セキュリティ管理を委嘱し、委嘱された取締役(情報セキュリティ管理担当取締役という。)は、会社の情報セキュリティ管理を統括するとともに、その責任を負う。

(情報セキュリティ管理の徹底)

第9条 情報セキュリティ管理の推進のため、情報セキュリティ管理担当取締役の下、必要に応じ、情報セキュリティ管理委員会を置く。

2 情報セキュリティ管理委員会が置かれた場合、同委員会は、情報セキュリティ管理担当取締役を補佐する。

3 情報セキュリティ管理委員会が置かれた場合、同委員会は、会社各部門および事業場の情報セキュリティ管理状態を監査し、適切な助言や勧告を行うとともに、情報セキュリティ管理担当取締役に報告する。

(情報セキュリティの管理責任)

第10条 部門長は、情報セキュリティ管理総括責任者として、担当する部門における情報セキュリティの管理を総括するとともに、その責任を負う。

(プロジェクト等の情報セキュリティ管理)

第11条 複数の部門がプロジェクト等を編成して職務を遂行する場合、そのリーダーは、当該プロジェクトに関する情報の情報管理責任者となるとともに、情報セキュリティ管理全般の責任を負い、必要な措置を講じなければならない。

第4章 情報セキュリティ管理方針

(基本方針)

第12条 会社保有情報は、アクセス権限者が正しい内容の情報を必要な時に利用できる状態に保つとともに、安全に管理し保護しなければならない。

(情報セキュリティの具体的な管理方法)

第13条 情報セキュリティ管理総括責任者は、この規程の定めた基準を下回らない限りにおいて、情報セキュリティ管理担当取締役の承認を得た後、所管する部門における具体的な情報セキュリティ管理実施方法を規定することができる。

2 情報セキュリティの管理方法は、この規程および関連諸規程に準拠するとともに、関係諸法令等に示された基準を満たすものでなければならない。

(情報の機密区分)

第14条 会社保有情報は、機密の程度に応じ、「極秘」、「秘密」、「公知」等に区分(以下「機密区分」という。)される。ただし情報セキュリティ管理総括責任者は、情報セキュリティ管理担当取締役の承認を得た上で、各部門ごとの機密区分を細分化することができる。

(管理総括責任者の役割)

第15条 情報セキュリティ管理総括責任者は、情報管理責任者の指定の下、次の各号の事項を実施する。

(1) 機密区分の表示

(2) 機密区分に応じたアクセス権限者と許諾する権限範囲の決定

(3) 社外持出および他社(者)開示に関する書面による許可

(4) 機密保持契約に基づく会社保有情報である旨の表示

(5) 機密区分に応じた廃棄処理およびその確認

(6) 機密区分に応じた情報の保全

(7) 使用目的を限定する必要がある場合の使用目的の設定

(8) 必要に応じた第1号および第3号に関する有効期限の設定

(9) その他関連事項

(機密区分の決定)

第16条 「極秘」および「秘密」に区分する機密情報は、情報管理責任者が指定する情報とする。ただし「極秘」ヘの指定は、必要以上に行わないよう留意しなければならない。

(機密区分の変更)

第17条 会社保有情報に付された機密区分およびその有効期限の変更は、該当する管理責任者のみ行うことができる。

(アクセス権限の付与)

第18条 情報管理責任者は、アクセス権限を職務遂行上必要な者のみに対し付与し、職務遂行上必要な範囲に限定しなければならない。

2 情報管理責任者は、アクセス権限付与の要請を受けた場合、前項に基づいて厳正に判断しなければならない。

(会社保有情報へのアクセス)

第19条 会社保有情報ヘのアクセスは、アクセス権限者のみ行うことができる。

2 会社保有情報ヘのアクセスは、第15条に基づき情報管理責任者が指定した条件のもとに行わなければならない。

(アクセスの記録)

第20条 「極秘」に該当する会社保有情報ヘのアクセスは、記録ログを一定期間残すものとし、有事の際には適時、適切かつ有効に利用されるよう管理されなければならない。

(会社保有情報内容の改変)

第21条 会社保有情報内容の改変は、情報管理責任者、および情報管理責任者の許諾を得たか、または権限の委譲を受けた者のみ行うことができる。

(機密保持契約等に基づく機密の管理)

第22条 部門長は、他社(者)が契約書、誓約書等により機密保持を必要とする場合においては、その契約は必ず契約管理部門の審査を受けて同部門の了承を得なければ締結してはならない。また、かかる契約に基づき受領する相手方の情報については、その契約に基づきこれを管理する。

(他社(者)所有の情報へのアクセス等の管理)

第23条 他社(者)から開示を受けた情報ヘのアクセス等の管理は、所有権が会社にないことに鑑み、本規程を遵守することに加え、開示にかかる契約書、誓約書等がある場合には、それらに基づき、厳重に行わなければならない。

(立入禁止区域)

第24条 情報セキュリティ管理総括責任者は、所轄部門において、アクセス権限者以外の者の立入禁止区域を指定することができる。

2 立入禁止区域においては、情報セキュリティ管理総括責任者は、アクセス権限者である旨の表示およびアクセスの記録等により管理を徹底しなければならない。

3 会社保有情報へのアクセスが情報通信ネットワーク、情報システム等によって提供される場合は、所轄の情報セキュリティ管理総括責任者は、アクセス権限者以外の者のアクセス禁止領域を指定することができる。

(会社保有情報の他社(者)への開示等)

第25条 会社保有情報の他社(者)ヘの開示は、機密区分に応じて情報管理責任者の許可がなければ行ってはならない。ただし、機密区分が「公知」である情報については、許可を必要としない。

2 機密情報の他社(者)ヘの開示に関し、前項許可に加え、その所轄担当取締役、部門長は自らの許可を必要とする情報を指定することができる。

3 機密情報の特定他社(者)ヘの開示にあたっては、機密保持契約を締結しなければならない。なお、その実行については第22条を準用する。

4 取締役および社員は、退任または雇用の関係がなくなった後も、在職中に知り得た機密情報を他に開示したり不正に使用したりしてはならない。

(不測事態への対処)

第26条 情報セキュリティに関して不測の事態が発生するおそれのある場合、または発生した場合には、情報セキュリティ管理総括責任者は関係部門と連携をとり、これに迅速に対処するものとする。