当社は、保有する情報資産をあらゆる脅威から保護し、適切な事業活動を継続するため、本方針に基づき、情報セキュリティマネジメントシステム(以下、ISMS)を構築・運用する。
(適用)本方針の適用範囲は、当社が保有するすべての情報資産とそれらを使用する役員・従業員・外部委託先とする。
(体制)当社は、ISMSを適正に運用するため、次の体制を構築する。
- ISMST:ISMSに関する方針や諸規定の策定及び教育・訓練を実施
- CSIRT:セキュリティインシデントの発生予防と発生時の対応を実施
(構成)ISMSは、本方針と役割ごとの遵守事項を記述した各情報セキュリティ対策標準(以下、標準)の2つの階層で策定及び管理され、適用者はこれを遵守しなければならない。また、標準は、各標準で定める適用者のみに公開する。
(コミットメント)役員は、ISMSの策定に関わり、ISMSが意図した成果を達成するよう、リーダーシップとコミットメントを実証しなければならない。
(個人情報の保護)個人情報を取得するときは、相手にその使用目的を明示して同意を得なければならず、その明示した使用目的以外で使用してはならない。また、次の場合を除き、個人情報を第三者に開示してはならない。
- 本人の同意がある場合
- 法令に基づく開示要請がある場合
(内部不正の防止)当社は、役割に応じた情報資産の利用制限と利用状況の監視、また業務量や労働時間の適正化、公正な人事評価など、内部不正が発生しづらい健全な労働環境の整備により、内部不正の防止に務める。
(事故への対応)情報セキュリティ事故の発生又はその可能性を発見した場合、速やかに各標準に従って適切な措置を行う。
(意識と技術の向上)ISMSTは、ISMS適用者に対して、情報セキュリティに対する意識と技術を向上させるため、必要な教育・訓練を実施する。
(継続的な改善)ISMSTは、ISMSの運用状況を定期的に評価した上で、必要に応じて本方針及び各標準を改訂する。
(違反への対処)ISMSTは、ISMSの違反を発見した場合、その重要度を評価して、再発防止教育や懲戒処分などの適切な措置を講じる。
(例外適用)業務の都合により各標準の遵守事項を守れない状況が発生した場合は、ISMSTに報告し、例外の適用承認を受けなければならない。