INFORMATION 6-4 App.03 情報セキュリティ関連規程に記載すべき項目

# INFORMATION 6-4 App.03 情報セキュリティ関連規程に記載すべき項目 > ## Excerpt > 企業を取り巻くリスクは、事業内容や取り扱う情報、職場環境、ITの利用状況などによっても異なることがあり、汎用的な規程をそのまま使っても、自社に適さないことが考えられます。そこでここでは、効率的に自社に適した規程を作成する方法を解説します。 --- ### 概要企業を取り巻くリスクは、事業内容や取り扱う情報、職場環境、ITの利用状況などによっても異なることがあり、汎用的な規程をそのまま使っても、自社に適さないことが考えられます。そこでここでは、効率的に自社に適した規程を作成する方法を解説します。引用：「[中小企業の情報セキュリティ対策ガイドライン第3版](https://www.ipa.go.jp/security/keihatsu/sme/guideline/)」(IPA )よりポイントを抜粋 #### ①対応すべきリスクの特定 - 経営者が避けたい重大事故から対応すべきリスクを特定 #### ②対策の決定 - リスクの大きなものを優先して対策を実施 - リスクが小さなものは許容するなど、合理的に対応 #### ③規程の作成 - 「情報セキュリティ関連規程（サンプル）」を参考に、自社に適した規定にするために修正を加える ### 情報セキュリティ関連規程の概要 <table><tbody><tr><th scope="row">1.組織的対策</th><td><li>情報セキュリティのための管理体制の構築や点検、情報共有などのルールを定めます。</li></td></tr><tr><th scope="row">2.人的対策</th><td><li>取締役及び従業員の責務や教育、人材育成などのルールを定めます。</li></td></tr><tr><th scope="row">3.情報資産管理</th><td><li>情報資産の管理や持ち出し方法、バックアップ、破棄などのルールを定めます。</li></td></tr><tr><th scope="row">4.アクセス制御及び認証</th><td><li>情報資産に対するアクセス制御方針や認証のルールを定めます。</li></td></tr><tr><th scope="row">5.物理的対策</th><td><li>セキュリティ領域の設定や領域内での注意事項などのルールを定めます。</li></td></tr><tr><th scope="row">6.IT機器利用</th><td><li>IT機器やソフトウェアの利用などのルールを定めます。</li></td></tr><tr><th scope="row">7.IT基盤運用管理</th><td><li>サーバーやネットワーク等のITインフラに関するルールを定めます。</li></td></tr><tr><th scope="row">8.システムの開発及び保守</th><td><li>独自に開発及び保守を行う情報システムに関するルールを定めます。</li></td></tr><tr><th scope="row">9.委託管理</th><td><li>業務委託にあたっての選定や契約、評価のルールを定めます。業務委託契約書の機密保持に関する条項例と委託先チェックリストのサンプルが付属します。</li></td></tr><tr><th scope="row">10.情報セキュリティインシデント対応ならびに事業継続管理</th><td><li>情報セキュリティに関する事故対応や事業継続管理などのルールを定めます。</li></td></tr><tr><th scope="row">11.個人番号及び特定個人情報の取り扱い</th><td><li>マイナンバーの取り扱いに関するルールを定めます。</li></td></tr></tbody></table> ### 1.組織的対策： #### 情報セキュリティのための管理体制の構築や点検、情報共有などのルールを定めます。 #### 1.1.情報セキュリティのための組織 - 情報セキュリティ対策を推進するための組織として、情報セキュリティ委員会を設置する。 - 情報セキュリティ委員会は、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。 #### 1.2.情報セキュリティ取組みの監査・点検/点検 - 監査・点検/点検責任者は、情報セキュリティ関連規程の実施状況について、○月に点検を行い、監査・点検/点検結果を情報セキュリティ委員会に報告する。 - 情報セキュリティ委員会は、報告に基づき、以下の点を考慮し、必要に応じて改善計画を立案する。 #### 1.3.情報セキュリティに関する情報共有 - 情報セキュリティ責任者は、新たな脅威及び脆弱性に関する警戒情報及び個人情報の保護に関する情報を専門機関等から適時に入手し、委員会で共有する。 - IPA - \[情報セキュリティ\] - https://www.ipa.go.jp/security/ - \[ここからセキュリティ\] - https://www.ipa.go.jp/security/kokokara/ - JVN（Japan Vulnerability Notes） - https://jvn.jp/index.html - JPCERT/CC - https://www.jpcert.or.jp/ - 個人情報保護委員会 - http://www.ppc.go.jp/ ### 2.人的対策：取締役及び従業員の責務や教育、人材育成などのルールを定めます。 #### 2.1.雇用条件 - 従業員を雇用する際には秘密保持契約を締結する。 #### 2.2.従業員の責務 - 従業員は、当社が営業秘密として管理する情報及びその複製物の一切を許可されていない組織、人に提供してはならない。 - 従業員は、当社の情報セキュリティ方針及び関連規程を遵守する。違反時の懲戒については、就業規則に準じる。 #### 2.3.雇用の終了 - 従業員は、在職中に交付された業務に関連する資料、個人情報、顧客・取引先から当社が交付を受けた資料又はそれらの複製物の一切を退職時に返還する。 - 従業員は、在職中に知り得た当社の営業秘密もしくは業務遂行上知り得た技術的機密を利用して、競合的あるいは競業的行為を行ってはならない。 #### 2.4.情報セキュリティ教育 - 教育責任者は、情報セキュリティに関する教育計画を年度単位で立案する。 #### 2.5.人材育成 - 教育責任者は、推奨資格の取得による従業員の情報セキュリティに対する意識向上を年度単位で計画する。計画には関連テキストの配付、公開セミナーへの派遣、受験費用の予算化を含むこととする。 ### 3.情報資産管理：情報資産の管理や持ち出し方法、バックアップ、破棄などのルールを定めます。 #### 3.1.情報資産の管理 - 3.1.1.情報資産の特定と機密性の評価 - 事業に必要で価値がある情報及び個人情報（以下「情報資産」という）を特定し、「情報資産管理台帳」に記載する。 - 3.1.2.情報資産の分類の表示 - 情報資産の機密性を表示する。 - 3.1.3.情報資産の管理責任者 - 情報資産の取り扱い関する情報セキュリティの運用管理責任者は、当該情報資産を利用する部門長とする。 - 3.1.4.情報資産の利用者 - 情報資産の利用者の範囲は、「情報資産管理台帳」の利用者範囲欄に示された部門に従事する従業員とする。 #### 3.2.情報資産の社外持ち出し - 情報資産を社外に持ち出す場合には、情報資産の重要度に応じた許可と管理手順に従って実施する。 #### 3.3.媒体の処分 - 3.3.1.媒体の廃棄 - 社外秘又は極秘の情報資産を廃棄する場合は、媒体に応じて、細断/溶解/焼却、破壊/細断/完全消去等の処分を行う。 - 3.3.2.媒体の再利用 - 極秘又は社外秘の情報資産を保存した媒体を再利用する場合は、完全消去等の処分を行う。 #### 3.4.バックアップ - 3.4.1.バックアップ取得対象 - 情報システム管理者は、各機器で処理するデータのバックアップを定期的に取得する。 - 3.4.2.バックアップ媒体の取り扱い - バックアップに利用した機器及び媒体の保管は、所定の手順に従う。 - 3.4.3.クラウドサービスを利用したバックアップ - クラウドサービスを利用し、外部のサーバーにバックアップを保存する場合は、各サービス要件を確認し、情報セキュリティ責任者の許可を得て導入する。 ### 4.アクセス制御及び認証：情報資産に対するアクセス制御方針や認証のルールを定めます。 #### 4.1.アクセス制御方針 - 社外秘又は極秘の情報資産を扱う情報システム又はサービスに対するアクセス制御は以下の方針に基づいて運用する。対象となるシステム等は「9.1アクセス制御対象情報システム及びアクセス制御方法」に記載する。 #### 4.2.利用者の認証 - 社外秘又は極秘の情報資産を扱う社内情報システムは、重要度に従った方針に基づいて利用者の認証を行う。 #### 4.3.利用者アカウントの登録 - 利用者の認証に用いるアカウントは、代表取締役又は情報セキュリティ責任者の承認に基づき登録する。 #### 4.4.利用者アカウントの管理 - 利用者の認証に用いるアカウントが不要になった場合、情報システム管理者は、当該アカウントの削除又は無効化を、当該アカウントが不要になる日の翌日までに実施する。 #### 4.5.パスワードの設定 - 利用者の認証に用いるパスワードは、以下に注意して設定する。パスワードの設定条件は、「9.3利用者アカウント・パスワードの条件」を参照のこと。 - 十分な強度のあるパスワードを用いる。 - 他者に知られないようにする。 #### 4.6.従業員以外の者に対する利用者アカウントの発行 - 当社の従業員以外の者にアカウントを発行する場合は、代表取締役又は情報セキュリティ責任者の承認を得たうえで、秘密保持契約を締結する。 #### 4.7.機器の識別による認証 - 社外秘又は極秘の情報資産を扱う情報システムに、ネットワーク接続によりアクセスする際の認証方式として、機器の識別による認証を用いる。認証方法等は「9.4機器の認証方法」を参照のこと。 #### 4.8.端末のタイムアウト機能 - 社外秘又は極秘の情報資産を扱う情報システムの端末もしくは情報機器を、アカウントを付与していない者が接触可能な場所に設置する場合は、接続時間制限やタイムアウト等機能を利用する。 #### 4.9.標準設定等 - 4.9.1.アクセス制御対象情報システム及びアクセス制御方法 - 情報システム・サービス毎に適切なアクセス制御方法を適用する。 - 4.9.2.利用者認証方法 - 情報システムの種別毎に適切な利用者認証方式を適用する。 - 4.9.3.利用者アカウント・パスワードの条件 - 特権アカウント、一般アカウント毎に、適切なアカウント名、パスワード設定条件を明記する。 - 4.9.4.機器の認証方法 - MACアドレス、IPアドレス、ドメイン名毎にサーバおよびルータ等の機器での認証方法を明記する。 ### 5.物理的対策：セキュリティ領域の設定や領域内での注意事項などのルールを定めます。 #### 5.1.セキュリティ領域の設定 - 当社内で扱う情報資産の重要度に応じて、社内の領域を区分し、利用者、施錠、設置可能情報機器、制限事項、部外者管理、管理記録、侵入検知、来客用名札、火災対策等の対策方法を明記する。 #### 5.2.関連設備の管理 - 情報機器に関連する設備の設置場所を明記する。 #### 5.3.セキュリティ領域内注意事項 - セキュリティ領域では区分にかかわらずセキュリティ上注意すべき事項があれば明記する。 #### 5.4.搬入物の受け渡し - 郵便物及び宅配便の受取り・受け渡し場所を明記する。 ### 6.IT機器利用： IT機器やソフトウェアの利用などのルールを定めます。 #### 6.1.ソフトウェアの利用 - 6.1.1.標準ソフトウェア - 業務に利用するパソコンには、当社の標準ソフトウェアを導入する。当社の標準ソフトウェア以外のソフトウェアを導入する場合は、情報システム管理者の許可を得たうえで導入する。 - 6.1.2.ソフトウェアの利用制限 - 情報システム管理者は、利用者の業務に不要な機能をあらかじめ取除いて提供する。従業員は、業務に不要なシステムユーティリティやインストールされているソフトウェアを利用しない。 - 6.1.3.ソフトウェアのアップデート - 従業員は、業務で使用するソフトウェアを最新の状態で利用する。 - 6.1.4.ウイルス対策ソフトウェアの利用 - 6.1.4.1.ウイルス検知 - 従業員は、以下の方法でウイルス検知を行う。 - ネットワーク経由で入手するファイルは、自動検知機能を有効にしてウイルス検知を実施する。 - 電子媒体を用いてファイルの受け渡しを行う場合は、媒体内のファイルにウイルス検知を実施する。 - 6.1.4.2.ウイルス対策ソフト定義ファイルの更新 - 従業員は、パソコン・スマートフォン・タブレットに導入したウイルス対策ソフトウェアの定義ファイルを随時更新する。持ち出し用ノートパソコンは利用時に定義ファイルの更新を確認する。 - 6.1.4.3.社外機器のLAN接続 - 当社が管理するパソコン及びサーバー以外の機器を社内LANに接続することを禁止する。業務上必要な場合は、情報システム管理者の許可を得たうえで、ウイルスが検知されないことを確認してから接続する。 - 6.1.5.ウイルス対策の啓発 - 情報システム管理者は、適宜ウイルスに関する情報を収集し、重大な被害を与えるウイルスに対しては、対応策及び対応に必要な修正プログラムを社内に公開及び通知する。 #### 6.2.IT機器の利用 - 従業員は、業務に利用するパソコン・タブレット・スマートフォンには、ログインパスワードを設定する。 #### 6.3.クリアデスク・クリアスクリーン - 6.3.1.クリアデスク - 従業員は、社外秘又は極秘の書類及び電子データを保存したノートパソコン、USBメモリ、HDD、CD等の持ち運び可能な機器や媒体の扱いについて明記する。 - 6.3.2.クリアスクリーン - 従業員は、離席時に以下のいずれかによりパソコンの画面をロックし、クリアスクリーンを徹底する。 #### 6.4.インターネットの利用 - 6.4.1.ウェブ閲覧 - 情報システム管理者は、ウイルス等の悪意のあるソフトウェアに感染するおそれがあると認められる有害ウェブサイトは社内周知/ウェブフィルタリングソフトを使用して、従業員の閲覧を制限する。 - 6.4.2.オンラインサービス - 従業員は、インターネットで提供されているサービスを業務で利用する場合は、情報システム管理者の許可を得る。 - 6.4.3.SNSの個人利用 - 当社の業務に関わる情報の書き込みは行わない。 - 6.4.4.電子メールの利用 - 誤送信、メールアドレス漏えい、傍受による漏えい等の防止する方法、添付ファイル暗号化、クラウド型メール等の利用方法を明記する。 - 6.4.5.ウイルス感染の防止 - 標的型攻撃メール等によるウイルス感染を防止するため、疑わしいメールの要件に合致する場合は十分に注意し、添付ファイルを開く、又はリンクを参照するなどしない。 #### 6.5.私有IT機器・電子媒体の利用従業員個人が所有するパソコン、タブレット、スマートフォン、携帯電話等のIT機器及びUSBメモリ、HDD、CD等の電子媒体を業務で利用する場合は、情報システム管理者の許可を得る/利用することを禁止する。 - 6.5.1.利用開始時 - 利用を開始する前に利用する本人が実施すべき事項を明記する。 - 6.5.2.利用期間中 IT機器や電子媒体の扱いで実施すべき事項を明記する。 - 6.5.2.1.社内での利用 - 利用期間中に利用する本人が実施すべき事項を明記する。 - 6.5.3.利用終了時 - 利用を終了する際には、IT機器業務で利用したデータを完全に消去し、復元できない状態にして情報システム管理者の了解を得る。 #### 6.6.標準等 - 6.6.1.標準ソフトウェア - 標準的に使用するソフトウェアの名称及びバージョン等を明記する。 - 6.6.2.ソフトウェアのアップデート方法 - ソフトウェア毎のアップデート方法を明記する。 - 6.6.3.ウイルス対策ソフトウェアの定義ファイルの更新方法 - ウイルス対策ソフトウェアの定義ファイルの更新方法を明記する。 ### 7.IT基盤運用管理：サーバーやネットワーク等のITインフラに関するルールを定めます。 #### 7.1.管理体制 - 情報システム管理者は、IT基盤の運用に当たり情報セキュリティ対策を考慮し製品又はサービスを選択する。 #### 7.2.IT基盤の情報セキュリティ対策 - 7.2.1.サーバー機器の情報セキュリティ要件 - IT基盤で利用するサーバー機器に求める情報セキュリティ要件は、情報システム管理者が決定する。 - 7.2.2.サーバー機器に導入するソフトウェア - IT基盤で利用するサーバー機器に導入するソフトウェアは、情報システム管理者が標準ソフトウェアを選定する。 - 7.2.3.ネットワーク機器の情報セキュリティ要件 - IT基盤で利用するネットワーク機器に求める情報セキュリティ要件は、情報システム管理者が決定する。 #### 7.3.IT基盤の運用 - IT基盤の運用を行う際に情報システム管理者が実施すべき事項を明記する。 #### 7.4.クラウドサービスの導入 - IT基盤の一部としてクラウドサービス等の外部サービスを導入する場合は、情報システム管理者がサービスプロバイダの情報セキュリティ対策をあらかじめ評価したうえで選定する。 #### 7.5.脅威や攻撃に関する情報の収集 - 情報システム管理者は、最新の脅威や攻撃に関する情報収集を行い、必要に応じて社内で共有する。 #### 7.6.廃棄・返却・譲渡 - 情報システム管理者は、IT基盤で利用した機器を返却、廃棄、譲渡を行う場合は、データを完全に消去し、情報セキュリティ責任者の承認を得たうえ返却、廃棄、譲渡を行う。 - 内部記憶媒体の破壊又はデータの完全消去を、外部に委託する場合は、破壊又はデータの完全消去を実行したことの証明書を取得する。 #### 7.7.IT基盤標準 - 7.7.1.サーバー機器情報セキュリティ要件 - サーバー機器の種別毎に、情報セキュリティ要件を明記する。 - 7.7.2.IT基盤標準ソフトウェア - IT基盤標準ソフトウェアの種別毎に、情報セキュリティ要件を明記する。 - 7.7.3.標準ネットワーク機器 - 標準ネットワーク機器の種別毎に、情報セキュリティ要件を明記する。 - 7.7.4.ネットワーク機器情報セキュリティ要件 - ネットワーク機器の種別毎に、情報セキュリティ要件を明記する。 - 7.7.5.クラウドサービス情報セキュリティ対策評価基準 - サービスプロバイダを設定するに当たっての要件及び利用に当たっての条件となる適合性評価制度を明記する。 ### 8.システムの開発及び保守：独自に開発及び保守を行う情報システムに関するルールを定めます。 #### 8.1.新規システム開発・改修 - 情報システムの開発・改修を行う際には、設定された各工程を経て実施し、各工程の完了時に情報システム管理者の承認を得る。 #### 8.2.脆弱性への対処 - 情報システムのソフトウェア開発を行う際には、当該情報システムの利用環境に応じて設計時に技術的な脆弱性を識別し、対策を講じる。脆弱性に対する対策の有効性は情報システム管理者が判断し、承認する。 #### 8.3.情報システムの開発環境 - 情報システムの開発及び改修を行う環境は、運用環境とは分離する。新たに情報システムの開発を行った場合や、情報システムの改修を行った場合は、当該情報システムの運用を開始する前に、必要な情報セキュリティ対策が講じられていることを確認し、情報システム管理者の承認を得る。 #### 8.4.情報システムの保守 - 情報システムの保守を、開発元又は外部の組織に委託することができない場合、実施すべき事項を明確にし、情報システムに既知の脆弱性が存在しない状態で運用する。 #### 8.5.情報システムの変更 - 情報システムのハードウェア又はソフトウェアの変更を行う際には、設定された工程を経て実施する。各工程の完了時に情報システム管理者の承認を得る。 ### 9.委託管理：業務委託にあたっての選定や契約、評価のルールを定めます。業務委託契約書の機密保持に関する条項例と委託先チェックリストのサンプルが付属します。 #### 9.1.委託先評価基準 - 情報セキュリティ部門責任者は「情報資産管理台帳」の重要度が1以上である情報資産の取り扱う業務を、外部の組織に委託する場合は、委託先の情報セキュリティ管理について、委託先評価基準に基づいて評価する。 #### 9.2.委託先の選定 - 評価結果に基づき委託先を選定し、情報セキュリティ責任者の承認を得る。 #### 9.3.委託契約の締結 - 委託契約書には、守られるべき事項を明記する。 #### 9.4.委託先の評価 - 委託開始後には、「委託先情報セキュリティ対策状況確認リスト」により、委託先における情報セキュリティ対策の実施状況について定期的に評価する機会を設ける。 #### 9.5.再委託 - 当社が委託する業務を、委託先が他の組織又は個人に再委託する場合には、事前に書面による報告を委託先に求める。 ### 10.情報セキュリティインシデント対応ならびに事業継続管理：情報セキュリティに関する事故対応や事業継続管理などのルールを定めます。 #### 10.1.対応体制 - 情報セキュリティインシデントが発生した場合の対応体制を明記する。 #### 10.2.情報セキュリティインシデントの影響範囲と対応者 - 情報セキュリティインシデントが発生した場合、影響範囲に対応した事故レベルを設定し、対応者を明記する。 #### 10.3.インシデントの連絡及び報告 - レベル1以上のインシデントが発生した場合、発見者は連絡網に従い、対応者または責任者に速やかに報告し、指示を仰ぐ。 #### 10.4.対応手順 - 10.4.1.漏えい・流出発生時の対応 - 漏えい・流出発生時の事故レベル毎に対応手順を明記する。 - 10.4.2.改ざん・消失・破壊・サービス停止発生時の対応 - 改ざん・消失・破壊・サービス停止発生時の事故レベル毎に対応手順を明記する。 - 10.4.3.ウイルス感染時の初期対応 - ウイルス感染時の初期対応の手順を明記する。 - 10.4.5.届出及び相談 - 情報システム管理者は、インシデント対応後に届け出、報告又は相談する機関を明記する。 #### 10.5.情報セキュリティインシデントによる事業中断と事業継続管理 - 10.5.1.想定される情報セキュリティインシデント - 代表取締役は、情報セキュリティインシデントの影響により当社事業が中断した場合を想定し明記する。 - 10.5.2.復旧責任者及び関連連絡先 - 被害の対象毎に、復旧責任者、関係者連絡先を明記する。 - 10.5.3.事業継続計画 - インシデント対応責任者は、想定する情報セキュリティインシデントが発生し、事業が中断した際の復旧責任者の役割認識及び関係者連絡先について、有効に機能するか検証する。 - 復旧責任者は、被害対象に応じて復旧から事業再開までの計画を立案する。 ### 11.個人番号及び特定個人情報の取り扱い：マイナンバーを内容に含む個人情報の取り扱いに関するルールを定めます。 #### 11.1.関係法令・ガイドライン等の遵守 - 当社は、特定個人情報等の取り扱いに関し、「行政手続における特定の個人を識別するための番号の利用等に関する法律」（マイナンバー法）及び「個人情報保護法」及び個人情報保護委員会のガイドラインを遵守します。 #### 11.2.利用目的 - 提供を受けた特定個人情報等の利用目的を厳格に明記する。 #### 11.3.安全管理措置に関する事項 - 当社は、特定個人情報等の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために、別途規則を定め、これを遵守します。 #### 11.4.委託の取り扱い - 当社は、特定個人情報等の取り扱いを第三者に委託することがあります。この場合、当社は、マイナンバー法及び個人情報保護法に従って、委託先に対する必要かつ適切な監督を行います。 #### 11.5.継続的改善 - 当社は、特定個人情報等の取り扱いを継続的に改善するよう努めます。 #### 11.6.特定個人情報等の開示 - 当社は、本人又はその代理人から、当該特定個人情報等に係る保有個人データの開示の求めがあったときは、遅滞なく回答します。【関連リンク】 - **全般的な脅威と対策は** - ⇒ [**ガイドブック『中小企業向けサイバーセキュリティ対策の極意』**](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/index.html) - **クイックリスト** - ⇒ **[もしかしてサイバー攻撃？緊急時には、ここに連絡を！](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/355/index.html)** - ⇒ **[やられる前に、しっかり予防を！ここに相談！](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/356/index.html)** - ⇒ **[経営者の理解のもと、組織としてセキュリティ対策をしっかりと！](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/372/index.html)** - ⇒ **[セキュリティお役立ちリンク集！](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/341/index.html)**