情報セキュリティ基本方針
1. 目的
当社は、業務を遂行する中で取り扱う、顧客情報、個人情報、設計情報および業務上の機密情報を保護し、社会的信用を維持するため、情報セキュリティマネジメント体制を確立・維持します。
情報セキュリティ規定・ルール
(1)情報資産の定義と保護
当社が保有するすべての電子データ、紙媒体資料、設計成果物、技術ノウハウを「情報資産」と定義する。 情報資産は、その重要性に応じて、「機密」「重要」「一般」の3区分に分類し、適切に管理する。
顧客契約書や設計成果物(例:設計図書、計算書)は、機密情報に分類する。
(2)個人情報の管理
顧客情報、従業員情報等の個人情報は、収集目的を明示し、適法かつ適正な方法で取得する。 取得した個人情報は、目的外利用を行わず、業務遂行上必要な範囲でのみ取り扱う。
個人情報へのアクセスは、業務上必要な者に限定する(アクセス権設定)。
(3)アクセス管理
業務用パソコンには、個別のIDとパスワードを設定し、本人以外の使用を禁止する。 パスワードは定期的(原則6ヶ月ごと)に変更する。 重要情報を保存するサーバーは、二段階認証またはVPN接続を必須とする。
(4)外部記憶媒体・持ち出し管理
USBメモリ、外付けHDDの使用は禁止する(特別な理由がある場合、上長承認を得た上で暗号化を義務付ける)。 ノートパソコンやタブレット等の社外持ち出しには、持出申請書の提出・許可を必須とする。
持出機器の盗難・紛失が発覚した場合、速やかに上長・情報管理責任者に報告する。
(5)設計成果物の取扱い
設計図書・計算書・調査データなどの成果物は、社内管理サーバーに保存し、定期的にバックアップを行う。 成果物の外部提出時には、暗号化されたファイル形式(例:ZIP暗号化)で送付し、パスワードは別経路で伝達する。
(6)サイバーセキュリティ対策
全パソコンに、最新のウイルス対策ソフトを導入し、リアルタイム更新を行う。 OSやアプリケーションは、最新バージョンへのアップデートを適時実施する。
不審なメールや添付ファイルは開かず、速やかに情報管理責任者へ報告する。
(7)委託先管理
外部委託先(例:協力設計事務所)には、機密保持契約(NDA)を締結し、情報取扱い基準を遵守させる。 委託時には、情報提供範囲を最小限に限定する。
(8)教育・訓練
全社員に対して、年1回以上の情報セキュリティ教育を実施する。 新規入社時には、情報管理ルールに関する初期教育を行う。
(9)事故発生時の対応
情報漏洩、サイバー攻撃、個人情報漏洩等の事故が発覚した場合、速やかに上長・情報管理責任者へ報告する。 インシデントの影響を最小化するため、即時対応マニュアルに従い初動措置を行う。
再発防止策を検討し、必要に応じて規定を見直す。
(10)継続的改善
情報セキュリティ方針・規定は、社会状況・技術動向に応じて見直し、PDCAサイクルによる継続的改善を図る。
情報セキュリティ基本方針に関するお問い合わせ先
TEL. 03-6811-7278
e-mail. info@mds-civil.com
