個人情報セキュリティ実施基準
第1章 総則
(目的)
第 1条 この基準は、「個人情報取扱規程」第 13条第2項及び「資料の収集、管理及び閲
、覧規程」第 12条に基づき、株式会社資産評価研究所(以下「本法人」という。)が取り扱う情
報及び情報システムの適切な運用を図るために、役員、顧問、相談役並びに職員及び嘱託
(以下「従業者」という。)が最低限遵守すべき事項を明らかにし、もって情報の漏えい、
き損、滅失等の事故の防止、情報システムの適切な運用、及び万が一の事故の場合の損害
を最低限にすることを目的とする。
(他の規程等との関係)
第2条 個人情報の取扱いについては、「個人情報取扱規程」、並びに保存文書については、
「保存文書規程」が本基準に優先するものとする。
第2章 情報の指定・解除
(情報の指定・解除)
第3条 本法人が保有する情報のうち、漏えい等が発生した場合、本所に重大な損害を及ぼ
すおそれが高い情報を秘密情報として指定する。
2 秘密情報の指定は、各業務の部門責任者がこれを認定し社長の承認を得て決定する。
3 秘密情報が記載された紙の文書を秘密文書という。
4 秘密情報を指定した者又は社長は、その情報が秘密でなくなった場合には、社長の承
認を得て秘密情報であることを解除することができる。
(秘密であることの明示)
第4条 秘密情報には、秘密であることを表示する。
2 秘密情報が解除された場合は、秘密の表示を消去又は取り消し線で消す。
第3章 秘密情報の取扱い
(保管)
第5条 秘密文書を業務時間外に保管する場合は、キャビネット等に保管し、施錠する。
2 前項については、フロッピーディスク、 CD−ROMその他の携帯することが可能な電子
媒体(以下、「携帯可能媒体」という。)に保存する場合も同じものとする。
3 コンピュータ上に保管する場合は、最低限、IDとパスワードにより認証されるコンピュータ
上に保管する。
(作業上の注意点)
第6条 業務時間内に一時的に離席する場合、秘密文書を机上等に放置せず、机の引き出
しその他目につかない場所に一時的に保管する。
2 コンピュータ等の画面に秘密情報が表示されている場合、スクリーンセイバ等を起動し、秘密情報
が画面に表示された状態のまま離席しない。
(持ち出しの制限)
第7条 秘密文書、秘密情報を保管した携帯可能媒体又はコンピュータを本法人の建物外に
持ち出すときは、所属する部門責任者又は社長の承認を得る。
(郵送、 FAX、電子メールの制限)
第8条 秘密文書又は秘密情報を保管した携帯可能媒体を郵送する場合は、事前に所属す
る部門責任者又は社長の承認を得た上で、書留等、受取が確実に行われたことがわかる通
信手段により行う。
2 秘密文書を FAXで送信してはならない。
3 電子メールで秘密情報を送信する場合は、事前に所属する部門責任者または社長の承
認を得た上で、暗号化又はパスワードによる保護をし、送信する。
(印刷・複写・複製の制限)
第9条 秘密情報を印刷、複写、複製する場合は、所属する部門責任者または社長の承認
を得る。
(廃棄・返却)
第10条 秘密情報が保管された保存文書の廃棄は、別に定める保存文書規程に指定する方
法による。
2 携帯可能媒体を廃棄する場合は、専用ソフトによる上書消去、携帯可能媒体の細断、
焼却、溶解等復元できない方法による。
3 コンピュータを廃棄又はリース会社へ返却する場合は、廃棄又は返却する前に専用ソ
フトによる上書消去をする。この作業は、守秘義務契約を結んだ第三者に委託することが
できる。
第4章 認証及びアクセス管理
(IDの登録・休止・廃止)
第 11条 本法人のコンピュータを利用する場合、社長又は部門責任者は事前に利用者に対し
IDを付与する。
2 IDを付与された者は、IDは適切に管理する。
3 IDを付与された者が長期休暇、休職等一ケ月以上本所のコンピュータを利用すること
がないと想定される場合、速やかにIDの利用を停止する。
4 IDを付与された者が退社等、本法人のコンピュータを利用する必要がなくなった場合、
速やかにIDの利用を停止する。
(パスワード等による認証)
第12条 本法人のコンピュータを利用する者は、パスワード等により認証する。
(パスワードの条件)
第13条 パスワードは8文字以上とする。
2 パスワードは、英数字、数字及び特殊文字の組み合わせとする。
3 パスワードは3ケ月に−度以上変更する。
(利用者のパスワード等の管理)
第 13条 パスワードにより本人を認証する場合、コンピュータの利用者は、他人に推測さ
れにくいパスワードをつけ、他人に漏れないように適切に管理する。
2 IDカード等のパスワード以外の認証手段を用いる場合、IDカード等を付与された者は、
IDカード等を紛失しないように適切に管理すること。紛失した場合は、総務部門責任者又
は社長に速やかに連絡する。
(アクセス権の管理)
第14条 機密情報をコンピュータに保存する場合、機密情報を閲覧する権限がない者が閲
覧できない状態となるようにアクセス権を設定する。
2 業務が変更になる等、アクセス権を付与されていた人にアクセス権を付与する必要がなくなった
場合は、速やかにアクセス権を剥奪する。
第5章 コンピュータの適正利用
(本法人のコンピュータの利用の前提)
第15条 本法人のコンピュータを利用するに当たり、自らのコンピュータ利用状況が記録さ
れ、確認される可能性があることに同意した者のみに、本法人のコンピュータの利用を認め
る。
(私的利用の禁止)
第16条 本法人のコンピュータ利用者は、本法人業務の目的のみにコンピュータを利用し、私的な利用をしてはならない。
2 本法人のコンピュータ利用者は、本法人業務の目的のみに電子メールを利用し、私的な利用をしてはならない。
3 本法人のコンピュータ利用者は本法人業務の目的のみに、インターネットのホームページを閲覧し、私的な利用をしてはならない。
4 総務部門責任者又は社長は、必要に応じ、不必要なインターネットホームページヘのアクセスを制限するソフトを導入することができる.
5 総務部門責任者又は社長は、必要に応じ、本法人コンピュータ利用者のコンピュータ利
用状況を確認することができる。
6 総務部門責任者又は社長は、上記の確認の結果、第1項から第3項に違反している可能性があると判断した場合は、本人から事情を聴取し、違反があればコンピュータの利用を停止することができる。
(ソフトウェアライセンスの管理)
第 17条 総務部門責任者は、本法人のコンピュータに標準的にインストールするソフトウェ
アを定め、ライセンスを適切に管理しなければならない。
(ソフトウェアの無断インストールの禁止)
第18条 本法人のコンピュータ利用者は、本法人が認めたソフトウェアのみをインストールし
て利用し、その他のソフトウェアを無断でインストールしてはならない。
2 本法人のコンピュータ利用者は、業務上の理由によりソフトウェアをインストールする
必要が生じた場合、総務部門責任者又は社長に承認を得て、当該ソフトウェアをインストールしなければならない。
3 総務部門責任者は、無断でインストールしたソフトウェアを発見した場合、本法人のコンピュータ利用者に対し、そのソフトウェアを消去することを指示しなければならない。
(コンピュータウィルス対策ソフトの導入)
第19条 総務部門責任者は、本法人で利用する全てのコンピュータにコンピュータウイルス
対策ソフトをインストールしなければならない。
2 本法人のコンピュータ利用者は、コンピュータウイルス対策ソフトが起動している状態
でコンピュータを利用しなければならない。
3 コンピュータウイルスのパターンファイル又はソフトウェアは、常に最新に保たれるように設定されるものとする。
(システム上の脆弱性の管理)
第20条 総務部門責任者は、本法人で利用するコンピュータについて、オペレーティングシ
ステムのパグその他のシステム上の脆弱,性の存在を知った場合、セキュリティパッチソフ
トの導入その他の対策を検討しなければならない。
第21条 本法人のコンピュータ利用者は、総務部門責任者の指示によりセキュリティパッチ
ソフトの導入が指示された場合、速やかに導入を行わなければならない。
第6章 ネットワーク及びサーバの管理
(管理者の設置と役割)
第21条 本法人のネットワーク機器、サーバ及びクライアについて、システム管理者を設置する。
2 システム管理者は、ネットワーク機器、サーバについての運用管理を行う。
(サーバの管理)
第22条 本法人のサーバのシステム管理者は、サーバに対するアクセス制御方針を定め、外
部、内部からの無権限アクセスを防止する。
(ネットワークの管理)
第23条 本法人のネットワーク機器のシステム管理者は本法人のネットワークと外部のネット
ワークの接続についてのアクセス制御方針を定め、外部からの無権限アクセスを防止する。
(アクセスログの採取と検査)
第24条 ネットワーク機器及びサーバのシステム管理者は、アクセスログ採取及び検査に
ついての方針を定め、アクセスログの採取及び検査を行う。
(個人情報を用いたテストの禁止)
第25条 システム開発に関連し、システム開発テストを実施する場合、個人情報を用いて
はならない。
(データのバックアップおよびリカバリーテストの実施)
第26条 システム管理者は、サーバに保管されているデータのバックアップ及びリカバリ
ー方針を定めなければなちない。
2 システム管理者は、サーバのデータバックアップを、方針に従い定期的に実施しなけ
ればならない。
3 システム管理者は、方針に従い定期的にリカバリーテストを実施しなければならない。
4 システム管理者は、リカバリーテストの結果を踏まえて、バックアップ及びリカバリ
ー方針を変更しなければならない。
第7章 物理的・環境的対策
(セキュリティ区画の設定)
第27条 本法人の施設を、外部者が入室できる区画(以下、「レベル1区画」という。)と、
事前に承認された者が入室できる区画(以下、「レベル2区画」という。)、レベル2の区画
にあり、特定の権限を与えられた者だけがアクセス(入室を含む)できる区画(以下、「レ
ベル3区画」という。)に区分する。
(入室管理)
第28条 外部者がレベル1区画に入室する場合は、本法人の役職員が必ず同席する。
2 外部者がレベル2区画に入室する場合は、本法人の役職員が必ず同伴し、役職員の指示
に従い行動してもらうように依頼する。
3 外部者がレベル3区画にアクセスする場合は、レベル3区画にアクセスすることがで
きる役職員が必ず同伴し、当該役職員の指示に従い行動してもらうように依頼する。
(キャビネット、コンピュータ等の設置)
第29条 秘密文書を保管するキャビネットは、レベル2区画に設置する。
2 サーバ及びクライアントコンピュータは、レベル2区画に設置する。
3 ネットワーク機器は、レベル2区画に設置することを原則とする。
4 レベル1区画に設置するネットワーク機器は盗難又は外部者の事故等による破損を防
止するために、施錠管理その他の適切な物理的対策を実施する。
第8章 教育・訓練
(教育・訓練)
第30条 情報セキュリティに関する教育を定期的に実施する。
2 技術的対策が確実に実施できるように、必要に応じ、訓練を実施する。
(教育・訓練の記録)
第31条 情報セキュリティに関する教育・訓練を実施した記録を保持する。
第9章 委託管理
(委託先の選定)
第32条 本法人の業務を外部に委託する場合、委託先を選定するための条件として、委託先
の情報管理についても考慮する。
(契約書の締結)
第33条 本法人の業務を外部に委託する場合、委託先と業務委託契約を締結し、両者の責任
の範囲及び実施する業務を明確にする。
2 契約書又はその覚書に次条の委託先に要求すべき情報セキュリティに関する事項を含
めるように努める。
(委託先に要求すべき情報セキュリティに関する事項)
第34条 委託先に要求すべき情報セキュリティに関する事項として、以下の事項を要求する。
1)本法人で要求している情報セキュリティに関する事項の遵守。
2)委託先の業務の遂行における情報セキュリティ関連事項について本法人に対する定期的
な報告。
3)本法人の役職員又は本法人が委託した者等が、委託先の業務の遂行における情報セキュリ
ティ関連事項の遵守状況を検査又は監査による確認。
(委託先からの報告)
第35条 業務委託を行った部門責任者は、業務の遂行におけるセキュリティ関連事項につ
いて、委託先から定期的な報告をうけなければならない。
2 必要に応じ、委託先との間で定期的な報告会を開催するよう努めることとする。
(委託先への確認)
第36条 業務委託を行った部門責任者は、委託先の情報セキュリティ関連事項の契約事項
の遵守状況を検査又は監査により年に1度以上確認する。
2 前項の確認は、外部の専門家に委託することができる。
第9章 事件・事故への対応
(事件・事故への対応)
第37条 ネットワーク機器及びサーバのシステム管理者は、アクセスログの検査の結果、
不正なアクセスを発見又はそのおそれを発見した者は、総務部門責任者及び契約している
システム運用委託先に連絡しなければならない。
2 前項の場合、総務部門責任者は、システム管理者及びシステム運用委託先と相談し、
対応を決めなければならない。
3 個人情報の漏えい事故の場合は、別途定める事故に関する規定に従い対応する。
第10章 情報セキュリティ実施状況の確認
(監査人の選任)
第38条 社長は、情報セキュリティ監査を実施する者を選任する。
2 情報セキュリティ監査を実施する者を外部の専門家に委託することができる。
(監査の実施と報告)
第39条 情報セキュリティ監査を実施する者は、情報セキュリティに関する規程等が遵守
されていることを年に1度以上、監査により確認しなければならない。
2 上記の監査は、第36条に規定する委託先への検査又は監査による確認を含む。
(監査の報告)
第40条 社長は、情報セキュリティ監査の報告を受ける。
2 社長は、監査の結果、重大な問題が発見された場合は、役員会に報告しなければなら
ない。
(監査結果に基づく改善)
第41条 役員会は、必要に応じて情報セキュリティ監査の結果に基づく改善を指示しなけ
ればならない。