個人情報セキュリティ実施基準 第1章 総則 (目的) 第1条 この基準は、「個人情報取扱規程」第13条第2項及び「資料の収集、 管理及び閲覧規程」第12条に基づき、北央鑑定サービス株式会社(以下 「当社」という。)が取り扱う情報及び情報システムの適切な運用を図る ために、役員、顧問、相談役並びに職員及び嘱託(以下「従業者」という。) が最低限遵守すべき事項を明らかにし、もって情報の漏えい、き損、滅失 等の事故の防止、情報システムの適切な運用、及び万が一の事故の場合の 損害を最低限にすることを目的とする。 (他の規程等との関係) 第2条 個人情報の取扱いについては、「個人情報取扱規程」、並びに保 存文書については、「保存文書規程」が本基準に優先するものとする。 第2章 情報の指定・解除 (情報の指定・解除) 第3条 当社が保有する情報のうち、漏えい等が発生した場合、当社に重 大な損害を及ぼす恐れが高い情報を秘密情報として指定する。 2 秘密情報の指定は、各業務の部門責任者がこれを認定し社長の承認を 得て決定する。 3 秘密情報が記載された紙の文書を秘密文書という。 4 秘密情報を指定した者又は社長は、その情報が秘密でなくなった場合 には、社長の承認を得て秘密情報であることを解除することができる。 (秘密であることの明示) 第4条 秘密情報には、秘密であることを表示する。 2 秘密情報が解除された場合は、秘密の表示を消去又は取り消し線で消 す。 第3章 秘密情報の取扱い (保管) 第5条 秘密文書を業務時間外に保管する場合は、キャビネット等に保管し、 施錠する。 2 前項については、フロッピーディスク、CD-ROMその他の携帯すること が可能な電子媒体(以下、「携帯可能媒体」という。)に保存する場合も 同じものとする。 3 コンピュータ上に保管する場合は、最低限、IDとパスワードにより認 証されるコンピュータ上に保管する。 (作業上の注意点) 第6条 業務時間内に一時的に離席する場合、秘密文書を机上等に放置せず、 机の引き出しその他目につかない場所に一時的に保管する。 2 コンピュータ等の画面に秘密情報が表示されている場合、スクリーン セイバー等を起動し、秘密情報が画面に表示された状態のまま離席しない。 (持ち出しの制限) 第7条 秘密文書、秘密情報を保管した携帯可能媒体又はコンピュータを当 社の建物外に持ち出すときは、所属する部門責任者又は社長の承認を得る。 (郵送、FAX、電子メールの制限) 第8条 秘密文書又は秘密情報を保管した携帯可能媒体を郵送する場合は、 事前に所属する部門責任者又は社長の承認を得た上で、書留等、受取が確 実に行われたことがわかる通信手段により行う。 2 秘密文書をFAXで送信してはならない。 3 電子メールで秘密情報を送信する場合は、事前に所属する部門責任者 または社長の承認を得た上で、暗号化又はパスワードによる保護をし、送 信する。 (印刷・複写・複製の制限) 第9条 秘密情報を印刷、複写、複製する場合は、所属する部門責任者また は社長の承認を得る。 (廃棄・返却) 第10条 秘密情報が保管された保存文書の廃棄は、別に定める保存文書規 程に指定する方法による。 2 携帯可能媒体を廃棄する場合は、専用ソフトによる上書消去、携帯可 能媒体の細断、焼却、溶解等復元できない方法による。 3 コンピュータを廃棄又はリース会社へ返却する場合は、廃棄又は返却 する前に専用ソフトによる上書消去をする。この作業は、守秘義務契約を 結んだ第三者に委託することができる。 第4章 認証及びアクセス管理 (IDの登録・休止・廃止) 第11条 当社のコンピュータを利用する場合、所長又は部門責任者は事前 に利用者に対しIDを付与する。 2 IDを付与された者は、IDは適切に管理する。 3 IDを付与された者が長期休暇、休職等一ヶ月以上当社のコンピュータ を利用することがないと想定される場合、速やかにIDの利用を停止する。 4 IDを付与された者が退会等、当社のコンピュータを利用する必要がな くなった場合、速やかにIDの利用を停止する。 (パスワード等による認証) 第12条 当社のコンピュータを利用する者は、パスワード等により認証す る。 (パスワードの条件) 第13条 パスワードは8文字以上とする。 2 パスワードは、英数字、数字及び特殊文字の組み合わせとする。 3 パスワードは3ヶ月に一度以上変更する。 (利用者のパスワード等の管理) 第14条 パスワードにより本人を認証する場合、コンピュータの利用者は、 他人に推測されにくいパスワードをつけ、他人に漏れないように適切に管 理する。 2 IDカード等のパスワード以外の認証手段を用いる場合、IDカード等を 付与された者は、IDカード等を紛失しないように適切に管理すること。 紛失した場合は、総務部門責任者又は社長に速やかに連絡する。 (アクセス権の管理) 第15条 秘密情報をコンピュータに保存する場合、秘密情報を閲覧する権 限がない者が閲覧できない状態となるようにアクセス権を設定する。 2 業務が変更になる等、アクセス権を付与されていた人にアクセス権を 付与する必要がなくなった場合は、速やかにアクセス権を剥奪する。 第5章 コンピュータの適正利用 (当社のコンピュータの利用の前提) 第16条 当社のコンピュータを利用するに当たり、自らのコンピュータ利 用状況が記録され、確認される可能性があることに同意した者のみに、当 社のコンピュータの利用を認める。 (私的利用の禁止) 第17条 当社のコンピュータ利用者は、当社業務の目的の為にコンピュー タを利用し、私的な利用をしてはならない。 2 当社のコンピュータ利用者は、当社業務の目的の為に電子メールを利 用するものとし、私的な利用をしてはならない。 3 当社のコンピュータ利用者は、当社業務の目的の為にインターネット のホームページを閲覧するものとし、私的な利用をしてはならない。 4 総務部門責任者又は社長は、必要に応じ不必要なインターネットホー ムページへのアクセスを制限するソフトを導入することができる。 5 総務部門責任者又は社長は、必要に応じ、当社コンピュータ利用者の コンピュータ利用状況を確認することができる。 6 総務部門責任者又は社長は、上記の確認の結果、第1項から第3項に違 反している可能性があると判断した場合は、本人から事情を聴取し、違反 があればコンピュータの利用を停止することができる。 (ソフトウェアライセンスの管理) 第18条 総務部門責任者は、当社のコンピュータに標準的にインストール するソフトウェアを定め、ライセンスを適切に管理しなければならない。 (ソフトウェアの無断インストールの禁止) 第19条 当社のコンピュータ利用者は、当社が認めたソフトウェアのみを インストールして利用し、その他のソフトウェアを無断でインストールし てはならない。 2 当社のコンピュータ利用者は、業務上の理由によりソフトウェアをイン ストールする必要が生じた場合、総務部門責任者又は所長に承認を得て、 当該ソフトウェアをインストールしなければならない。 3 総務部門責任者は、無断でインストールしたソフトウェアを発見した 場合、当社のコンピュータ利用者に対し、そのソフトウェアを消去するこ とを指示しなければならない。 (コンピュータウィルス対策ソフトの導入) 第20条 総務部門責任者は、当社で利用する全てのコンピュータにコン ピュータウィルス対策ソフトをインストールしなければならない。 2 当社のコンピュータ利用者は、コンピュータウィルス対策ソフトが起 動している状態でコンピュータを利用しなければならない。 3 コンピュータウィルスのパターンファイル又はソフトウェアは、常に 最新に保たれるように設定されるものとする。 (システム上の脆弱性の管理) 第21条 総務部門責任者は、当社で利用するコンピュータについて、オペ レーティングシステムのバグその他のシステム上の脆弱性の存在を知った 場合、セキュリティパッチソフトの導入その他の対策を検討しなければな らない。 第22条 当社のコンピュータ利用者は、総務部門責任者の指示によりセキュ リティパッチソフトの導入が指示された場合、速やかに導入を行わなけれ ばならない。 第6章 ネットワーク及びサーバの管理 (管理者の設置と役割) 第23条 当社のネットワーク機器、サーバ及びクライアについて、システ ム管理者を設置する。 2 システム管理者は、ネットワーク機器、サーバについての運用管理を 行う。 (サーバの管理) 第24条 当社のサーバのシステム管理者は、サーバに対するアクセス制御 方針を定め、外部、内部からの無権限アクセスを防止する。 (ネットワークの管理) 第25条 当社のネットワーク機器のシステム管理者は当社のネットワーク と外部のネットワークの接続についてのアクセス制御方針を定め、外部か らの無権限アクセスを防止する。 (アクセスログの採取と検査) 第26条 ネットワーク機器及びサーバのシステム管理者は、アクセスログ 採取及び検査についての方針を定め、アクセスログの採取及び検査を行う。 (個人情報を用いたテストの禁止) 第27条 システム開発に関連し、システム開発テストを実施する場合、個 人情報を用いてはならない。 (データのバックアップおよびリカバリーテストの実施) 第28条 システム管理者は、サーバに保管されているデータのバックアッ プ及びリカバリー方針を定めなければならない。 2 システム管理者は、サーバのデータバックアップを、方針に従い定期 的に実施しなければならない。 3 システム管理者は、方針に従い定期的にリカバリーテストを実施しな ければならない。 4 システム管理者は、リカバリーテストの結果を踏まえて、バックアッ プ及びリカバリー方針を変更しなければならない。 第7章 物理的・環境的対策 (セキュリティ区画の設定) 第29条 当社の施設を、外部者が入室できる区画(以下、「レベル1区画」 という。)と、事前に承認された者が入室できる区画(以下、「レベル2 区画」という。)、レベル2の区画にあり、特定の権限を与えられた者だ けがアクセス(入室を含む)できる区画(以下、「レベル3区画」とい う。)に区分する。 (入室管理) 第30条 外部者がレベル1区画に入室する場合は、当社の役職員が必ず同 席する。 2 外部者がレベル2区画に入室する場合は、当社の役職員が必ず同伴し、 役職員の指示に従い行動してもらうように依頼する。 3 外部者がレベル3区画にアクセスする場合は、レベル3区画にアクセ スすることができる役職員が必ず同伴し、当該役職員の指示に従い行動し てもらうように依頼する。 (キャビネット、コンピュータ等の設置) 第31条 秘密文書を保管するキャビネットは、レベル2区画に設置する。 2 サーバ及びクライアントコンピュータは、レベル2区画に設置する。 3 ネットワーク機器は、レベル2区画に設置することを原則とする。 4 レベル1区画に設置するネットワーク機器は盗難又は外部者の事故等 による破損を防止するために、施錠管理その他の適切な物理的対策を実施 する。 第8章 教育・訓練 (教育・訓練) 第32条 情報セキュリティに関する教育を定期的に実施する。 2 技術的対策が確実に実施できるように、必要に応じ、訓練を実施する。 (教育・訓練の記録) 第33条 情報セキュリティに関する教育・訓練を実施した記録を保持する。 第9章 委託管理 (委託先の選定) 第34条 当社の業務を外部に委託する場合、委託先を選定するための条件 として、委託先の情報管理についても考慮する。 (契約書の締結) 第35条 当社の業務を外部に委託する場合、委託先と業務委託契約を締結 し、両者の責任の範囲及び実施する業務を明確にする。 2 契約書又はその覚書に次条の委託先に要求すべき情報セキュリティに 関する事項を含めるように努める。 (委託先に要求すべき情報セキュリティに関する事項) 第36条 委託先に要求すべき情報セキュリティに関する事項として、以下 の事項を要求する。 1)当社で要求している情報セキュリティに関する事項の遵守。 2)委託先の業務の遂行における情報セキュリティ関連事項について当社 に対する定期的な報告。 3)当社の役職員又は当社が委託した者等が、委託先の業務の遂行におけ る情報セキュリティ関連事項の遵守状況を検査又は監査による確認。 (委託先からの報告) 第37条 業務委託を行った部門責任者は、業務の遂行におけるセキュリティ 関連事項について、委託先から定期的な報告をうけなければならない。 2 必要に応じ、委託先との間で定期的な報告会を開催するよう努めるこ ととする。 (委託先への確認) 第38条 業務委託を行った部門責任者は、委託先の情報セキュリティ関連 事項の契約事項の遵守状況を検査又は監査により年に1度以上確認する。 2 前項の確認は、外部の専門家に委託することができる。 第10章 事件・事故への対応 (事件・事故への対応) 第39条 ネットワーク機器及びサーバのシステム管理者は、アクセスログ の検査の結果、不正なアクセスを発見又はそのおそれを発見した者は、総 務部門責任者及び契約しているシステム運用委託先に連絡しなければなら ない。 2 前項の場合、総務部門責任者は、システム管理者及びシステム運用委 託先と相談し、対応を決めなければならない。 3 個人情報の漏えい事故の場合は、別途定める事故に関する規定に従い 対応する。 第11章 情報セキュリティ実施状況の確認 (監査人の選任) 第40条 当社は、情報セキュリティ監査を実施する者を選任する。 2 情報セキュリティ監査を実施する者を外部の専門家に委託することが できる。 (監査の実施と報告) 第41条 情報セキュリティ監査を実施する者は、情報セキュリティに関す る規程等が遵守されていることを年に1度以上、監査により確認しなけれ ばならない。 2 上記の監査は、第38条に規定する委託先への検査又は監査による確認 を含む。 (監査の報告) 第42条 社長は、情報セキュリティ監査の報告を受ける。 2 社長は、監査の結果、重大な問題が発見された場合は、役員会に報告 しなければならない。 (監査結果に基づく改善) 第43条 役員会は、必要に応じて情報セキュリティ監査の結果に基づく改 善を指示しなければならない。