情報セキュリティポリシー

基本方針

目的

当社の効率的で効果的な事業活動を継続的かつ安定的に確保するためには、適切な情報セキュリティ対策を実施して高度な情報セキュリティ水準を達成することが必要不可欠である。

このため、情報セキュリティ対策の包括的な基本方針として、本情報セキュリティポリシーを策定し、当社の情報資産をあらゆる脅威から守るために必要な情報セキュリティの確保に最大限取り組むこととする。

定義

本ポリシーで使用する用語の定義は、次の通りである。

  • 情報セキュリティ
    情報資産の機密性、完全性及び可用性を維持すること。
  • 情報資産
    情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称。
  • 情報システム
    同一組織内において、ハードウエア、ソフトウエア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。
  • 情報セキュリティガイドライン(以下「ガイドライン」という)
    当社が所有する情報資産の情報セキュリティ対策について、体系的かつ具体的に規定したもの。「どのような情報資産をどのような脅威から、どのようにして守るのか」についての具体的な方策を規定したもの。

対象範囲

本ポリシーの対象範囲は、当社が業務で使用するネットワーク、ハードウエア、ソフトウエア、記録媒体等の情報システム等(システム構成図等の文書を含む)及びすべての情報のうち、情報システムに電磁的に記録される情報、並びにこれらの情報に接するすべての社員、準社員、外部委託事業者等とする。

対象範囲とその例

情報システム等 (例)コンピュータ、基本ソフトウエア、応用ソフトウエア、ネットワーク、通信機器、記録媒体、システム構成図等
情報システムに記録される情報 (例)文書及び図面等の電磁的記録、アクセス記録
これらの情報に接するすべての者 (例)常勤、非常勤及び臨時を含む社員、外部委託事業者等

本ポリシーの基本的な考え方

ITの発展速度は極めて速いため、ある時に講じた最高の情報セキュリティ対策が、将来にわたっても最高のものとして永続することはない。その時々のハードウエア、ソフトウエアの導入時には適切な情報セキュリティ対策であり得るが、継続性は保証されていない。

情報セキュリティ対策は、情報セキュリティポリシーを策定することによって完結する一過性の取り組みではなく、ガイドライン等の策定及びそれに続く日々の継続的な取り組みによって確保される性質のものである。

このため、継続的な情報収集及びセキュリティ確保の体制を構築し、また「いかに破られないか」のみならず「破られたときどうするか」についての対策も適切に規定し、当該規定に基づいた対策を十分に構築する。

さらには、情報セキュリティポリシー及びそれに関連するガイドラインを定期的に見直すことによって、当社の所有する情報資産に対して、新たな脅威が発生していないか、環境の変化はないかを確認し、継続的に対策を講じていく。特に、情報セキュリティの分野では、技術の進歩やハッカーの手口の巧妙化に鑑み、早いサイクルで見直しを行っていく。

情報セキュリティポリシーの実施サイクル

島根日野自動車では、情報セキュリティポリシーを4つの工程に分け、1.導入、2.運用、3.評価・見直し、4.策定とし、これらのサイクルを実施します。まず、Plan・導入については、配布・教育・物理的・人的・技術的配置を行います。次に、Do・運用については、3つの取り組みを行います。1つ目は、システムの監視。2つ目は、ポリシーの遵守状況の確認。3つ目は、侵害時の対応策です。次に、Check・評価・見直しについては、2つの取り組みを行います。1つ目は、システムの監査。2つ目は、ポリシーの評価・見直しです。最後に、Action・策定については、基本方針・対策基準、実施手順の策定を行います。

著作権法、不正アクセス禁止法、個人情報保護法など情報セキュリティに関連する法令、並びに業界のガイドラインなどを遵守するための措置を講じる。

情報システムを利用する個々の一般ユーザーの努力も不可欠である。情報セキュリティの確保には、島根日野自動車(株)及び、情報システム所管部署だけでなく、個々の一般ユーザーの努力も不可欠である。

このため、当社のすべての社員(常勤、非常勤及び準社員)は、本ポリシー及びガイドラインの実施に責任を負うとともに、ポリシーを尊重し、ガイドラインを遵守しなければならない。本ポリシーは情報セキュリティを確保するための基本方針であり、その方針は社員ユーザーに各種の制約を課することになるが、ポリシーの目的は業務の効率的で継続的かつ安定的な遂行にあることを忘れてはならない。この点に関して一般社員の理解と協力を求めることに尽力するとともに、実態に即したユーザーの意見を反映できる仕組みを導入する。

情報セキュリティに関して問題が発生あるいは予見された場合、本ポリシー及びガイドラインに基づいて対処する。すなわち、一部関係者のみで秘密裏に処理することはあってはならない。なお、予想される脅威に対して万全の策を講じるということは、厳格すぎるガイドラインを定めればよいという意味ではない。危険性から完全隔離した無菌室状態しか経験していないユーザーは免疫機能が働かずに却ってリスクに脆弱な体質になってしまうことに留意する必要がある。

対策基準に関する基本方針

  1. 組織・体制
    情報セキュリティの確保のための組織・体制は、役員が率先して推進することが重要であることから、情報セキュリティについて最高責任者(セキュリティ管理担当責任者)を定める。この最高責任者を長として、全社としてITセキュリティ対策を推進するための組織・体制を定め、その責任及び権限を明確にする。
  2. 情報の分類と管理
    当社の情報システムにおいて取り扱う情報について、重要な情報を重点管理する考え方から、重要度に応じた情報分類の定義、情報の管理責任、管理の方法を規定する。
  3. 物理的セキュリティ
    情報システムの設置場所について、不正な立ち入り、損傷及び妨害から情報資産を保護するため、管理区域を設置する等の物理的な対策を規定する。
  4. 人的セキュリティ
    情報セキュリティに関する権限や責任を定め、すべての社員にポリシー及びガイドラインの内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を規定する。
  5. 技術的セキュリティ
    当社の情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の必要な対策を規定する。
  6. 運用
    ポリシー及びガイドラインの実効性を確保するため、また、不正アクセス及び不正アクセスによって他の情報システムに対する攻撃に悪用されることを防ぐため、ポリシー及びガイドラインの遵守状況の確認、運用面に関して必要な措置を規定する。また、緊急事態が発生した際の迅速な対応を可能とするため、緊急時対応処置を規定する。
  7. 法令・社則の遵守
    法令や社則、及びセキュリティポリシーとガイドラインの遵守について規定する。
  8. 情報セキュリティに関する違反に対する対応
    法令・社則、セキュリティポリシー及びガイドラインに違反した場合の罰則について規定する。
  9. 評価・見直し
    ポリシー及び情報セキュリティ対策の評価、新たな脅威等を踏まえ、定期的に対策基準の評価・見直しを実施することとし、このための必要な措置を規定する。

実施手順に関する基本方針

対策基準に定められた内容を具体的な情報システムまたは業務において遂行していくために、具体的なガイドラインを作成し、その手順に基づいて対策を実行する。