個人情報や各種情報管理、保護が常に言われてますが、会社の総務担当として何を具体的にすればいいのでしょうか?
一般的な社内情報管理規定を作ってみました。参考になれば幸いです。
(この規定は、自由にコピーして社内で使って頂いて結構です!!)
ただ、会社によって、下記全てをする必要がない場合もあれば、下記のレベルでは低すぎる会社もあると思います。社内の方々と協議するとともに、取引先等での業務契約書などを見て、どこまで求められてるか見定めてくださいね。
社内情報管理については、長くなるので詳細を個別に分けてます。以下よろしかったらご覧ください。
1. 一般安全管理措置
1.1 机上整理
(1) 従業者は、帰宅時や長時間の離籍時には、紙媒体や外部記録媒体(をキャビネット等の所定の保管場所に収納し、机上等に放置してはならない。
(2) 短時間の離籍時には、紙媒体に関しては裏返す等の処置をして、第三者からの盗み見を防止する。
(3)機密情報を取扱う情報システムの操作マニュアルはアクセス管理を行い、机上に放置してはならない。
1.2 コンピュータ画面に表示する情報の保護
(1) 従業者は、不正な操作や盗み見を防止するため、離席時にはコンピュータからログオフするか、パスワード付きロックを設定する。
(2) パスワード付きスクリーンセーバを5分で起動する設定にする。
1.3 事務、通信機器の取り扱い
(1) 従業者はホワイトボード等への書き込み内容を使用後に必ず削除し、放置してはならない。
(2) 従業者はコピー機、FAX、プリンタ等の入出力媒体を放置してはならない。特に重要な情報を印刷、送信する場合は、印刷および送信の間、担当従業者が常に機器に立ち会う。また、重要な情報をFAXで送信する際には必ず宛先を確認し、送信前か送信後に先方に電話確認を行う。
1.4 会話における配慮
従業者は電話や立ち話、オープンな会議スペースでの発言・会話について、情報漏えいの観点から周囲に配慮する。
2 施設におけるセキュリティ
2.1 セキュリティ区画
(1) 事業所において、重要な情報を保管あるいは重要な機器・設備を設置する場所には、その重要度に応じたセキュリティ区画を設定する。
(2) セキュリティ区画は、その範囲を「セキュリティ区画図」にて明確にする。
(3) セキュリティ区画の境界には、可能な限り施錠設備等の物理的境界を設ける。
2.2 入退管理
2.2.1 入退可能者の特定
個人情報保護管理者は、事業所、または2.1によって定められたセキュリティレベルが高い区画における入館可能者を特定する。
2.2.2 解錠、施錠の記録
従業者は、事業所において解錠及び施錠の記録を「入退室管理表」に取得する。
2.2.3 第三者の入退
(1) 2.2.1 で特定された入館可能者以外が当社の事業所(「セキュリティ区画図」において、記録の取得が必要と定めた範囲)に入館する際は、「訪問記録用紙」によりその入退館の記録を取得のうえ、入館時は、入館可能者が同行するものとする。
(2) 2.2.1 で特定された入室可能者以外がセキュリティレベルの高いエリアに入室する際は、その入退室の記録を取得のうえ、入室時は、必ず入室可能者が同行するものとする。
(3) セキュリティレベルの高いエリアでは、業務上必要時以外は、スマートフォン、PC、音楽プレーヤー、記憶媒体等の持ち込みを禁止する。
(4) 事業所に入館する可能性がある第三者とは、可能な限りアクセス可能な範囲およびアクセス条件を明確にした契約を締結するものとする。該当する第三者としては次の者が含まれる。
① 情報システムの開発・保守関係者
② 情報機器のメンテナンス業者
③ 清掃業者
④ 警備員 等
2.2.4 搬入物受渡し場所の特定
個人情報保護管理者は、事業所において、搬入物等の受渡し場所を特定したうえで、当該受渡し場所の周囲に重要な情報を保管あるいは重要な機器・設備を設置してはならない。指定した受渡し場所以外で荷物の受渡しを行う場合には、入館可能者が同行する。
3 媒体・情報の取扱い
3.1 媒体・情報の取り扱いの原則
(1) 個人情報保護管理者は、媒体・情報の取り扱いについて、取り扱い可能な従業者を限定し、権限のないものが閲覧・取り扱いできないような措置を講じる。
(2) 個人情報保護管理者は、媒体・情報の取り扱いについて、その取り扱い手順を明確にし、必要に応じて文書化する。
(3) 個人情報保護管理者は、媒体・情報の取り扱いについて、その取り扱う端末を可能な限り限定する。
3.2 媒体・情報の保管
3.2.1 媒体の保管
重要な情報が記録された媒体は、権限のない者が閲覧・取り扱いできないよう、媒体を鍵のかかる場所に保管し、鍵は持ち出しが出来ないように総務部長が一括管理する。また、鍵の紛失時にスペアキーを作成できるように、鍵の管理番号を総務部で管理する。
3.2.2 電子データの保管
システム管理者は、重要な情報を電子データにて保管する場合は、権限のない者が閲覧・取り扱いできないよう、当該電子データへのアクセス制御を施す。特に重要な情報が記録された外部記録媒体を保管する場合は、万一の盗難・紛失に備えて、暗号化やパスワード保護を実施する。
3.2.3 媒体・情報の分離保管
個人情報保護管理者は、重要度やアクセス権が異なる媒体・情報については、可能な限り分離保管する。
3.3 媒体の受渡し・移送
(1) 従業者は、重要な情報が記録された媒体を第三者と受け渡しする際は、必ず当該受け渡しの記録を「個人情報授受記録」に取得する。
(2) 従業者は、重要な情報が記録された媒体を郵送する場合は、書留・宅配便等の配達記録が取得可能な手段を採用する。
(3) 従業者は、重要な情報が記録された外部記録媒体を移送(郵送及び持ち運びを含む。)する場合は、万一の盗難・紛失に備えて、暗号化やパスワード保護を実施する。
3.4 媒体の持出し
従業者は、重要な情報が記録された媒体を、個人情報保護管理者の許可なく社外へ持ち出してはならない。
3.5 媒体の再利用
3.5.1 紙媒体の再利用
従業者は、重要な情報が記録されている紙媒体は裏紙等で再利用してはならないものとし、不要になった際は、3.6に従い確実に廃棄する。
3.5.2 記憶媒体の再利用
従業者は、重要な情報が記録されている記録媒体(HDD及び外部記録媒体を含む。)を再利用する前に、格納されていた情報を、物理フォーマット等を実施し媒体から確実に消去する。
3.6 媒体の破棄
3.6.1 媒体の破棄
(1) 重要な情報が記録された媒体の廃棄を行う場合は、媒体を再生不能な状態に破壊するか、記録された情報を再現不能な状態に消去して廃棄しなければならない。
①紙媒体の廃棄は、都度、シュレッダーにて裁断する。
②電子データの廃棄は、データ消去ソフト等を利用するか、物理フォーマットを実施して再生不能な状態にする。
③記憶媒体の廃棄は、物理フォーマットを実施して中の情報を完全に消去する。
(2) 重要な情報が記録された媒体かどうかが確認できない場合には、重要な情報が記録されているとして(1)に従い廃棄しなければならない。
3.6.2 媒体の破棄の委託
媒体の廃棄を外部業者に委託する場合、機密保持および媒体の再利用の禁止を明確にした契約を締結し、廃棄が終了した際には廃棄証明を取得する。
3.6.3 媒体・情報機器のリース会社への返却
媒体・情報機器をリース会社に返却する場合は、事前に格納された情報を再生不能な状態に消去して返却する。
3.7 情報の複製
(1) 重要な情報は、原則として複製を禁止する。
(2) 業務上必要であって重要な情報の複製を行う必要がある場合は、部署の責任者の承認を得たうえで、複製を行う。また、当該複製が不要となった際は、前項に従い確実に廃棄する。
(3) (2)にかかわらず、確立された業務手順が存在する場合は、当該業務手順の定めに従う。
3.8 情報のバックアップ
3.8.1 情報のバックアップ
(1) 重要な情報が記録された電子媒体は、必要に応じて定期的にバックアップを取得する。バックアップ情報については、重要な情報が記録された媒体として保管する。
(2) 重要な情報を処理している情報システムのオペレーティングシステム(OS)及びアプリケーションならびにその設定情報についても必要に応じてバックアップを取得する。
(3) 従業者は、バックアップを取得した際には、必要に応じて記録を取得する。
(4) (1)、(2) のバックアップについて、可能な限り実施手順を作成し、維持しておく。
3.8.2 バックアップからの復元テスト
システム管理者は、取得したバックアップから迅速にデータが復元できることについて、可能な限り復元テストを実施する。また、重要な情報を扱うシステムに関しては可能な限り復元手順を作成し、維持しておく。
3.9 持ち運び可能な外部記憶媒体の利用の原則
(1) 持ち運び可能な外部記憶媒体には、必要のない情報を保存しないようにする。
(2) USBフラッシュメモリは、業務上必要がある場合のみ利用可能であり、また、情報の受け渡しのみに利用し、利用が終われば速やかに中の情報を消去する。
(3) USBフラッシュメモリを社外に持ち出す際には、個人情報保護管理者の許可を得てから持ち出す。
(4) 重要な情報を扱うシステムに関しては、システム管理者に許可された以外の外部記憶媒体は使用してはならない。
4 情報機器におけるセキュリティ
4.1 情報機器の物理的な保護
重要な情報を取り扱う情報機器(サーバ、PC、ネットワーク機器を含む。以下同じ。)については、盗難・破壊・破損といった安全管理上の脅威や漏水・火災・停電といった環境上の脅威から可能な限り物理的に保護する。
4.2 情報機器の移設
(1) 従業者は、情報機器を勝手に移設してはならない。
(2) 情報機器の移設が必要な場合には、事前にシステム管理者に承認を得る。
4.3 私設の情報機器の利用禁止
(1) 当社の業務において従業者が使用できる情報機器は、当社が支給、貸与したもののみである。
(2) いかなる場合でも、当社システム・ネットワーク環境において私物の情報機器を接続、利用してはならない。
4.4 不正ソフトウェア対策の実施
4.4.1 ウィルス対策の徹底
(1) 従業者は、情報機器を利用するにあたり、当社が指定するウィルス対策ソフトウェアを導入する。
(2) 従業者は、ウィルス対策ソフトウェアのパターンファイルを常に最新に更新する。
4.4.2 修正ソフトウェアの導入
(1) システム管理者は、当社で利用している情報機器における修正ソフトウェアの情報を入手し、従業者に周知する。
(2) 従業者は、前項の修正ソフトウェア情報に基づき、情報機器を可能な限り最新の状態に維持する。
4.4.3 ファイル交換ソフトの禁止
当社は、情報機器を利用するにあたり、ダウンロードと同時に自動的にアップロードを行うようなファイル交換ソフトをインストールする事を禁止する。
4.4.4 有効性・安定性の確認
システム管理者は、当社のすべての情報機器においてウィルス対策ソフトウェアのパターンファイルおよび修正ソフトウェアが最新となっていること、及び禁止ソフトウェアをインストールしていない事を「年間実施項目管理表」に従い定期的(少なくとも年1回)に確認する。
4.4.5 初期設定の変更
システム管理者は、当社の個人情報の格納した情報システムにおいては、デフォルトの設定については、必ず削除する。
4.5 モバイル機器の利用上の注意事項
(1) 原則として、ノートPCは利用禁止とし、社内PCはデスクトップPCのみとする。
(2) 社外にモバイル機器(スマートフォン等。)を持ち出す場合は、盗難に注意して取り扱う。
(3) 社外でモバイル機器を利用する場合は、情報の盗み見に注意して利用する。
(4) 万一の紛失や盗難に備えて、モバイル機器にはパスワード保護や情報の暗号化を行う。
(5) 携帯電話を業務で使用する場合は、可能な限りセキュリティ機能を備えた機種を利用するようにする。
5 ネットワークにおける対策
5.1 社内ネットワーク利用時の原則
(1) 社内ネットワークは、会社の情報資産であり、電子メールやWebサイト等の業務目的以外の使用を禁止する。インターネットの利用についても同様である。
(2) 従業者は、システム管理者の許可無く社内ネットワーク上に電子メールサーバや、Webサーバ、その他のネットワークサーバ・機器等を設置してはならない。
(3) 従業者は、与えられたIPアドレス以外のIPアドレスを使用してはならない。
(4) 従業者は、社内ネットワークに接続中のコンピュータを、システム管理者の許可無く電話回線・携帯電話等を利用して社外のネットワークへ接続してはならない。
(5) 従業者は、出所が不明なファイルや内容に確証の持てないファイルをダウンロードや実行してはならない。
(6) 従業者は、他人の利用者IDを用いて、社内ネットワーク及び、社外のネットワーク、インターネット上のサイトへアクセスしてはならない。
(7) 従業者は、故意もしくは不注意を問わず、社内ネットワークおよび社外ネットワーク、インターネット上のサーバに対して、許可されたアクセス権限以上のアクセスを行ってはならない。
5.2 社内ネットワークの保護
システム管理者は、社内外からの無権限アクセスから情報システムを保護するために、ファイアウォールやルータ等によるネットワーク制御、アクセス制御等を実施する。
5.3 インターネット経由での重要な情報の送受信
5.3.1 重要な情報の送受信時の暗号化
重要な情報を送受信する場合は、システム管理者の指示に従い、暗号化やパスワード保護を実施する。
5.3.2 送受信の頻度の高い拠点間ネットワークの暗号化
特定の取引先等、インターネット経由での情報の送受信の頻度が高い場合については、システム管理者は、VPN等のネットワーク自体の暗号化を検討する。
5.4 電子メールの利用
従業者は、次の点に注意したうえで電子メールを利用する。
(1) インターネット経由での電子メール本文はクリアテキストで送信されることに留意し、重要な情報については、添付ファイルを使用するなど可能な限り電子メール本文以外に記述する。
(2) ファイルを添付して電子メールを送信する際には、必ずウィルスチェックを実施してから行う。
(3) 万一、ウィルスの疑いがあるような電子メールを受信した場合は、速やかに破棄する。
(4) システム管理者の許可なく、当社のメールアドレス宛の電子メールを、別のメールアドレスへ転送設定してはならない。
(5) システム管理者の許可なく、当社の情報機器以外の情報機器において、当社のメールアドレス宛の電子メールを受信してはならない。
5.5 ネットワークの運用および障害の記録
システム管理者は、社内ネットワークの運用および障害についての記録を取得し、保管する。
6 アクセス制御
6.1 識別と認証を用いたセキュリティ確保
重要な情報を取り扱う情報機器、情報システムおよびアプリケーションにおいては、正当なアクセスであることを確認するために、アクセス権限を有する従業者本人であることの識別と認証を行う。
6.2 アクセス制御における原則
(1) アクセス権を付与する従業者は必要最小限とする。
(2) 従業者に付与するアクセス権限(入力・閲覧・変更・消去等)は必要最小限とする。
(3) アクセス制御を行うための識別は個人別に付与するものとする。情報システムの仕様上個人別の識別が実施不能な場合は、アクセス権限に変更があった際にパスワードの変更等を確実に実施する。
6.3 アクセス権限の管理
12.3.1 アクセス権限の付与
システム管理者は、入社時に、各従業者に対して、ID、パスワードを付与する。従業者は、各自でIDを設定(変更)してはならない。
6.3.2 アクセス権限の変更・削除
システム管理者は、従業者の退職・異動の際には、アクセス権限の変更・削除を行う。
6.3.3 アクセス権の見直し
システム管理者は、アクセス権について、「PMS年間実施項目管理表」に従い定期的(少なくとも年1回)に見直しを行う。また、同時に確実にアクセス権の削除が行われている事、使用されていないIDや不正なIDが存在しないかも確認する。
6.4 アクセスの管理
6.4.1 アクセスの記録の取得
(1) システム管理者は、重要な情報を取り扱う情報システムにおいて、情報システムのアクセスの成功と失敗の記録を取得し、可能な限り、動作ログを取得する。
(2) システム管理者は、取得したアクセスの記録について、漏えい、破壊、改ざん等から適切に保護する。
(3) ユーザ認証システムに用いるパスワードは、英数字混合の8文字以上とする。
(4) 一般に使われている単語や本人の趣味、プライベートなどから、他人に推測されやすいパスワードを使用してはならない。
(4) パスワードは口外したり、ヒントとなるような物品を身の回りに置いたりしてはならない。
(5) 個人情報保護管理者は、「パスワード管理表」にて各自のパスワードを管理する。