...

大同情報技術株式会社 機密情報漏洩防止規程 (平成 18 年 9 月 1 日

by user

on
Category: Documents
4

views

Report

Comments

Transcript

大同情報技術株式会社 機密情報漏洩防止規程 (平成 18 年 9 月 1 日
大同情報技術株式会社 機密情報漏洩防止規程
( 平 成 18 年 9 月 1 日 改 定 )
第1章
総
則
第1条(目的)
本規程は、当社が情報化社会における先進企業として、機密情報の漏洩を防止するために
守るべき事項を定めたものである。
第2条(機密情報の範囲)
この規程で定める機密情報の範囲は、次の各号に定めるものとする。
(1)個人保護法に抵触するおそれのある情報
社内及び会社運営における社内関係人の個人情報、協力会社及び在宅勤務者等の社外関係
人の個人情報、加盟団体等の名簿情報、測量・調査等の業務受託により貸与又は収集した
個人情報、その他個人情報保護法に抵触するおそれのある個人情報。
(2)受託業務で知り得た情報
受託業務の目的・場所・内容、貸与された資料・図面・電子データ、作成した資料・図面・
電子データ、業務を受託する上で知り得た情報。
(3)経営上保護すべき情報
中・長期計画等経営方針に関わる情報、決算書等財務数値に関わる情報、契約書等受発注
物件に関わる情報、受注予定表等営業活動に関わる情報、その他経営上保護すべき重要な
情報。
第3条(機関の設置)
当社は機密情報の流出阻止及び保護を目的として次の各号に定める機関を設置する。
(1)機密情報保護管理者
これは、機密情報を保護するための統括責任者で、総務担当取締役があたる。
(2)システム監視責任者
これは、サーバの運用、ネットワークの監視、社有情報機器・社内持込み情報機器の変更・
破棄等について、一切の行使権限を持つ機関で、システム監視責任者は機密情報保護管理
者と協議の上、業務補佐役のシステム監視員を任命することができる。
(3)情報管理責任者
これは、機密情報に関し、その所在及び管理方法を常に把握し、各セクションでの情報漏
えいの防止に努める機関である。
(4)事故対策委員会
これは、万一情報の流出が起こった際、事態の収拾にあたるために速やかに召集される機
関で、委員は社長、機密情報保護管理者、システム監視責任者、情報管理責任者で構成さ
れる。
第4条(機密情報の保管場所)
電子データ以外の機密情報は社内に定められた保管庫、電子データについては機密情報格
納用サーバ内のフォルダに保管することとする。
第 5 条(機密情報取扱説明と誓約書の提出)
会社は、機密情報の取り扱いについて従業員に説明し、従業員は「機密情報漏洩防止等に
関する誓約書」(様式第 5 号)を提出することとする。
第6条(パソコンの種類)
社内外で使用するパソコンを次の各号のとおり区分する。
(1)WEB サーバ
(2)電子メールサーバ(以下「Eメールサーバ」という)。
1
(3)データサーバ用パソコン(以下「サーバ」という)。
(4)社員に与えられた業務用ローカルパソコン(以下「業務用 PC」という)。
(5)パート等が使用するデータ入力等のためのローカルパソコン(以下「入力用 PC」という)。
(6)入出力機器への接続及び勤怠管理のためのローカルパソコン(以下「専用 PC」という)。
(7)営業及び社外業務のためのローカルパソコン(以下「持出用 PC」という)。
2
第2章
外部環境との遮断のための制限
第7条(入退館制限)
(1)社員及びアルバイトは会社が発行した従業員証を常に携帯しなければならない。
(2)常時出入りする取引先については、機密情報保護管理者があらかじめ所定の入館者リス
トに登録し、入館証を貸与することができる。
(3)来客については、応対する社員が情報管理責任者に許可を受け、システム上で外来社入
館簿(書式第7-3 号)に記録した上、入館証を授与して入館させなければならない。
第8条(鍵・セキュリティカードの管理)
(1)会社に入館するための鍵及びセキュリティカードについては、機密情報保護管理者が鍵
番号等を所定の管理台帳に記載して社員に貸与するものとする。
(2)社員は鍵・セキュリティカードを紛失した場合は、直ちに始末書を作成し、機密情報保
護管理者に提出しなければならない。
第9条(入退館手続き)
(1)出勤に伴い開錠する社員は、警備システムの状況を確認後、セキュリティカードをもっ
て開錠しなければならない。
(2)最終退館者は「最終退館者記録簿」
(様式第 9-2 号)に基づき点検を行った上、記録簿に
氏名を記載し、施錠後正常に警備システムが作動していることを確認しなければならな
い。
(3)開錠及び施錠にあたって誤操作を行った社員は、直ちに警備会社にその旨を連絡すると
ともに、「警報誤操作報告書」(様式第 9-3 号)により機密情報保護管理者に報告しなけ
ればならない。
第 10 条(CD・MO・DVD・メモリーカード・メモリースティック等のメディアの取扱い)
(1)CD・MO・DVD・メモリーカード・メモリースティック等のメディア(以下メディアという)
は使用/未使用に拘わらず所定の保管庫に格納し個人で保有してはならない。また社外
からの持込も禁止する。
(2)システム監視責任者は、メディアの品目・数量の購入や使用について購入日・使用日・
使用者等を「メディア管理表」(様式第 10-2 号)により管理し、定期的に数量等を確認
しなければならない。
(3)メディアを使用しようとする社員は、
「メディア受給申請書」
(様式第 10-3 号)に必要事
項を記入した上、システム監視責任者の許可により借り受けし使用しなければならない。
(4)支給されたメディアは・納品・破棄・保管・返却の処理によるものとし、各処理は下記に
よりシステム監視責任者の確認を受けなければならない。
① 納品:客先に納品・データ受け渡しのため納品
納品受領書・受け渡し確認書等の受領印の確認を持って処理とする。
② 破棄:作業用一時使用・焼付けミス等
システム監視責任者に返却し物理的に破壊し破棄する。
③ 保管:バックアップ等
システム監視責任者に引渡し、保管庫に保管する。
④ 返却:未使用、一時使用
未使用あるいは、読み書き自由なメディアはフォーマットした後、システム監視責
任者に返却する。
(5)使用するCD、MO、DVD等の記録媒体は、作成者・内容等が把握できるようにラベ
ル等に明示しシステム監視責任者の確認を受けなければならない。
(6)保管されているメディアが必要な場合はシステム監視責任者に「メディア借受申請書」
(様
式第 10-6)借り受け申請を行い、使用後は直ちに返却するものとする。
3
第 11 条(PC・モバイル機器・外部記憶装置等の電子機器の取り扱い)
(1)PC・モバイル機器・ハードディスク等の外部記憶装置・書き込み可能な音楽再生装置
等のメモリやハードディスクを搭載した機器等の電子機器(以下電子機器という)の使用
制限を設ける。
(2)会社が電子視機器を購入しようとする場合にはあらかじめ「機器購入/持込申請書」(様
式第 11-2)に必要事項を記入した上、システム監視責任者の許可を受けなければならな
い。システム監視責任者は、申請された電子機器の購入の是非を決めることができる。
(3)社有以外の電子機器を外部から持ち込もうとする場合には、あらかじめ「機器購入/持込
申請書」
(様式第 11-2)に必要事項を記入した上、システム監視責任者の許可を受けなけ
ればならない。システム監視責任者は、持ち込まれた電子機器の使用/不使用を決める
ことができる。
(4)社内で使用する電子機器はあらかじめ本条(2)及び(3)の申請に基づきシステム監視
責任者が許可登録したもの以外を使用してはならない。
(5)上記、(3)(4)の本手続きを経ずに外部から持ち込まれた電子機器が発見された場合に
は破壊して破棄することがある。
(6)電子機器は、あらかじめシステム監視責任者の許可を受け登録されたもの(持出用 PC 等)
以外社外に持ち出してはならない。
(7)本条(2)(3)(4)で許可登録された電子機器を破棄しようとする場合は「機器破棄/引
揚申請」(様式第 11-8 号)に必要事項を記入した上、システム監視責任者の許可を受け
なければならない。破棄に際しては、特に記憶媒体、メモリの部位について物理的に破
壊し破棄しなければならない。
(8)本条(3)により持ち込まれた電子機器を引き上げる場合あるいは社有の電子機器を社外
に移設・譲与する場合は「機器破棄/引揚申請」
(様式第 11-8 号)に必要事項を記入した
上、システム監視責任者の許可を受けなければならない。社外への持ち出しについては、
ハードディスク内のデータを全て消去しシステム監視責任者の確認を得なければならな
い。
(9)登録された持出用 PC 等機器の持ち出しについては、あらかじめ「機器使用申請書」(様
式第 11-10 号)に必要事項を記入した上、システム監視責任者の許可を受けなければな
らない
(10)持出用 PC は、持ち出し先においていかなる状況においても外部ネットワークと接続させ
てはならない。
(11)社内電子機器同士の接続はシステム監視責任者の設定したネットワーク環境以外で行っ
てはならない。また設定を変更してはならない。業務上の必要性から外部記憶装置等の
接続が必要な場合は「機器使用申請書」
(様式第 11-10 号)に必要事項を記入した上、シ
ステム監視責任者の許可により電子機器を借り受け接続の確認を受けなければならない。
(12)システム監視責任者は(8)及び(10)において使用申請がなされた場合は所定の手続き
により電子機器の貸出しを行うものとするが、電子機器の返却に際しては、内部データ
の確認を行わなければならない。
第 12 条(ソフトウェア・プログラムの取り扱い)
(1)ソフトウェア・プログラム(以下プログラムという)はシステム監視責任者の許可によ
り登録されたもの以外使用しては行ってはならない。
(2)業務に必要なプログラムを購入しようとする場合は「プログラム購入/ダウンロード申請」
(様式第 12-2 号)に必要事項を記入した上システム監視責任者の許可を受けなければな
らない。
システム監視責任者は申請されたプログラムの導入の是非を決めることが出来る。
(3)インターネット・E-メール等により外部ネットワーク上のプログラムをダウンロードす
4
る場合は同条(2)と同様の手続きにより行うものとし、申請者は管理する PC に直接ダ
ウンロードしてはならない。申請を許可したプログラムは、システム監視責任者がプログ
ラム入手のためのダウンロードの操作を直接行い所定のサーバーに格納しなければなら
ない。
(4)既に導入しているプログラムのバージョンアップをしようとする場合は「プログラムバ
ージョンアップ申請」 (様式第 12-4 号)に必要事項を記入した上システム監視責任者
の許可を受けなければならない。
システム監視責任者は申請されたプログラムバージョンアップの是非を決めることが出
来る。
(5)業務に必要なプログラムは定められた PC の管理者が「プログラムインストール申請」
(様
式第 12-5 号)に必要事項を記入した上、システム監視者の承認によりプログラムのイン
ストールを行い、処理終了後その状態の確認を受けなければならない。
(6)インストールされたプログラムを削除しようとする場合は「アンインストール申請」 (様
式第 12-6 号)に必要事項を記入した上システム監視責任者の承認を得なければならない。
またバージョンアップ等でその状態を変更しようとする場合は、同様の手続きを行った後、
新たに(5)によるインストールの申請を行わなければならない。
(7)システム監視責任者はいつでもプログラムインストール申請の状態と各人により管理さ
れている PC の状態を管理者の許可を受けず検査することが出来る。申請されていないプ
ログラムを発見した場合は直ちに削除を命じ、PC 管理者は当該プログラムを削除するとと
もに顛末書を持って機密情報保護管理者に報告するものとする。
第 13 条(社内ランへの接続制限)
(1)社内ランへは「外部接続申請」(様式第 13-1 号)に必要事項を記入した上システム監視
責任者の承認を受けたもの以外接続させてはいけない。
(2)持込まれたモバイル機器及び記録媒体は社内ネットワークと接続してはならない。ただ
し、やむをえない場合にはシステム監視責任者またはシステム監視員の立会いのもとで
接続することができる。
第 14 条(インターネットへの接続制限)
(1)インターネットは各種サーバ並びに業務用 PC のみが常時接続できるものとし、その他 PC
について業務の必要性上インターネットに接続する場合は「外部接続申請」(様式第 13-1
号)に必要事項を記入した上システム監視責任者の許可を受けなければならない。
(2)社有機器で業務以外にインターネットを使用することはできない。
(3)インターネットからファイルをダウンロードする場合はあらかじめ「ファイル送受信申
請」(様式第 14-3 号)に必要事項を記載した上、システム監視責任者の許可を受ければ
ならない。
(4)システム監視責任者は次の場合直ちにインターネットとの接続を切断することができる。
⑤ 上記禁止事項に違反したことが認められたとき。
⑥ 退職の意思が表明あるいは解雇の通知がなされたとき。
第 15 条(Eメールの送受信制限)
(1)メールの送受信については、メールアドレスによりシステム監視責任者が指定し「外部
接続申請」(様式第 13-1号)により登録された機器以外から行ってはならない。
(2)メールを相手先に送信する場合は同時にシステム監視責任者が指定するメールアドレス
に CC により送信しなければならない。
(3)E メールにファイルを添付する場合は雛形に定められた「添付ファイル送信確認書」(様
式第 13-3)の形式により送信し、受信者の返信を持って受け渡しの確認をしなければなら
ない。
(4)E メールを同時に複数の相手先に送る場合は、あらかじめ受信者に CC で送る旨の了解が
5
得られている場合を除き、BCC により配信し、他の受信者のメールアドレスを公開しては
ならない。
(5)大容量のファイルを添付したメール送信する場合には、あらかじめ「ファイル送受信申
請」(様式第 14-5 号)に必要事項を記載した上、システム監視責任者の許可を受ければ
ならない。
(6)10 名以上の受信先に同時にのメールを送信しようとする場合は、あらかじめ「ファイル
送受信申請」(様式第 14-5 号)に必要事項を記載した上、システム監視責任者の許可を
受け、複数人の立会いのもとで送信しなければならない。
(7)送信者が不明あるいは不審な場合は、相手先に電話等で確認が取れない限り受信しては
ならない。万一受信後不審が感じられるものについては、直ちにシステム監視者に報告し
なければならない。
(8)システム監視責任者は次の場合直ちにメールアドレスの使用を禁止し登録の抹消をする
ことができる。
⑦ 上記禁止事項に違反したことが認められたとき。
⑧ 退職の意思が表明あるいは解雇の通知がなされたとき。
第 16 条(離席時の措置)
(1)帰宅あるいは長時間の離席時には、パソコンの電源を落とさなければならない。
(2)各パソコンには、パスワード付のスクリーンセーバーを設定しなければならない。
6
第3章
機密情報の取扱い
第 17 条(個人情報の取扱)
(1) 業務上機密情報のうち特に個人情報を取り扱おうとする者は、あらかじめ「個人情報
取扱い申請書」
(様式第 17-1 号)に必要事項を記載した上申請し、情報管理責任者に鍵
付き保管庫番号、保管番号の指定を受け、紙媒体、電子メディアのソースを保管しなけ
ればならない。
業務で使用する際は情報管理責任者の立会いの上保管庫より借り受けするものとし、
業務終了あるいは離席次には同様に返却しなければならない。
(2) 個人情報の電子データのバックアップ、加工を行うためにローカルパソコンで作業を
行おうとするときは、システム監視責任者から「個人情報取扱い申請書」(様式第 17-1
号)により格納先及びパスワードの発行を受けた後データ保管を行わなければならない。
業務を行おうとする場合は格納先に直接アクセスして使用し、業務用 PC 等に複製し使用
してはならない。
(3) 業務終了後の情報ソース・中間資料・成果資料の取り扱いについて、
「個人情報取扱い
申請書」(様式第 17-1 号)に必要事項を記載し申請した上、破棄・返却・納品の処理を
行い、原則的に社内に残してはならない。予想される後続作業でやむを得ず保管の必要
がある場合は、独立したメディアに複製しパスワードをかけた上、鍵付き保管庫に保管
するものとし、サーバ内に残してはならない。
破棄の方法は紙媒体については焼却処分、磁気メディアについては物理的破壊による
ものとする。
(4)インターネットで個人情報を収集しようとする場合には、あらかじめ「個人情報取扱い
申請書」
(様式第 17-1 号)に必要事項を記載した上、システム監視責任者の許可を受け、
収集後そのファイルの確認を受けなければならない。
(5)個人情報を含むデータを外部ネットワークに送信するときの手続きは、大量/大容量の
データにかかわらず、第 15 条(Eメールの送受信制限)
(4)
(5)の条項によるものと
し、あらかじめ「個人情報取扱い申請書」(様式第 17-1 号)に必要事項を記載した上、
システム監視責任者自身がパスワードをかけ、Webサーバにアップロードしなければ
ならない。
第 18 条(資料の整理整頓)
(1)常に机上の整理整頓に心がけ、帰宅あるいは長時間の離席時には、機密情報の含まれる
資料については破棄あるいは所定の保管庫に格納し、放置してはならない。
(2)業務に関連した借用図面・出力紙等は保管場所を定め、作業時以外は放置してはならな
い。
(3)ファックス、出力機器周辺及び机上に放置されている機密情報を発見した社員は、直ち
に機密情報保護管理者に報告し、その指示を仰いだうえ所定の鍵付き収納箱に破棄する
ものとする。
(4)ファックス・郵便物は、宛名人への手渡しを原則とするが、不在の場合は情報管理責任
者の指示を仰ぎ処理しなければならない。
第 19 条(紙ゴミの処理)
(1)業務上発生した紙ゴミ(不用な図面・出力紙等)のうち、機密情報は一般ゴミと分別し、
所定の鍵付き収納箱に破棄しなければならない。
(2)鍵付き収納箱に破棄された機密情報は、指定された施設で焼却処分しなければならない。
第 20 条(輸送/運搬方法)
機密情報の輸送/運搬時の情報漏洩を防止するための対策は、次のとおりである。
(1)送付する場合は、送付先担当者にあらかじめFAX・Eメール等により、その旨を通知
7
し、郵送については書留郵便とし、宅配便においては伝票に“重要”な旨を記載した上、
発送しなければならない。
(2)手荷物として運搬する場合は、車両等に放置せず運搬者が常に持ち歩き、寄り道をして
はならない。
(3)輸送時のデータは、暗号化またはパスワードで保護し、パスワードを知り得るメモ等と、
データの記録メディアを一緒に置いてはならない。
(4)機密情報の受渡しの際は、
「受け渡し記録」
(様式第 20-4 号)により、受け渡し者と受け
手側の双方でサイン確認し、受渡しの記録は一定期間保管しなければならない。
第 21 条(外部委託者への措置)
外注業者及び在宅委託者に業務を行わせようとする際の手続きは、次のとおりである。
(1)外注業者については「会社調査書」
(様式第 21-1 号)、在宅委託者については履歴書を外
注伺い書に添付して機密情報保護管理者に届け出なければならない。
(2)外部委託者に「機密情報保護に関する誓約書」(様式第 21-2 号)を提出させ、業務委託
期間中これを保管するとともに、誓約内容が遵守されていることを定期的に確認しなけ
ればならない。
(3)外部委託者に機密情報の含まれる業務を委託するときには、適切な措置を講じた上(デ
ータ分割等)、必要な範囲に限定しなければならない。
外部委託者の業務終了後、外部委託者が複製物等を保有していないことを確認した上、
「返却または破棄の確認書」(様式第 20-3 号)を受領し、一定期間保管しなければなら
ない。
8
第4章
社内体制の整備
第 22 条(保管庫の設置)
社内に、次の各鍵付き保管庫を設置する。
(1)機密情報保管庫
(2)システム保管庫
(3)セクションごとの保管庫
総務・経理用保管庫
計測系保管庫
測量系保管庫
営業系保管庫
(4)未使用メディア保管庫
第 23 条(機密情報保管庫の管理)
機密情報保管庫には下記に挙げるものを保管するものとし、機密情報保護管理者及びシス
テム監視責任者が鍵により管理を行う。
(1)個人情報に関する紙媒体あるいは電子メディア
本規程第 17 条(1)「個人情報取扱い申請書」手続きによるデータベースで収容物の管理
を行うものとする。
(2)バックアップメディア等
本規程第 10 条(4)④「メディア受給申請書」の保管手続き及び同条(6)「メディア借
受申請書」手続きによるデータベースで収容物の管理を行うものとする。
(3)客先からの借用物
客先から業務のため物品を借用する際は、必ず「借用書」(様式第 23-3 号)を提出しその
控えをもって保管記録とする。客先返納の際は同控えに機密情報管理者が押印をし返却担当
者に手渡すものとする。
第 24 条(システム保管庫の管理)
システム保管庫には下記に挙げるのを保管するものとし、システム監視責任者が鍵により
管理を行う。
(1) プログラム
本規程第 12 条(2)
「プログラム購入/ダウンロード申請書」手続きによるデータベースで
収容物の管理を行うものとする。
(2) PC周辺機器の外部記憶装置・プログラム保護外部キー等
本規程第 11 条(2)
「機器購入/持込申請書」手続きによるデータベースで収容物の管理を
行うものとする。
第 25 条(セクションごとの保管庫の管理)
セクションごとの保管庫は報常時施錠し、個人情報・客先借用品を除く各セクションで管
理する機密情報を保管する。情報管理責任者は鍵をもって管理し収容物の状況を常に把握し
ていなければならない。
第 26 条(未使用メディア保管庫の管理)
未使用メディア保管庫はシステム監視責任者が鍵により行うものとし、本規程題 10 条(2)
「メディア管理表」及び同条(3)「メディア受給申請書」手続きによるデータベースで収
容物の管理を行うものとする。
第 27 条(その他の収納庫)
(1) 共有する収納庫・収納棚等は、資料、業務の状況により情報管理責任者が協議によりエ
リアを決定する。
(2) 社員には最低 1 個の管理用の収納庫を割り当てるものとするが、機密情報・メディア等
9
の保管をしてはならない。
(3) 業務中以外の資料等は離席時・着席時にかかわらず常に保管庫・収納庫等に収納し机上
に放置してはならない。
(4) 機密情報保護管理者はいつでも各人により管理されている収納庫の保管状況を管理者
の許可を受けず検査することが出来る。本規程に違反する収納物を発見した場合は直ちに
適切な処置を命じ、収納庫管理者は直ちに処理を行うとともに顛末書を持って機密情報保
護管理者に報告するものとする。
第 28 条(システム管理室の設置)
施錠可能なシステム管理室を社内に設置し、サーバ、無停電電源装置、バックアップ装
置を配置し、システム監視責任者が管理室の鍵を厳重に管理することとする。
第 29 条(Webサーバ及びEメールサーバの管理)
Webサーバ・Eメールサーバの管理は外部に委託し、大容量データのアップロード、
ホームページの更新、アカウントの発行等、Webサーバへのアクセスはシステム監視責
任者の専決権限とする。
第 30 条(サーバの設置)
社内に設置したサーバには、次の各領域を確保する。
(1)経理・総務に関わる領域(ワークエリア・機密情報エリア)
(2)営業に関わる領域(ワークエリア・機密情報エリア)
(3)個人情報保護に関わる領域
(4)客先借用データエリア
(5)測量物件エリア(ワークエリア・機密情報エリア)
(6)計測物件エリア(ワークエリア・機密情報エリア)
(7)社内文書エリア
(8)業務用一時的領域
(9)システム運用・管理領域
第 31 条(サーバの管理)
(1)システム監視責任者は各設定したサーバーの管理について次の通り厳重に管理しなけれ
ばならない。
① パスワードは定期的に変更し、特に個人情報となり得るデータを収納するフォルダに関
しては一ヶ月に一回以上変更しなければならない。
② サーバ内のファイル・フォルダ等を定期的に監視するとともに、アクセス制限を定期的
に見直さなければならない。
③ サーバのバックアップは自動処理によるほか、定期的にバックアップデータを外部メデ
ィアに保存し、専用保管庫に一定期間保管しなければならない。
④ 外部ネットワーク先のサーバへのアクセス履歴をアクセスログファイルとしてサーバ
管理者用フォルダに一定期間保管し、適宜監視しなければならない
(2)システム監視責任者が発行するユーザー名とパスワードによりサーバの領域を使用する
ものは、その情報を第三者に漏洩したり漏洩のおそれがある行為を行ったりしてはなら
ない。
(3)情報管理責任者は与えられた領域の直下にフォルダ作成基準に基づいてフォルダを作成
し、業務を行おうとする社員の使用を認めるものとする。
(4)サーバを使用とする社員は、情報管理責任者から使用するフォルダのユーザー名及びパ
スワードの交付を受け業務を行うことができる。
(5) 新規ファイルを作成する社員はファイル命名基準に基づいてファイルを管理し、中間フ
ァイル等の不要なファイルをサーバ内に残してはならない。
(6)ファイルの損傷等でバックアップデータを使用とする社員は、システム監視責任者に報
10
告し復旧を受けなければならない。システム監視責任者は破損の状況等を聴取した上デ
ータ復旧手順書に従ってデータを復旧しなければならない。
11
第5章
ローカルパソコンの運用
第 32 条(ローカルパソコンの使用方法)
ローカルパソコンの使用方法は、次表のとおりとする。
項
目
ネットワーク
インターネット
管理者
Eメール
業 務 用 P C
入 力 用 P C
専 用 P C
持 出 用 P C
指定のユーザー 指定のユーザー 指定のユーザー 指定のユーザー
名・パスワード・ 名・パスワード・ 名・パスワード・ 名・パスワード・
ドメイン使用。
ドメイン使用。
ドメイン使用。
ドメイン使用。た
だし、外部での接
続は不可。
接続できるが、許 接続できない。
接続できない。
接続できない。
可のない業務外使
用は禁止。
使用する社員
システム管理責任 システム管理責任 情報管理責任者
者
者
接続できるが、私 接続できない。
接続できない。
接続できない。
用は禁止。
システム監視責任者の許可を受けたオペレーティングシステムのみをインストー
ルできる。
システム監視責任者の許可を受けたプログラムのみをインストールできる。
システムドライ
ブ・フォルダ
プログラムドラ
イブ・フォルダ
ワ ー ク ド ラ イ 社内LANで共有するドライブ・フォルダ以外に個人覚え用フォルダの作成を認
ブ・フォルダ
める。
使用する社員が毎 システム監視責任 システム監視責任 情報管理責任者が
ウィルスチェッ
日行う。
者 が 定 期 的 に 行 者 が 定 期 的 に 行 定期的に行う。
ク
う。
う。
原則として接続で 接続できない。
接続できない。
データの受け渡し
きない。ただし、
時にシステム監視
システム監視責任
責任者又はシステ
外部メディア
者又はシステム監
ム監視員の立会い
視員の立会いの下
の下で情報管理責
で行うことができ
任者が作業 を行
る。
う。
第 33 条(ローカルパソコンの管理方法)
ローカルパソコンの管理方法は次のとおりとし、システム監視責任者は予告せずに使用状
況を検査することができる。
(1)ローカルパソコンにはシステム監視責任者が発行するパスワードを設定し、起動時にパ
スワードでオペレーションシステムが起動するように設定しなければならない。
(2)パソコンのドライブは、原則としてシステムドライブ、プログラムドライブ、ワークド
ライブに三分割し、ワークドライブは個人覚え用と一時作業用のフォルダに分け、デー
タの保存はできない。なお、ドライブをやむを得ず分割できない場合にはシステムフォ
ルダ、プログラムフォルダ、ワークフォルダの区分を明確にし、システム監視責任者の
承諾を得ることとする。
(3)システム監視責任者からオペレーティングシステム更新の指示があった場合は業務用 PC
12
の使用者は直ちに更新し、更新した旨をシステム監視責任者に報告しなければならない。
(4)作業者がローカルパソコンにデータを移して業務を行おうとする場合は、情報管理責任
者の許可を受けなければならない。また、ローカルパソコンで作業データを作成したと
きは、作業終了後、直ちに削除しなければならない。
(5)ローカルパソコンの使用者はその使用の方法を変更しようとする場合は「機器購入/持込
申請書」
(様式第 11-2)に必要事項を記入した上、システム監視責任者の許可を受けなけ
ればならない。
(6)新たに導入されたパソコンは、システム監視責任者が「機器購入/持込申請書」(様式第
11-2)に基づき各種の設定を行うものとし、システム監視責任者の許可を得えずにその
設定を変更してはならない。
(7)ローカルパソコンの使用者は、ローカルパソコンに不具合が生じた場合、直ちにシステ
ム監視責任者に報告し、状態を検証した後、その指示に従わなければならない。
第 34 条(ウィルス・スパイウェア対策)
(1)ローカルパソコンには、ウィルス・スパイウェア対策ソフトをインストールし、自動更
新の設定を行わなければならない。また、システム監視責任者はサーバ側で各クライア
ントに対し最新バッチファイルでの更新確認を行わなければならない。
(2)ウィルス・スパイウェアチェックはシステム監視責任者から特に指示があった場合のほ
か、適宜行うこととし、ウィルス・スパイウェアが発見された場合には、直ちにネット
ワークケーブルを抜き使用を停止した上、システム監視責任者に報告しなければならな
い。報告を受けたシステム監視責任者は直ちにウィルスを削除し、事故対策委員長と対
策を協議しなければならない。
(3)システム監視責任者は常にウィルスに関する情報を収集し、緊急度の高いウィルス・ス
パイウェアが発見されたときは即座に社内に周知し、ローカルパソコンの使用者は直ち
にウィルスチェックを行わなければならない。
第5章
雑則
第 35 条(機密情報の漏洩及びそのおそれが発生した場合の措置)
以下に掲げるような機密情報の漏洩及びそのおそれが発生した場合、その事実を最初に
知った社員が適切な手段(携帯電話等)を講じて事故対策委員全員に連絡しなければなら
ない。
(1)機密情報を収納したパソコンあるいは記憶媒体の紛失又は盗難
(2)機密情報を収納した書類等の紛失又は盗難
(3)顧客・取引先からの漏えいの指摘及び苦情
(4)Eメール又は FAX による誤送信
(5)インターネット上での機密情報漏洩の発覚
(6)社内パソコンへの不正侵入の形跡
(7)業務委託先の経営破綻による連絡不能又は盗難情報等の入手
(8)社員以外知りえない情報の社外からの指摘又は苦情
(9)緊急度の高いウィルス・スパイウェアへの感染
第 36 条(事故対策委員会の召集)
機密情報の漏洩及びそのおそれが生じたことが通知された場合、事故対策委員長は緊急
性を判断し、次の事項を決定し、全委員に指示をしなければならない。
(1)事故対策委員会招集までの応急的処置
(2)事故対策委員会の招集日時及び場所
13
第 37 条(事故対策委員会)
事故対策委員長は、事故対策委員のほかに必要に応じ関係人を招集して事故対策委員会を
開催し、次の事項を決定しなければならない。
(1)事実の把握と原因の究明(事情説明要旨の作成)
(2)漏洩被害者に対する謝罪等の対応
(3)関係者への報告の方針
(4)マスコミへの対応
第 38 条(罰則)
社員が本規程に違反し、又は職務を怠ったときは次の懲戒処分を受ける。
(1) 解雇
①悪意をもって情報を漏洩あるいはそのおそれを生じさせた場合
②重大な過失により情報を漏洩あるいはそのおそれを生じさせ情状の酌量の余地の無い場合
③過去に減俸処分を複数回受け情状の酌量の余地の無い場合
(2) 減俸(1 か月以上 6 か月以下、月俸の 10 分の1以下の不支給)
①重大な過失により情報を漏洩又はそのおそれを生じさせたが、情状の酌量の余地がある場
合
②軽微な過失により情報を漏洩又はそのおそれを生じさせた場合
③訓告により始末書を 3 回提出した場合
(3) 訓告(社内に文書による訓告を発表し始末書を提出させる)
①本規程に違反し、説諭を受けても改善の兆しがみられない場合
②所属長が部下の違反に対し、説諭等の適切な処置を行わず放置した場合
(4) 説諭
本規程に違反した社員に所属長が説諭し、機密情報保護管理者に報告する。
第 39 条(退職者への措置)
(1)退職する社員には「個人情報保護等に関する誓約書」に記載された退職後の漏洩防止に関す
る事項を伝達し、違反したものには直ちに法的措置を講じる。
(2)解雇による退職を通告されたものは、その時点で自己が使用しているローカルパソコンを
ネットワークから切り離すとともに、メールアドレスの登録を抹消する。
(3)退職を申しでたものは、その時点で自己が使用しているローカルパソコンをネットワーク
から切り離すとともに、E メールは退職の日まで情報管理責任者が管理し、退職後にアド
レスの登録を抹消する。
附則
(1)本規程は平成 18 年 9 月 1 日より施行する。
以上
14
Fly UP