ISMS 情報セキュリティ基本方針

本基本方針は、ISMS組織（以降「当組織」と記載）が保有する情報資産の機密性、完全性及び可用性を維持するために当組織が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

当組織は、情報資産に対する脅威として以下を想定し、情報セキュリティ対策を実施する。

1. 部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏洩・破壊・改ざん・消去等
2. 情報資産の無断持ち出し、無許可ソフトウエアの使用等の規定違反、プログラム上の欠陥、操作ミス、故障等の非意図的要因による情報資産の漏えい・破壊・消去等
3. 地震、落雷、火災等の災害によるサービス及び業務の停止等
   尚、通常想定することが難しい、「戦争」、「テロ活動」、「ライフラインの長期停止」については、経営陣がリスクを保有するレベルにあると判断し特段の対応を講じないものとする。

1. 情報資産の管理等
   当組織が管理する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
2. 物理的セキュリティ
   サーバ、ネットワーク及びパソコン等の管理について、物理的な対策を行う。
3. 人的セキュリティ
   情報セキュリティに関して従業員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う。
4. 技術的セキュリティ
   サーバ・コンピュータの管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を行う。
5. 業務委託先の管理
   業務委託は、情報保護・セキュリティの観点から慎重に業者選定をすすめ、十分な検討を経て適格な相手先を選定する。 また、委託契約等において情報の適切な管理のための必要な措置、秘密保持、再提供の禁止、検査への協力等情報の管理に関する事項について協議する。
6. 事業継続管理
   適用範囲における事業およびサービスの可用性を高めるための施策を打ち、事業の継続性を高める活動に取り組む。
7. 法令遵守
   ISMS組織要員は、職務の遂行において使用する情報資産を保護するために、次の法令をはじめとする関係法令を遵守し、これに従わなければならない。
1. ① 個人情報の保護に関する法律
2. ② 著作権法
3. ③ 不正アクセス行為の禁止等に関する法律

ISMSについての内部監査を定期的に行い、是正等が必要な場合はそれらを積極的に実施する。

ISMS組織要員が、本方針及び情報セキュリティに関連規程に違反する行為を発見した場合は、ISMS委員会に報告する。
報告を受けたISMS委員会は、報告内容を協議し、以下の対応を行う。

【１．違反内容が軽微な場合】

• ・ISMS推進委員長限りでの注意、指導、訓戒としその記録を残す

【２．違反内容が故意、重過失の場合】

• ・社員の場合は、当社が定める『就業規則』の定めを適用する
• ・外注要員の場合は、契約書ならびに覚書等の記載事項の定めに従う
• ・役員の場合は、役員会の審議にしたがって対処する

【３．違反内容が個人情報に関わる場合】

• ・当社個人情報保護規程の定めに従う