Security Policy

セキュリティポリシー

情報セキュリティに対する取り組み 情報セキュリティに対する取り組み

 

株式会社ATGS(以下、「当社」)では「情報セキュリティ基本方針」に基づき情報管理を行なっております。 当社の情報セキュリティマネジメントシステムは、ISO/IEC 27001:2013 / JIS Q 27001:2014の要求事項に適合した情報セキュリティマネジメントシステムであるとの認証を得ております。



認証登録番号 IA140629
認証登録日 2015年1月15日

情報セキュリティ基本方針 情報セキュリティ基本方針

 

当社は、情報セキュリティの重要性を認識し、お客様からお預かりした情報、当社が保有する情報資産を的確に取り扱うとともに、様々な脅威から保護することを目的として、情報セキュリティ対策の基本方針を定め、お客様からの信頼に応える企業であり続けることを、ここに宣言いたします。

1.目的
本情報セキュリティ基本方針(以下、「本基本方針」)は、情報資産を適切に保護するための基本を定め、継続的な情報セキュリティへの対策を目的とします。

2.適用範囲
本基本方針は当社が事業活動の中で取り扱う情報資産、およびそれらに係わる全ての関係者を対象とします。

3.情報セキュリティ管理体制
当社は、情報セキュリティに関する組織的かつ継続的な運用のため情報セキュリティマネジメントシステムの体制を整え、情報セキュリティ管理責任者(CISO)を任命し、またCISOの指示のもと情報セキュリティ委員会を設置します。

4.情報セキュリティ教育
当社は、全ての従業員に対し、情報セキュリティへの知識と意識向上を目的として継続的な教育活動を行います。

5.情報セキュリティ監査
当社は、定期的に内部監査を実施し、情報セキュリティ対策の有効性を客観的に評価するとともに継続的な維持、改善に取り組みます。

6.情報資産の保護
当社は、保有する全ての情報資産の機密性、完全性、可用性を確保するためにリスク分析・評価を行い、情報セキュリティ管理体制のもと適切な情報資産の保護に取り組みます。

7.法令・規範の遵守
当社は、個人情報保護法を含め情報セキュリティに関する法令、その他の規範および契約上のセキュリティ要求事項を遵守します。

制定日 2013年4月1日

株式会社ATGS
代表取締役社長 前澤 央

情報セキュリティ管理規程 情報セキュリティ管理規程

 

前文 情報資産は、当社の重要な経営資源の一つであり、全社共通の資産としてその万全な保全、共有化によってさらにその価値を高め、全社の経営活動に有効かつ効率的に活用していかなければならない。加えて、情報資産の的確な管理と運用を通じ、お客様や取引先の信頼関係を深め、将来にわたり共存共栄の基盤を強化し、全員経営の真価をさらに追及するものである。

(目的)
第1章 総則

第1条 本規程は、職務遂行上、情報資産を利用するにあたり、その活用と保全に関して、当社役員と社員とが順守すべき基本的事項を規定し、その適切な運用によって全社的に高度で均質な情報セキュリティ管理を実現させ、もって経営管理レベルの向上を図ることを目的とする。

(適用範囲)
第2条

当社の情報資産のセキュリティ管理は、この規程に則り行う。
2 金融商品取引法(関係政・省令を含む)に規定する「重要事実」等に関する情報の管理については、この規程のほか、別途定める「インサイダー取引防止に関する規程」によるものとする。

(用語の定義)
第3条 この規程における用語の定義は次のとおりとする。

(1)「情報資産」とは、非電子化情報を含む全ての情報、及び情報を利用する手段をいう。
(2)「情報資産」には、別段の定めのない限り、職務の遂行によって新たに生成又は拡充された情報も含むものとする。
(3)「情報資産」には、当社の所有する情報資産だけでなく、他者から正当に入手し保有する情報資産も含むものとする。
(4)「他者」とは、①当社以外の法人・団体、②当社の役員・社員以外の個人をいう。
(5)「社員」とは、当社と雇用関係を有するすべての者をいう。
(6)「電子化情報」とは、情報システムによって処理が可能な形態にある情報をいう。
(7)「非電子化情報」とは、電子化情報以外の情報をいう。
(8)「情報管理責任者」とは、当該情報の内容そのものの変更、開示等に関する意思決定権及び当該情報の管理権限を有する者のことをいい、通常、当該情報を作成した者の所属する部署の部レベル以上の組織の組織責任者がこれにあたる。ただし、当該組織責任者を経由せずに役員又はその他上位者が担当者に「厳秘」又は「秘」情報の作成等を指示する場合には、当該情報についての情報管理責任者は直接指示をした当該役員又はその地位上位者とする。
(9)「秘密」とは、第15条の規程により秘密区分が「厳秘」又は「秘」に区分されたものをいう。
(10)「開示」とは、手段・方法の如何を問わず、又社内外を問わず、特定の相手方又は不特定多数の他者に開示することをいう。
(11)「公表」とは、不特定多数の他者に開示することをいう。
(12)「アクセス」とは、情報の閲覧を含み情報を使用すること、及び情報利用手段を使用することをいう。
(13)「アクセス権限」とは、アクセスできる権限をいう。
(14)「アクセス権限者」とは、アクセス権限を有する者をいう。
(15)「情報セキュリティ」とは、必要な時にアクセス権限者のみが正しい内容の情報が利用できるよう、情報資産を安全に保護することをいう。
(16)「情報セキュリティの管理」とは、情報セキュリティを維持、確保、向上させるため、情報資産及びその環境を管理することをいう。

(規程の改廃)
第4条

この規程の改廃は、情報セキュリティ管理担当役員が立案し、取締役会の決議による。

第2章 情報セキュリティの保持に関する基本的責務
(情報セキュリティの保持義務)

第5条 役員及び社員は、情報資産のセキュリティを保持する義務を負う。

(情報資産の不正入手の禁止)
第6条

役員及び社員は、他者の情報資産を非合法的手段はもとより、社会通念上不適切な手段により入手してはならない。また、その提供を強要してはならない。

(情報資産の不正利用等の禁止)
第7条

役員及び社員は、情報資産を業務以外の目的に利用してはならない。
2 役員及び社員は、使用目的が限定されている情報資産を目的以外に使用してはならない。
3 役員及び社員は、情報資産を許可なく社外に持ち出したり他者に利用させてはならない。
4 役員及び社員は、情報の取扱に関する諸法令を順守しなければならない。
5 スマートフォン等の携帯端末機器により情報資産を使用するときは、第三者が当該携帯端末機器を閲覧することができないようパスワードの設定など必要な措置を講じるものとする。

(協力業者への業務の依頼)
第8条

組織責任者は、職務の遂行上必要な場合に限り、社外の協力業者を指定し、情報資産に係る業務を依頼することができる。 ただし、この場合、業務遂行に必要な範囲に限定して伝達するとともに、協力業者による守秘及び複製物の取扱を含む、情報資産のセキュリティを秘密保持契約の締結等により確保しなければならない。
2 組織責任者は、協力業者に業務を依頼した場合には、当該業務終了後における当該情報資産及びその複製物の返却・廃棄等の処理結果を確認しなければならない。

第3章 情報セキュリティ管理体制
(会社の情報セキュリティ管理の統括)
第9条

情報セキュリティ管理を委嘱し、委嘱された役員(以下「情報セキュリティ管理担当役員」という。)は、当社の情報セキュリティ管理を統括するとともに、その責任を負う。

(情報セキュリティ管理の徹底)
第10条

情報セキュリティ管理の徹底を図るため、情報セキュリティ管理担当役員のもとに、情報セキュリティ管理組織を置く。
2 情報セキュリティ管理組織は、情報セキュリティ担当役員を補佐する。
3 情報セキュリティ管理組織は、各部門の管理状態を実査し、適切に助言、勧告するとともに、情報セキュリティ管理担当役員に報告する。

(情報セキュリティの管理責任)
第11条

技術統括責任者は、情報セキュリティ管理総括責任者として、各部門における情報セキュリティの管理を総括するとともに、その責任をおう。
2 組織責任者は、第5条の義務に加えて、担当職務に関連する情報セキュリティの管理責任を負う。

(プロジェクト等の情報セキュリティ管理)
第12条

複数の部門がプロジェクト等を編成して職務を遂行する場合、そのリーダーは、当該プロジェクトに関する情報の情報管理責任者となるとともに、情報セキュリティ管理全般の責任を負い、必要な措置を講じなければならない。

(管理の基本)
第4章 情報セキュリティの管理
第13条

情報資産は、アクセス権限者が正しい内容の情報を必要な時に利用できる状態に保つとともに、安全に管理し保護しなければならない。

(管理の基本)
(情報セキュリティの具体的な管理方法)
第14条

情報セキュリティの具体的な管理方法は、別途定める「情報セキュリティ管理運用のガイド」(以下、「運用のガイド」という。)によるものとする。
2 情報セキュリティ管理総括責任者は、本規程の趣旨に反しない限りにおいて、各部門における情報セキュリティ管理の具体的な実施方法を規定し、情報セキュリティ管理担当役員の承認を得た後、各部門にこれを徹底する。
3 情報セキュリティの管理方法は、本規程及び関連諸規定に準拠するとともに、関係諸法令等に示された基準を満たすものでなければならない。

(情報の秘密区分)
第15条

情報は、程度に応じ、「厳秘」「秘」「社外秘」「公開」に区分(以下「秘密区分」という。)する。 ただし、情報セキュリティ管理総括責任者は、情報セキュリティ管理担当役員の同意を得たうえで、各部門において、秘密区分を細分化することができる。

(情報管理責任者の役割)
第16条

情報管理責任者は、みずからが管理責任者となっている情報について、次の各号に掲げる事項を実施する。
(1)秘密区分の付与及びその明示
(2)秘密区分に応じたアクセス権限者の決定、及び当該アクセス権限者に許諾する範囲の決定
(3)社外への持ち出し及び他者への開示に関する許可等の判断
(4)秘密保持契約に基づく情報資産である旨の表示
(5)秘密区分に応じた廃棄処理及びその確認
(6)秘密区分に応じた情報内容の保全
(7)使用目的を限定する必要がある場合における使用目的の設定
(8)必要に応じた第1号及び第3号に関する有効期間の設定
(9)その他関連事項

(秘密区分の付与)
第17条

「厳秘」及び「秘」に区分する秘密情報は、別途定める情報及び情報管理者が指定する情報とする。ただし、「厳秘」への指定は、必要以上に行わないように留意しなければならない。
2 秘密情報の取扱は、「運用のガイド」によるものとする。

(秘密区分の変更)
第18条

情報に付与された秘密区分及びその有効期限の変更は、当該情報の責任者のみ行うことができる。

(アクセス権限の付与)
第19条

情報管理責任者は、アクセス権限を職務遂行上必要な者に付与して情報の共有化を図るものとする。ただし、アクセス権限の付与は、職務遂行上必要な範囲に限定しなければならない。
2 情報管理責任者は、アクセス権限付与の要請を受けた場合、前項に基づいて厳正に判断しなければならない。

(情報資産へのアクセス)
第20条

情報資産へのアクセスは、アクセス権限者のみ行うことができる。
2 情報資産へのアクセスは、第 16 条に基づき情報管理責任者が指定した条件のもとに行わなければならない。

(アクセスの記録)
第21条

「厳秘」に該当する情報資産へのアクセスは、その記録許諾を得た者又は権限の移譲を受けた者のみが行うことができる。

(情報内容の改変)
第22条

情報内容の改変は、情報管理責任者及び情報管理責任者の許諾を受けた者又は権限の委譲を受けた者のみが行うことができる。

(秘密保持契約等に基づく秘密の管理)
第23条

組織責任者は、他者との契約書、誓約書等により秘密保持を必要とする相手方の情報資産に関し、当該契約に基づいてこれを管理するとともに、当社内における管理について第 16 条に規定する情報管理責任者としての役割を担う。

(他者所有の情報資産へのアクセス等の管理)
第24条

他者から開示を受けた情報資産へのアクセス等の管理は、この規程を順守することに加え、開示に係る契約書、誓約書等がある場合には、それらに基づき、厳重に行わなければならない。

(立入り禁止区域)
第25条

情報セキュリティ管理総括責任者は、各部門において、アクセス権限者以外の者の立入り禁止区域を指定することができる。
2 前項で指定された立入り禁止区域においては、情報セキュリティ管理総括責任者は、アクセス権限者である旨の表示及びアクセスの記録等により管理を徹底しなければならない。
3 情報通信ネットワーク、情報システム等によって提供される機能について、情報セキュリティ管理総括責任者は、アクセス権限者以外の者のアクセス禁止領域を指定することができる。

(情報の他者への開示等)
第26条

情報の他者への開示は、秘密区分に応じて情報管理責任者の許可を必要とする。ただし、秘密区分が「公開」である情報については、許可を要しない。
2 秘密情報の他者への開示に関しては、前項の許可に加え、情報セキュリティ管理担当役員、情報セキュリティ管理総括責任者がみずからの許可を必要とする情報を指定することができる。
3 秘密情報の特定他者への開示にあたっては、秘密保持契約を締結しなければならない。
4 役員及び従業員は、退任し、又は雇用関係がなくなった後も、在職中に知り得た秘密情報を他者に開示し、又は不正に使用してはならない。
5 インサイダー取引に該当する当社の内部情報の公表は、原則として代表取締役が行う。

(不測事態への対処)
第27条

情報セキュリティに関して不測の事態が発生するおそれのある場合、又は発生した場合には、情報セキュリティ管理総括責任者は、関係部門と連携をとり、これに迅速に対処するものとする。

(情報セキュリティに関する教育)
第28条

情報セキュリティ管理総括責任者は、情報資産管理の一環として、全社員に対し、情報セキュリティの必要性・重要性に関する認識を高め、管理の具体的方法を実践するため、必要な教育を施さなければならない。
2 情報セキュリティ管理総括責任者は、関連する社外協力業者に対しても必要に応じて前項の施策を講じるものとする。

(情報セキュリティ管理の監査)
第5章 情報セキュリティ管理の監査
第29条

情報セキュリティ管理総括責任者は、各部門における情報セキュリティ管理の実態について、自主的に精査を行い、その結果を情報セキュリティ管理担当役員に報告するものとする。
2 本社管理本部は、関係部門と協力して前項及び第 10 条第 3 項の実施状況を監査する。

(懲戒)
第6章 罰則
第30条

従業員が故意又は重大な過失により、この規程に違反し、「就業規則」に定める各種懲戒に該当する場合は、同規則により措置される。 2 役員については、会社法等に照らして措置される。

附則
1.この規程は、平成25年4月1日から施行する。