データ管理方法に関する規定
1. 情報セキュリティに対する組織的な取組み
1. 1. 機密情報の利用、保管、持ち出し、消去、破棄における取り扱い手順を定める
- 機密情報は、他の情報と区別して保管すること
- 機密情報の管理者を定めること
- 機密情報にアクセスできる人の範囲を定めること
- 最新の従事者(管理責任者を含む)を「従事者台帳」で管理すること
- 機密情報を受領した場合には「機密情報管理台帳」に記録すること
- 機密情報の利用記録を残しておくこと
- 機密情報を複製または電子メールで送信する場合には、事前に委託元の承認を得ること
- 機密情報を複製または電子メールで送信した場合には、「機密情報管理台帳」に所在地およびその管理者を記録すること。機密情報および機密情報を取り扱う機器の保安区分外への持ち出しは禁止すること
- 機密情報を持ち出す場合、事前に委託元の承認を得ること
- 機密情報を持ち出す場合、事前に機密情報の管理者の承認を得ること
- 機密情報を持ち出す場合、ファイルの暗号化を行うこと
- 機密情報を格納する記憶媒体は、セキュリティロック機能を有すること
- 持ち出しの利用を終えた機密情報は、正しく消去されているか確認すること
- 機密情報を扱う業務の担当を外れた業務従事者(管理責任者を含む)が保有していた機密情報の廃棄・消去を確認すること
- 機密情報および機密情報が化体された物(試作品等)の廃棄手順を定めること
- 委託業務の終了時、機密情報が安全に廃棄、消去されたことを示す記録を整備すること。また、委託元に報告すること
- 機密情報を格納していたサーバを廃棄、売却またはリース返却する時は、データ消去ツールなどでデータの完全消去を行うこと
- バックアップのルールを定め、定期的に実施すること。機密情報を扱う情報システムの全てのバックアップ媒体は、機密区分に応じた管理を行うこと
- 機密情報を含む裏紙は利用しないこと
- 機密情報が記されたFAX、プリントアウトその他の書類が長時間放置されたままにならないようなルールの運用をすること
- 情報セキュリティが適正に維持、運用されていることを確認するため、定期的に確認すること
- 定期的に機密情報取り扱い業務の内部点検を実施すること
1. 2. 機密情報に係る業務の再委託に関する事項を定める
- 業務の再委託を行う場合は、実施理由・必要性・内容・再委託先についての書面を事前に委託元へ提出し承認を得ること
- 再委託先と機密保持に関する契約を締結すること。委託元から委託先に求める情報セキュリティ要求事項と同等の内容を含めること
- 項目例:
・守秘義務
・機密保持の対象となる情報の範囲
・守秘義務期限
・使用目的の制限
・アクセス者は必要最小限に限定
・機密情報の管理方法
・機密情報の複製の制限
・委託契約終了後の機密情報の返却または廃棄の規定
・委託元からの機密保持に関する確認措置の規定
・契約違反時の措置
・無断での再委託の禁止
・私用PCの業務使用禁止 - 機密情報に係る再委託先との業務について手順を文書化すること
- 再委託先における情報セキュリティ対策が適切に維持・運営されていることを定期的に確認すること
- 機密情報を再委託先に開示する場合には、機密情報であることを明示すること
- 再委託先への機密情報の受け渡しに関する記録を行うこと
- 再委託先への機密情報の受け渡しに際し、暗号化を行うこと
- 再委託先に開示した機密情報の廃棄・消去に関する記録を再委託先から取得すること
1. 3. 機密情報を扱う従事者に対して遵守事項の周知と、情報セキュリティに関わる知識習得の機会を与える
- 機密保持に関する遵守事項を従事者に周知させること
- 機密保持を実践するために必要な教育を定期的に行い、受講記録を作成すること
- 機密情報を公衆の場(居酒屋や電車の中など)で公言しないこと
2. 物理的セキュリティ
2. 1. 機密情報を保管および扱う場所の入退管理と施錠管理を行う
- 機密情報を保管および扱う区域を定めていること
- 機密情報を保管している部屋(事務室)又はフロアーへの侵入を防止するための対策を行っていること
- 機密情報を保管している部屋(事務室)又はフロアーに入ることができる人を制限し、入退の記録を取得していること
- 機密情報が格納された記憶媒体、紙資料、ノートPC等は施錠管理すること
- 機密情報を取り扱う情報システムを格納するサーバルームへの入退館の記録やサーバへの作業記録を保存し、事故が発生した際、後からトレースできるようにすること
- 鍵またはIDカードなどの保管や所有について定期的に確認すること
- 入退出記録(カメラ画像を含む)を定期的に確認すること
2. 2. 機密情報を保管および扱う場所への個人所有物の持込み・利用を禁止する
- 会社による管理機能のない個人所有のPC・記憶媒体等(※)の持込みを禁止すること
- 会社による管理機能のない個人所有のPC・記憶媒体等(※)の業務利用を禁止すること
- 会社による管理機能のない個人所有のPCの社内ネットワーク接続を禁止すること
- 記憶媒体等(※)の利用は会社貸与品のみとし、個人所有の記憶媒体等(※)の利用を禁止すること
※記憶媒体(SDカード、USBメモリ等)、カメラ付き携帯電話、携帯情報端末(PDA)、音楽プレーヤーなど
3. 機密情報が格納される情報システムの運用管理
3. 1. ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う
- ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること
- ウイルス対策ソフトが持っている機能(ファイアーウォール機能、スパムメール対策機能、有害サイト対策機能)を活用すること
- サーバやクライアントPCについて、定期的なウイルス検査を行っていること
- ノートPCには、BIOSパスワード、HDDパスワードの設定および暗号化ソフトの導入をすること
- ファイル共有ソフト等、組織で許可されていないソフトウェアのインストールを禁止していること。禁止ソフトがインストールされていないか定期的に確認すること
- 機密情報をコピーして持ち出さないよう、記憶媒体が接続できない設定とすること
- 情報システムの時刻は定期的に同期をとること
- 業務に不要なwebサイトへのアクセスを制限すること
3. 2. 情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う
- 脆弱性の解消(修正プログラムの適用、Windows update等)を行っていること
- 不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認すること
- Webブラウザや電子メールソフトのセキュリティ設定を行うこと
4. 機密情報へのアクセス制御の状況
4. 1. 機密情報へのアクセスを制限するために、利用者IDの管理(パスワードの管理など)を行う
- 機密情報が扱える利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識別と認証を確実に行うこと
- 利用者IDの登録や削除に関する規程を整備すること
- パスワードは有効期限を設け、定期的に変更すること。また、空白のパスワードや単純な文字列のパスワードを設定しないよう利用者に求めること
- 離席する際は、ソフトウェア的なロック機能によってパソコンを保護すること
- PCやサーバ、ネットワーク機器を社内ネットワークに接続する場合は、情報セキュリティ担当者の承認を得ること
- 業務従事者への機密情報アクセス権の付与状況を定期的に見直し、必要のないアクセス権を削除すること
- 遠隔診断ポートの利用は、保守サポートなどの必要な場合のみに限定すること
- 遠隔診断ポートを利用した接続は、認証機能やコールバック機能等を備えるなど、適切なセキュリティ対策を施すこと
5. 情報セキュリティ上の事故対応
5. 1. 機密情報漏えいが判明した時に、状況を把握し委託元にすみやかに報告する
- 機密情報漏えい発生時の体制および連絡網を整備し、すべての従事者に周知すること
- 機密情報漏えいが発生した場合、漏えいの発生が疑われる場合、または漏えいに至る可能性のある問題が発見された場合には、すみやかに情報セキュリティ担当者に報告すること
- 機密情報について上記の問題が発生した場合、すみやかに委託元に報告すること
- 機密情報漏えいが発生した場合には、委託元と再発防止策を協議し、従事者に周知すること