1.1 目的
本マニュアルは、当社の情報資産を適切に管理し、漏えい・改ざん・紛失・不正利用等のリスクを防止することを目的とする。
1.2 適用範囲
本マニュアルは、当社に所属する全従業員(正社員、契約社員、パート・アルバイト、派遣社員、外部委託先を含む)に適用する。
情報は会社の重要な資産として、機密性・完全性・可用性を維持する。
全従業員は情報セキュリティの重要性を理解し、ルールを遵守する。
違反が発覚した場合は、懲戒処分または法的措置を取ることがある。
3.1 分類と取扱い区分
情報資産は、重要度に応じて以下のように分類する。
| 区分 | 例 | 取扱いルール |
|---|---|---|
| 機密情報 | 顧客情報、社員個人情報、契約書 | 外部持出禁止、暗号化必須 |
| 社外秘 | 社内報告書、売上資料 | 関係者以外への共有禁止 |
| 社内限定 | 業務マニュアル、議事録 | 社内ネットワーク内のみ |
| 公開情報 | プレスリリース、Web掲載情報 | 社外公開可能 |
3.2 情報資産の管理責任者
部署ごとに情報管理責任者を置き、文書・データの保管、アクセス権設定を管理する。
貸与された機器は業務目的でのみ使用する。
OS・ソフトウェアは常に最新の状態に保つ。
不要なアプリ・ソフトのインストールは禁止。
紛失・盗難が発生した場合は直ちに上司および情報管理部門に報告。
他人に推測されやすいパスワードは禁止(誕生日・社員番号等)。
パスワードは8文字以上、英数字・記号を組み合わせる。
定期的(3〜6か月)に変更する。
パスワードを他人と共有・メモ書きすることを禁止。
不審なメール・添付ファイルは開かず、情報システム担当に報告。
私的なWebサイト閲覧、SNS投稿、ファイル共有サービス利用は禁止。
外部送信時には、宛先・添付ファイルを必ずダブルチェック。
機密情報を送信する場合は、パスワード付ZIPまたは暗号化通信を使用。
USBメモリ・外付けHDDなどの使用は原則禁止。
やむを得ず使用する場合は上長承認を得る。
機密情報を外部に持ち出す際は暗号化する。
紙資料の持ち出しも原則禁止。
会社が承認したクラウドサービスのみ利用可。
無断でGoogle Drive・Dropbox等を使用することは禁止。
アカウントの共有禁止。アクセス権は最小限に設定。
自宅ネットワークにはパスワード設定を必須とする。
公共Wi-Fiの利用は禁止。VPNを使用する。
家族や第三者に業務画面・資料を見せない。
機密資料の印刷・廃棄ルールを遵守。
情報漏えい、誤送信、紛失、不正アクセス等を発見した場合は、即時報告。
報告経路:本人 → 上司 → 情報管理責任者 → 経営層。
事故発生後は速やかに原因調査と再発防止策を実施。
新入社員および全社員に対して年1回以上のセキュリティ教育を実施。
監査担当部門が定期的に実施状況を点検。
違反・不備が認められた場合は是正を指導。
故意または重大な過失により情報漏えいが発生した場合、懲戒処分の対象となる。
法令違反の場合、刑事罰または損害賠償の責任を負うことがある。
セキュリティチェックリスト
インシデント報告書テンプレート
情報資産管理台帳フォーマット
更新頻度:年1回+法改正・組織変更時に見直し
形式:Word/PDF/社内Wiki/eラーニング教材化も可
共有方法:入社時配布、社内ポータル掲示、年次教育で説明