情報セキュリティポリシー
デジタルレイバーズ(以下「当方」といいます)は、当方がパソコン業務の委託サービスを提供するにあたり、ご利用される皆様(以下「利用者」といいます)の情報漏えいリスクに対し抜本的、かつ高度な対策を講じることにより、利用者をはじめ社会からの信頼を常に得られるよう、以下のとおり「情報セキュリティポリシー」を規定します。
当方は「情報セキュリティポリシー」を順守し、さまざまな脅威から情報資産を保護し、かつ適正に取り扱うことにより、情報セキュリティの維持に努めます。
第1条(情報セキュリティポリシーの運用)
1. 情報資産の定義
当方が取得・保有する情報及び個人情報を「情報資産」と定義する。
2. 情報セキュリティ管理体制の構築
情報資産の保護に努め、情報セキュリティに関する法令その他の規範を順守することにより、社会からの信頼を常に得られるよう、非常にセキュアな情報セキュリティ管理体制を構築します。
3. 最高情報セキュリティ責任者の配置
当方代表が「最高情報セキュリティ責任者(CISO)」を兼任します。これにより、情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるよう積極的な活動を行います。
4. 情報セキュリティに関する内部規程の整備
情報セキュリティポリシーに基づいた内部規程を整備し、個人情報だけではなく、情報資産全般の取り扱いについて明確な方針を示すとともに、情報漏えい等に対しては、厳しい態度で臨むことを内外に周知徹底します。
5. 監査体制の整備・充実
情報セキュリティポリシーおよび規程、ルール等への準拠性に対する内部監査を実施できる体制を整備していきます。これらの監査を計画的に実施することにより、当方業務に従事する人全員がセキュリティポリシーを順守していることを証明します。
6. 情報セキュリティ対策を徹底したシステムの実現
情報資産に対する不正な侵入、漏えい、改ざん、紛失、破壊、利用妨害等が発生しないよう、徹底した対策を反映したシステムを実現していきます。対策としては、高セキュリティエリアでの作業、「need to knowの原則※」に基づくアクセス権付与、データベースアクセス権の制限等、データやシステムへのアクセスを徹底的に管理する考え方で臨みます。
[注]※need to knowの原則:「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」という原則
7. 情報セキュリティリテラシーの向上
従業員等にセキュリティ教育・訓練を徹底し、当方の情報資産に関わる全員が、情報セキュリティリテラシーを持って業務を遂行できるようにします。また、刻々と変わる状況に対応できるよう、教育・訓練を継続して行っていきます。
8. 情報セキュリティポリシーの対象
当ポリシーが対象とする「情報資産」とは、当方の企業活動において入手および知り得た情報ならびに当方が業務上保有する全ての情報とし、この情報資産の取り扱いおよび管理に携わる当方の従事者全員が順守することとします。
第2条(情報資産管理)
1. 情報資産の管理
1-1. 情報資産の特定と機密性の評価
情報資産の機密性は、以下の基準に従って評価する。
機密性2:極秘
-
法律で安全管理が義務付けられている
-
守秘義務の対象として指定されている
-
限定提供データ(一定の条件を満たす特定の外部者に提供することを目的とする情報)として指定されている
-
営業秘密(秘密として管理されているもの)として指定されている
-
漏えいすると取引先や顧客に大きな影響がある
機密性1:部外秘
-
漏えいすると事業に大きな影響がある
機密性0:公開
-
漏えいしても事業にほとんど影響はない
1-2. 情報資産の管理責任者
情報資産の取り扱い関する情報セキュリティの運用管理責任者は、最高情報セキュリティ責任者(CISO)とする。
1-3. 情報資産の利用者
情報資産の利用者の範囲は、最高情報セキュリティ責任者(CISO)が許可した者のみとする。
2. 情報資産の保存場所
情報資産の保存場所は、以下の通りとする。なお、下記以外の保存を禁止する。
-
業務で利用するパソコンのハードディスク上(ハードディスクの暗号化を必須条件とする)
-
Google Drive(クラウドサービス)
-
Dropbox(クラウドサービス)
-
USBメモリ(情報の移動のみに利用し、移動後は都度全てのデータを削除する)
3. 情報資産の部外への持ち出し
-
情報資産を部外に持ち出す場合には、以下を実施する
-
部外秘の場合は情報システム管理者の許可を得る
-
極秘の場合は最高情報セキュリティ責任者(CISO)の許可を得る
-
ノートパソコンのハードディスクに保存して持ち出す場合は、ハードディスク/フォルダー/データを暗号化する
-
スマートフォン、タブレットに保存して持ち出す場合は、セキュリティロックを設定する
-
USBメモリ、HDD等の電子媒体に保存して持ち出す場合は、不要データは全て完全消去専用ツールで消去し、持ち出すデータを暗号化する
-
USBメモリ等の小型電子媒体は、大きなタグを付ける/ストラップで体やカバンに固定する/落としてもすぐに分かるように鈴を付ける
-
屋外でネットワークへ接続して極秘又は部外秘の情報資産を送受信する場合は、暗号化する
-
携行中は常に監視可能な距離を保つ
4. 媒体の処分
4-1. 媒体の廃棄
部外秘又は極秘の情報資産を廃棄する場合は以下の処分を行う。
-
書類・フィルム:細断/溶解/焼却
-
USBメモリ・HDD・CD・DVD: 破壊/細断/完全消去(※OSによる削除・クイックフォーマットは不可)
4-2. 媒体の再利用
極秘又は部外秘の情報資産を保存した媒体を再利用する場合は、以下の処分を行う。
-
書類:裏紙再利用禁止
-
USBメモリ・HDD・CD-RWディスク・DVD-RWディスク:完全消去後再利用(※OSによる削除・クイックフォーマットは不可)
-
CD-R・DVD-R:再利用不可
5. バックアップ
5-1. バックアップ取得対象
情報取扱管理者は、以下の方法にて、情報資産のバックアップを定期的に取得する。
-
利用サービス:Dropbox
-
バックアップサイクル:随時
-
保存期間:情報資産が関わる業務委託の契約終了まで
5-2. バックアップ媒体の取り扱い
漏えい防止のため、バックアップは上記に規定したサービス上のみとし、その他一切の媒体は使用しない。
第3条(アクセス制御および認証)
1. アクセス制御方針
部外秘又は極秘の情報資産を扱う情報システム又はサービスに対するアクセス権は、最高情報セキュリティ責任者(CISO)が定めた利用者範囲に基づき、利用者の業務・職務に応じた必要最低限の権利を付与する。
2. 利用者の認証
部外秘又は極秘の情報資産を扱う情報システムは、以下の方針に基づいて利用者の認証を行う。
-
利用者の認証に用いるアカウントは、利用者1名につき1つを発行する。
-
複数の利用者が共有するアカウントの発行を禁止する。
3. 利用者アカウントの登録
利用者の認証に用いるアカウントは、情報システム管理者の承認に基づき登録する。
4. 利用者アカウントの管理
利用者の認証に用いるアカウントが不要になった場合、情報システム管理者は、当該アカウントの削除又は無効化を、当該アカウントが不要になる日の翌日までに実施する。
5. パスワードの設定
利用者の認証に用いるパスワードは、以下に注意して設定する。なお、パスワードは、『1Password』クラウドサービス内、および『Uipath』の利用のため必要な場所以外の保存、および、利用者以外への共有は禁止とする。
<パスワードに使う文字>
-
12文字以上
-
当人の名前、電話番号、誕生日等、他者が推測できるものを使わない
-
アルファベット大文字・小文字、数字、記号の全てを含む
-
辞書に含まれる単純な語を使わない
6. 多要素認証の設定
アカウントの認証は、サービスが多要素認証をサポートしている場合は多要素認証を設定する。なお、多要素認証は、メール認証、電話での着信およびSMS認証、または『1Password』に設定された2段階認証以外の認証方法を禁止する。
7. 業務従事者以外の者に対する利用者アカウントの発行
当方の業務従事者以外の者にアカウントを発行する場合は、最高情報セキュリティ責任者(CISO)の承認を得たうえで、秘密保持契約を締結する。
8. 端末のタイムアウト機能
部外秘又は極秘の情報資産を扱う情報システムの端末もしくは情報機器を、アカウントを付与していない者が接触可能な場所に設置する場合は、接続時間制限やタイムアウト、画面ロック等の機能を利用する。
第4条(物理的対策)
1. セキュリティ領域の設定
情報資産の重要度に応じて業務実施領域を区分する。区分した領域内では以下を実施する。
レベル1領域
-
入室制限:なし(部外者が立ち入り可)
-
施錠:なし
-
設置可能情報機器: なし
-
制限事項:未使用時に部外秘又は極秘の情報資産の放置禁止
レベル2領域
-
入室制限:業務従事者およびその関係者のみ立ち入り可
-
施錠:なし
-
設置可能情報機器:ディスプレイ、WIFIルーター、複合機、電話機
-
制限事項:情報機器・設備の無断操作禁止・無断持出し禁止
レベル3領域
-
入室制限:最高情報セキュリティ責任者(CISO)が許可した者のみ立ち入り可
-
施錠:あり(最終退室者による施錠)
-
設置可能情報機器:ディスプレイ、WIFIルーター、複合機、電話機、パソコン
-
制限事項:情報機器・設備の無断操作禁止・無断持出し禁止。また、スマートフォン、USBメモリ、HDD、CD-R、デジタルカメラその他の情報記憶媒体の無断持込み禁止
3. セキュリティ領域内注意事項
-
セキュリティ領域では区分にかかわらず以下の点に注意する
-
複合機、プリンタに原稿、印刷物を放置しない
-
FAX送信時には誤送信防止のため宛先を複数回確認する
-
ホワイトボードは利用後に消去する
-
無許可での室内での撮影、録音は禁止する。業務上必要な場合は、最高情報セキュリティ責任者(CISO)の許可を得ること
第5条(IT機器利用)
1. ソフトウェアの利用
1-1. 標準ソフトウェア
業務に利用するパソコンには、以下に記載する標準ソフトウェアを導入する。当方の標準ソフトウェア以外のソフトウェアを導入する場合は、最高情報セキュリティ責任者(CISO)の許可を得たうえで導入する。
なお、すべてのソフトウェアにおいて、常に最新のバージョンにて使用するものとする。
<パソコンOS>
-
Windows 10 Pro またはその上位バージョン
-
最新版Mac OS Big Sur またはその上位バージョン
<業務利用ソフトウェア>
-
Microsoft Office
-
Google Workspace(ブラウザ上でのクラウド利用のみ)
-
Google Chrome
-
Slack
-
Zoom
-
1Password
-
Uipath
-
Team Viewer
-
Google Remote Desktop
-
Microsoft Defender (Windows)(ウイルス対策ソフト)
-
XProtect (Mac OS)(ウイルス対策ソフト)
-
Dropbox
-
その他、業務実施にあたり必要なソフトウェア
1-2. ソフトウェアの利用制限
業務従事者は、業務に不要なシステムユーティリティやインストールされているソフトウェアを利用しない。
<利用を禁止するソフトウェア>
-
インターネット上で、不特定多数のコンピュータ間でファイルをやりとりできるソフトウェア(ファイル共有ソフトを含む)
-
不審なベンダーが提供するソフトウェア
-
正規ライセンスを取得していないソフトウェア
1-3. ソフトウェアのアップデート
業務従事者は、業務で使用するソフトウェアを常に最新の状態で利用する。
1-4. ウイルス対策ソフトウェアの利用
1-4-1. ウイルス検知
業務従事者は、以下の方法でウイルス検知を行う。
-
ネットワーク経由で入手するファイルは、自動検知機能を有効にしてウイルス検知を実施する。
-
電子媒体を用いてファイルの受け渡しを行う場合は、媒体内のファイルにウイルス検知を実施する。
1-4-2. 部外機器のLAN接続
業務上必要で、かつ最高情報セキュリティ責任者(CISO)の許可を得たパソコン及びサーバー以外の機器を業務で使用するLANに接続することを禁止する。業務上必要な場合は、最高情報セキュリティ責任者(CISO)の許可を得たうえで、当該機器にインストールされているウイルス対策ソフトの定義ファイルを最新版に更新し、当該機器のフルスキャンを実行し、ウイルスが検知されないことを確認してから接続する。
1-5. ウイルス対策の啓発
最高情報セキュリティ責任者(CISO)は、適宜ウイルスに関する情報を収集し、重大な被害を与えるウイルスに対しては、対応策及び対応に必要な修正プログラムを全業務従事者に公開及び通知する。業務従事者は、感染防止策が通知された場合は、速やかに実施完了する。
2. IT機器の利用
業務従事者は、業務に利用するパソコン・タブレット・スマートフォンには、ログインパスワードを設定する。利用するときには以下を実行する。
-
ログインパスワードを他者の目に触れる所に書き記さない
-
屋外で利用する場合は、他者が画面を盗み見可能な環境で利用しない
-
第4条(物理的対策)で定められた「レベル3領域」で利用または保管する場合を除き、退社時又は使用しないときには電源を切り、ノートパソコン・タブレット・スマートフォン・USBメモリ、HDD、CD等の電子媒体は施錠保管する
3. クリアデスク・クリアスクリーン
3-1. クリアデスク
業務従事者は、第4条(物理的対策)で定められた「レベル3領域」で利用または保管する場合を除き、部外秘又は極秘の書類及び電子データを保存したノートパソコン、USBメモリ、HDD、CD等の持ち運び可能な機器や媒体の扱いについて、以下のようにクリアデスクを徹底する。
-
利用時以外には机上に放置しない
-
離席時に書類を伏せる、引き出しに入れる等する
-
退社時又は使用しないときには机の引き出しに保管し、施錠する
3-2. クリアスクリーン
業務従事者は、第4条(物理的対策)で定められた「レベル3領域」で利用または保管する場合を除き、離席時に以下のいずれかによりパソコンの画面をロックし、クリアスクリーンを徹底する。
-
スクリーンセーバー起動時間を5分以内に設定し、パスワードを設定する
-
スリープ起動時間を5分以内に設定し、解除時のパスワード保護を設定する
-
離席時に[Windows]+[L]キーを押してコンピュータをロックする
-
ログオフ状態ではシステム操作画面は非表示に設定する。退社時又は使用しないときにはパソコンの電源を切る
-
スマートフォン・タブレットを外出先で利用する場合は、他者が盗み見できる環境で利用しない
4. インターネットの利用
業務従事者は、インターネットを利用する際には以下を遵守する。
4-1. ウェブ閲覧
業務従事者は、業務でウェブ閲覧を行う場合は以下を遵守する。
-
公序良俗に反するサイトへアクセスしない
-
不審なサイトへのアクセスをしない
-
業務に関係のないサイトで社用メールアドレスを登録しない
-
パスワードをブラウザに保存しない。業務で特定のウェブサービスを利用する場合で、パスワードをブラウザに保存する必要があるときは情報システム管理者の許可を得る
-
業務上、個人情報(メールアドレス、氏名、所属等)を入力する場合は、通信の暗号化、接続先の実在性等を十分に確認したうえで行う
-
信頼できるサイトから署名付きのモバイルコードをダウンロードする場合を除き、モバイルコード(クライアントパソコン側で動作するプログラム)を実行しない
4-2. オンラインサービス
業務従事者は、インターネットで提供されているサービスを業務で利用する場合は、情報システム管理者の許可を得る。利用する際には以下に注意する。
<インターネットバンキング・電子決済>
-
インターネットバンキングを利用する際には、自分で設定したブックマークや銀行が提供する専用アプリケーションソフトを用いる
-
電子決済を利用する際には、SSL/TLSによる通信暗号化を採用しているサイトを利用する
-
電子メールに記載されているリンクや、他のウェブサイト等に設置されているリンクは、偽サイトへの誘導である可能性があるためアクセスしない
<オンラインストレージ>
-
1-1. 標準ソフトウェアで定められたサービス以外のクラウドサービスに情報資産を保存することを禁止する
-
メールアドレスの登録が必要な場合は社用メールアドレスを登録する
-
セキュリティポリシーを公表していないサービスの利用は禁止する
-
不審なベンダーが提供しているサービスの利用を禁止する
4-3. SNSの個人利用
SNSの個人利用時には以下を遵守する。
-
当方の業務に関わる情報の書き込みは行わない
-
取引先従業者とSNS上で私的に交流する場合、双方の立場をわきまえ、社会人として良識の範囲で交流する
-
SNS用のアプリケーションが提供するセキュリティ設定を行い、アカウントの乗っ取りやなりすましに注意する
-
使用するパソコン、スマートフォン、タブレット上のデータ、写真、位置情報が、予期せず公開される可能性のあることに注意する
4-4. 電子メールの利用
業務従事者は、業務で電子メールを利用する際には以下を実施する。
<誤送信防止>
-
電子メールソフトの即時送信機能を停止する
<メールアドレス漏えい防止>
-
同報メール(外部の多数相手に同時に送信するとき)を送信する場合は、宛先(TO)に自分自身のアドレスを入力し、BCCで複数相手のアドレスを指定する
<傍受による漏えい防止>
-
部外秘又は極秘の情報資産を送信する場合は、メール本文ではなく添付ファイルに記載し、ファイルを暗号化して送信する
<添付ファイル暗号化の方法>
-
パスワード保護の設定又はパスワード付きのZIPファイルにする。/パスワードは先方とあらかじめ決めておくか電話で知らせるなど、パスワードが傍受されないよう配慮する
<禁止事項>
-
業務に支障をきたすおそれがある使用
-
私用電子メールサーバーへの接続
-
私用メールアドレスへの転送
4-5. ウイルス感染の防止
標的型攻撃メール等によるウイルス感染を防止するため、以下の内容に複数合致する場合は十分に注意し、添付ファイルを開く、又はリンクを参照するなどしない。受信した場合は、情報システム管理者に報告し、情報システム管理者は関係者に注意を促す。
<メールタイトル>
①知らない人からのメールだが、メール本文のURL や添付ファイルを開かざるを得ない内容
-
新聞社や出版社からの取材申込や講演依頼
-
就職活動に関する問い合わせや履歴書送付
-
製品やサービスに関する問い合わせ、クレーム
-
アンケート調査
②心当たりのないメールだが、興味をそそられる内容
-
議事録、演説原稿などの内部文書送付
-
VIP 訪問に関する情報
③これまで届いたことがない公的機関からのお知らせ
-
情報セキュリティに関する注意喚起
-
インフルエンザ等の感染症流行情報
-
災害情報
④全体への案内
-
人事情報
-
新年度の事業方針
-
資料の再送、差替え
⑤心当たりのない、決裁や配送通知 (英文の場合が多い)
-
航空券の予約確認
-
荷物の配達通知
⑥IDやパスワードなどの入力を要求するメール
-
メールボックスの容量オーバーの警告
-
銀行からの登録情報確認
<差出人のメールアドレス>
-
フリーメールアドレスから送信されている
-
差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる
<メールの本文>
-
日本語の言い回しが不自然である
-
日本語では使用されない漢字(繁体字、簡体字)が使われている
-
実在する名称を一部に含むURL が記載されている
-
表示されているURL(アンカーテキスト)と実際のリンク先のURLが異なる(HTML メールの場合)
-
署名の内容が誤っている(組織名や電話番号が実在しない、電話番号がFAX 番号として記載されているなど)
<添付ファイル>
-
ファイルが添付されている
-
実行形式ファイル(exe/scr/cplなど)が添付されている
-
ショートカットファイル(lnkなど)が添付されている
-
アイコンが偽装されている(実行形式ファイルなのに文書ファイルやフォルダーのアイコンとなっているなど)
-
ファイル拡張子が偽装されている(二重拡張子となっている、ファイル拡張子の前に大量の空白文字が挿入されている、ファイル名にRLO4が使用されているなど)
5. 非登録IT機器・電子媒体の利用
業務用としてあらかじめ登録されたパソコン、タブレット、スマートフォン、携帯電話等のIT機器及びUSBメモリ、HDD、CD等の電子媒体を業務で利用することを禁止する。
第6条(委託管理)
情報資産漏えい防止の観点から、利用者の情報資産を取り扱う業務の再委託は原則禁止する。