情報セキュリティ方針

1.総 則

(目的)

第1条 

本情報セキュリティ規程(以下、「本規程」とする)は、当社が情報資産を適切に保護するた めの基本となる考え方を定め、継続的かつ網羅的に情報セキュリティへ取り組むことを目的とす る。

(適用範囲)

第2条 

本規程は、当社で取り扱うすべての有形・無形の情報資産、およびそれらに関わるすべての 者に適用する。当社で取り扱う情報資産には、当社の情報のみならず、顧客から預かっている情 報も含まれる。当社で取り扱う情報資産を当社以外の第三者が取り扱う場合においても、本規程 に準拠した取り扱いを実施する旨の契約を締結するように努めるものとする。

(用語の定義)

第3条 

本規程において用いられている用語の定義は、以下のとおりとする。

 1.情報資産

情報(データ、文書、会話を含む)、情報を取り扱うための機器(情報を処理するコンピ ュータ、およびそれを利用するために必要なデータ通信装置、記憶媒体、空調設備などを 含む)、サービス(電力、水道、通信サービスなどを含む)、ソフトウェア、およびそれら を取り扱う人材をいう。

2.情報セキュリティ

情報の機密性、完全性および可用性を確保し維持することをいう。

  機密性・・・情報にアクセスすることが認可された者だけがアクセス出来ることを確実 にすること

  完全性・・・情報及び処理方法の正確さ及び完全である状態を安全防護すること

   可用性・・・認可された者が必要時に情報及び関連資産にアクセス出来ることを確実にすること 

3.情報セキュリティポリシー

組織の中に ある情報資産を安全に運用するための規約を文書化したものをいう。

 4.社長

株式会社 TSON の代表取締役社長をいう。 

5.経営層

当社の社長及び業務を執行する役職を担当する人員をいう。

 6.情報統括役員

社長によって任命された当社の情報システムや情報の流通を統括する担当役員をいう。

 7.部門

当社の各部、各室の総称である。

 8.部門長

当社の各部、各室の責任者の総称である。 

9.社員

当社に属する正社員ならびに契約社員、派遣社員、パート、アルバイトすべてをいう。 

10.協力会社

施工関係業者や金融機関など、当社の業務遂行のために当社が保有する情報資産の委託又は提供を行う法人、その他の団体又は個人をいう。

 11.顧客

当社と取引のある「個人」、「法人」のことをいう。

(組織と責任)

第4条 

経営層の責務 経営層は、「情報セキュリティポリシー」への支持・支援を表明し、率先して情報セキュリ ティマネジメントを推進することとする。

2.社員の責務 

社員には、当社の情報資産の使用を認めるが、それは円滑な業務遂行の手段としての使用を 認めることであり、私的利用を許可するものではない。社員は、情報資産を扱う上で、企業 利益の維持・向上および顧客満足のために、「情報セキュリティポリシー」に同意し、遵守 しなければならない。また、これに違反した者は、その結果について責任を負わなければな らない。

2.情報資産の管理と扱い

(情報資産に関する基本的な考え方)

第5条 情報資産に対する利用権限は必要最低限を基本とし、機密性を確保する。情報の正確性と整 合性を保ち、完全性を確保する。また、必要な情報を適時に利用できるようにするため可用性を 確保する。

(情報資産の分類と管理策の選択)

第6条 当社で取り扱うすべての情報資産は、その内容に応じて適切に分類され、情報資産の重要度 の評価に応じて、適切な管理策を実施しなければならない。

3.人的セキュリティ対策

(教育・訓練)

第7条 当社の情報資産に関わるすべての者は、職務に応じて必要な情報セキュリティ教育ならびに 訓練を定期的に受けなければならない。

4.監査・見直し

(監査)

第8条 監査室は、情報資産の管理が適切に行われていることを定期的に監査しなければならない。

(評価と見直し)

第9条 情報統括責任者は、情報資産を適切に管理する仕組みを構築し、継続的に監視させることと する。

2.本方針の評価は、定期的に行うものとする。また、監査の結果などにより、本方針に定める 事項および管理策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化などに より、情報統括責任者が必要と判断した場合は、適宜見直しを行うものとする。

5 報告義務及び罰則

(報告義務及び罰則)

第10条 以下に該当する事象、又は発生しそうな事象を発見した場合は、管理部へ報告しなければ ならない。管理部は、報告の内容を調査し、違反の事実が判明した場合には、遅滞なく社内の 関係部門に対応処置を指示するとともに、情報統括責任者へ報告する。

①故意又は重大な過失により、経営層及び社員が情報セキュリティに関わる事故を起こした 場合、

 又は会社に損害を与えた場合、就業規則等の定めるところにより罰則手続きをとる こととする。

②協力会社が「情報セキュリティポリシー」に違反し、当社が損害を被った場合、

 当該協力 会社に対して契約上の責任を負わせるものとする。

2.罰則手続きに関する詳細手順は、「罰則手続き要領」に定める。

付則

(改廃)

第11条 本規程の改廃は、情報統括責任者が立案し、取締役会の承認に基づき行う。

 (実施期日)

第12条 本規程は平成25年10月1日より施行する。