- 第一章 目的及び対象
- 第二章 情報セキュリティ対策のための方針
- 第三章 アクセス制御方針
- 第四章 暗号による管理策の利用方針
- 第五章 プロジェクトマネジメントにおける情報セキュリティ方針
- 第六章 供給者関係のための情報セキュリティ方針
- 第七章 プライバシー及び個人を特定できる情報(PII)の保護方針
- 第八章 モバイル機器の利用方針
- 第九章 クリアデスク・クリアスクリーン方針
第一章 目的及び対象
(目的)
本方針は、株式会社ライトスタッフ(以下「当社」という。)当社の情報セキュリティを確保するため、当社のとるべき対策の統一的な枠組みを定め、自らの責任において対策を図るための措置を講ずることにより、もって当社全体の情報セキュリティ対策の強化・拡充を図ることを目的とする。
(対象)
本方針の対象は株式会社ライトスタッフおよび当社従業員とする。
第二章 情報セキュリティ対策のための方針
株式会社ライトスタッフ(以下「当社」という。)の企業理念は、"顧客満足"、"従業員満足"、"思いやりの心を育成"、"社会貢献"を方針として目指す。
お客様からお預かりする情報資産及び当社の情報資産に対し、必要な保護と適切な安全対策を講じることにより、漏えい、改ざん、紛失、破壊、利用妨害等といったさまざまな危険や脅威から情報資産を守り、機密性、完全性、可用性を確保すべく情報セキュリティ方針群を定める。
当社の役員、社員、契約社員、嘱託社員、派遣社員を含む全ての従業員は、本情報セキュリティ方針群ならびに事業関連の法令等を遵守し、情報セキュリティ管理体制の構築・維持・向上を通じて、事業の継続的かつ安定的な発展に努める。
この理念に基づき、業務を通して、お客様の信頼を得るためには、情報資産に対して適切な安全対策を実施し、紛失、盗難及び、不正使用から保護を確実なものにしなくてはならない。このためには、物理的・技術的な情報の保護強化はもちろんのこと、社員が情報の管理に高い意識をもち、情報保全の大切さを尊重しながら日々の業務活動を実践していくことを目的とする。
当社は、企業理念のもと、顧客満足度の向上に徹し、組織一丸となってたゆまぬ業務改善を行い、クオリティの高いサ-ビス提供という形でご奉仕できるよう、努力する。
当社は事業活動を実践するなかで、【情報セキュリティの重要性】を認識し、以下のような情報セキュリティ方針を定め、継続的な情報セキュリティ対策への取組みに努める。
1:目的及び活動の原則(対象とする情報資産)
当社の業務で取り扱う情報資産を保護の目的として、十分なセキュリティ対策を継続的に実践する。
情報資産は、当社が保有または運用管理するデータ及び情報システム、機器、及びお客様からお預かりした各情報資産を含む。
2:情報セキュリティ目的の設定
当社は、経営理念及び経営環境を考慮して、会社の情報セキュリティ目的を設定する。
3:法令・規範の遵守
当社は、当社が定めるセキュリティポリシー、契約上の各種セキュリティ義務および情報セキュリティに関する法令、規則等を遵守する。
4:情報セキュリティ体制の確立及び維持
当社は、経営陣を中心として情報セキュリティマネジメントシステムの体制を整え、情報セキュリティの維持、向上の取組みを行う。また、これらの取組みを定期的に見直し、改善に努める。
5:見直し及び改善
当社は、経営方針の変更、社会情勢の変化、技術的変化、法令等の変更などに伴い、継続的に情報セキュリティの見直しを図り、維持・改善する。
6:教育・訓練の実施
当社は、社員の情報セキュリティ意識の向上を図るために、情報セキュリティ対策を徹底するとともに、計画的に情報セキュリティ教育を実施する。
7:セキュリティ事件・事故の対応
当社は、セキュリティ事件・事故が発生した場合、またはその予兆があった場合、速やかな対応及び手続きを行うように取り組む。
8:情報資産のリスク評価
当社は、適正なリスク分析に基づいて、情報資産のセキュリティリスクを評価し、その結果を考慮した効果的な情報セキュリティ対策を推進する。
第三章 アクセス制御方針
本規程では、当社における情報システム及び情報ネットワークへのアクセスを適切に制御し、管理することを目的とする。ユーザ業務の職務権限に合致した情報サービスにアクセスするための規則を明確に定める。アクセス制御方針を以下に示す。
(1)適用範囲の社員等については、全ての情報資産へのアクセスを可能とする。
(2)適用範囲以外の社員等については、全ての情報資産へのアクセス権を与えない。
(3)アクセス権については、社員等に周知を行う。
(4)アクセス権については、人事異動及び退職者が発生した場合に見直しを行う。
(5)アクセス制御方針については、ユーザ業務の職務権限に合致した情報サービスにアクセスするための規則を明確に定める。
第四章 暗号による管理策の利用方針
社外への電子的メッセージ送信を行う場合、添付ファイルには暗号化を施し、情報の保護をより確実なものとすること。
復号鍵は別途送信することとし、暗号化済みファイルと同一のメッセージにて送信しないこととする。
添付ファイルが存在しないメッセージの場合であっても、個人を識別可能な情報または営業上の秘密等の情報が含まれている場合、暗号化を施し情報の保護をより確実なものとする。
第五章 プロジェクトマネジメントにおける情報セキュリティ
新規にプロジェクトを発足する場合、1案件ごとに本セキュリティ方針群に則り情報の保護を確実なものとする。
第六章 供給者関係のための情報セキュリティ
当社の業務に従事する事業者には、本セキュリティ方針群に則り情報の保護を確実なものとするよう求めること。
第七章 プライバシー及び個人を特定できる情報(PII)の保護
当社は、以下のとおり個人情報保護方針を定め、個人情報保護の仕組みを構築し、全従業員に個人情報保護の重要性の認識と取組みを徹底させることにより、個人情報の保護を推進する。
1:個人情報の管理
当社は、お客様の個人情報を正確かつ最新の状態に保ち、個人情報への不正アクセス・紛失・破損・改ざん・漏洩などを防止するため、セキュリティシステムの維持・管理体制の整備・社員教育の徹底等の必要な措置を講じ、安全対策を実施し個人情報の厳重な管理を行う。
2:個人情報の利用目的
当社では、お客様からのお問い合わせ時に、お名前、e-mailアドレス、電話番号等の個人情報をご登録いただく場合がある、これらの個人情報はご提供いただく際の目的以外では利用しない。
お客様からお預かりした個人情報は、当社からのご連絡や業務のご案内やご質問に対する回答として、電子メールや資料のご送付に利用する。
3:個人情報の第三者への開示・提供の禁止
当社は、お客様よりお預かりした個人情報を適切に管理し、次のいずれかに該当する場合を除き、個人情報を第三者に開示しない。
・お客様の同意がある場合
・お客様が希望されるサービスを行なうために当社が業務を委託する業者に対して開示する場合
・法令に基づき開示することが必要である場合
4:個人情報の安全対策
当社は、個人情報の正確性及び安全性確保のために、セキュリティに万全の対策を講ずる。
5:ご本人の照会
お客様がご本人の個人情報の照会・修正・削除などをご希望される場合には、ご本人であることを確認の上、対応する。
6:法令、規範の遵守と見直し
当社は、保有する個人情報に関して適用される日本の法令、その他規範を遵守するとともに、本ポリシーの内容を適宜見直し、その改善に努める。
第八章 モバイル機器の利用方針
業務でのモバイル機器の利用は、当社が利用許可を出したものに限る。
利用に際しての注意事項を下記に示す。
(1)屋外での物理的安全性
(2)第三者による覗き見
(3)置き忘れ、紛失
(4)置き引きや車上荒らしなどの盗難
(5)業務外での利用禁止
第九章 クリアデスク・クリアスクリーン方針
<クリアデスクについて>
・全ての従業員は、常に整理整頓を心がけること。
・離席時や帰宅時は、机上及びその他の場所への情報の放置をしないこと。
・情報システムへのアクセスや操作のマニュアルや取扱説明書は、内部文書、外部文書に限らず、机上へ放置してはならない。
<クリアスクリーンについて>
・スクリーンセーバーを利用し、パスワードを設定する。
・セーバー起動時間は10分程度とし、20分以上でディスプレイ消燈すること。
以上