スリープログループ株式会社

24時間365日、日本全国125,000人のスタッフがお客様のビジネスをサポートします。

Security Policy

セキュリティポリシー

セキュリティポリシーSecurity Policy

セキュリティポリシー

2016年10月5日
スリープログループ株式会社

はじめに

 当社は、IT 分野をはじめとして、さまざまな分野で活躍するクライアントに成り代わり、個人・法人向けのサポート業務を実施する企業です。
 このような企業運営においては、情報の有効活用なしには継続的な発展や円滑な業務遂行は望めません。しかし、その一方で、あらゆる情報が電子化、システム化、ネットワーク化されたことにより、コンピュータウイルス、不正アクセス、内部犯行、過失などによる情報の滅失、き損、改ざん、及び漏えいなどの問題が多発しています。このような問題が発生すると、情報資産の直接的な損失のみならず、当社のような企業にとっては、大幅な信用の失墜や損害賠償などの副次的な損失を被ることになり、ひいては企業の存続を揺るがしかねない事態に発展する可能性が高いものとなっています。
 今日のようなIT 社会において、事業の発展を目指し、クライアントや顧客から社会的な信頼を得るためには、日頃から役員・社員・契約社員・パート社員・委託企業に属する社員などの各自が当社の情報資産の重要性を十分認識し、その適切な取り扱いと保護に努めなければなりません。
 そのため、セキュリティ水準の向上を当社の最も重要な施策として位置付け、その指針としてここにセキュリティポリシーを定めます。なお、当社Web ページに記載するポリシー共通会社会社一覧にて告知するグループ会社をポリシー共通会社といい、以下で当社とはポリシー共通会社も含むものとします。

【用語の定義】

  1. 情報資産とは、以下をさします。
    (1) 当社ならびに当社のポリシー共有会社(以下、まとめて「当社等」という)の取引先名
    (2) 第三者に公開されていない当社等及び取引先の営業上の情報及びノウハウ
    (3) 第三者に公開されていない当社等及び取引先の財務に関する情報
    (4) 当社等の保有個人データ及び当社等に預託された顧客情報及び顧客本人が本人の情報と特定できるもの
    (5) 当社等及び取引先の役員・従業員等の個人情報及び本人が本人の情報と特定できるもの
    (6) 知的財産権を有する資産
    (7) 法令で機密情報と定められているもの
    (8) その他当社等及び取引先が機密情報として指定する情報
    (9) (1)乃至(8)を保管する機器・媒体
  2. クラウドコンピューティングとは、共有化されたコンピュータリソース(サーバ、ストレージ、アプリケーションなど)について、利用者の要求に応じて適宜・適切に配分し、ネットワークを通じて提供することを可能とする情報処理形態であり、そのサービスをクラウドサービスと言います。
  3. クラウドサービスカスタマとは、第三者が提供するクラウドサービスを利用する者を言います。
  4. クラウドサービスプロバイダとは、クラウドサービスを第三者に提供する者を言います。
  5. マルチテナントとは、クラウドコンピューティングにおいて、機材やソフトウェア、データベースなどを複数の顧客企業で共有することを言います。
  6. フォレンジックとは、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に発生したことを立証する証拠を集めることを言います。

【本セキュリティポリシー等の公表】

 本セキュリティポリシーならびに以下の項目は、当社Web ページ又は書面にて公表いたします。
 (1) 必要な事項として政令が定めるもの

【本セキュリティポリシーの目的・適用範囲・適用対象者】

  1. 本セキュリティポリシー制定の目的は、当社の取り扱う情報資産の機密性・完全性・可用性を確保しつつ業務を円滑に遂行するための基本的な方針や体制、規則などについて定め、適切なセキュリティ対策を実施することで、当社のセキュリティ水準を向上させるとともに、顧客からの信頼の向上を図ることにあります。
  2. 本セキュリティポリシーの適用範囲は以下とします。
    当社情報システム部が管理するサーバ上のデジタルデータ、もしくは本社ビル内外を問わず、当社の業務管轄内のクライアントPC 上のデジタルデータ・その他当社が所有している非デジタルデータ資産の内の情報資産。
  3. 本セキュリティポリシーの適用対象者は以下とします。
    (1) 役員・社員・出向社員・契約社員・派遣社員・パート社員などの雇用形態、職位、勤務地を問わず、当社の就労者
    (2) 本セキュリティポリシーの対象となる業務を外部に委託する場合の、外部委託業者

【情報資産の適正な管理】

  1. 本セキュリティポリシー適用対象者は、情報資産を保護するために、常に抑制・予防・防止・検知・回復策を意識し、行動するものとします。
  2. すべての情報資産は、当社にとって重要な情報資産と認識するものとします。なお、別途情報資産保護基本規程で定義する情報資産については、本セキュリティポリシー・ISO/IEC 27001/JIS Q 27001・ISO/IEC 27002/JIS Q 27002・ISO/IEC 27017 に基づき記録・監視・監査するものとします。
  3. 情報資産は、必要な部署(以下「第三者」という)以外に公開せず、また本セキュリティポリシー適用対象者の退社・契約解除・契約解約時においても、同様とします。
  4. 情報資産を、容易に第三者に発見される場所・公開されたインターネット上の掲示板等に放置しないものとします。
  5. 電子メールを利用する際は、デジタル署名・暗号化なしに情報資産を送信しないものとします。ただし、デジタル署名については、情報セキュリティ委員会の決定により実施しないことがあっても許容範囲内とします。
  6. SSL((Secure Sockets Layer))等の暗号通信技術なしに、Web・電子メール等にて重要な情報資産を取り扱わないものとします。
    記入フォームに記入した個人情報などの情報をサーバに送信する際、情報の内容は128bit SSL により暗号化され、第三者による盗聴を防ぎます。
  7. 弊社Web ページをご覧になった場合、アクセスされたコンピュータに情報(クッキー)が保管されることがあります。クッキーは画面間の情報引継ぎを管理し、同一人物であることを確認するために使用しますが、利用者個人を特定・識別するような、氏名・E-Mail アドレス・電話番号・住所などの情報は一切含まれません。
  8. 物理的セキュリティ対策を常に留意するものとします。
  9. 無意識・過失・故意によるウイルス侵入・不正アクセス・ソーシャルエンジニアリング等を許さない言動に努めます。
  10. 情報資産は、当社では機密性に応じて、極秘・部外秘・グループ外秘・公開に分類しますが、その分類に関わらず、すべての情報資産には、著作権・意匠権・商標権・実用新案権に代表される知的財産権が含まれていることを本セキュリティポリシー適用対象者は認識し、不法行為が行われることがないよう留意するものとします。
  11. 個人情報保護においては、本セキュリティポリシーと同時に、個人情報の保護に関する法律・JIS Q 15001・別途定められているプライバシーポリシー等を遵守して、実施するものとします。
  12. クラウドサービスカスタマは、以下の事項を考慮するものとします。
    (1)クラウドコンピューティング環境に保存する情報は、クラウドサービスプロバイダによるアクセス及び管理の対象となる可能性があること。
    (2)資産(例えば、アプリケーションプログラム)は、クラウドコンピューティング環境の中に保持される可能性があること。
    (3)処理は、マルチテナントの仮想化されたクラウドサービス上で実行される可能性があること。
    (4)クラウドサービスユーザ及びクラウドサービスユーザがクラウドサービスを利用する状況
    (5)クラウドサービスカスタマの、特権的アクセスをもつクラウド実務管理者
    (6)クラウドサービスプロバイダの組織の地理的所在地、及びクラウドサービスプロバイダが(たとえ、一時的にでも)クラウドサービスカスタムデータを保存する可能性のある国
  13. クラウドサービスプロバイダは、クラウドサービスの提供及び利用に取り組むため、以下の事項を考慮するものとします。
    (1)クラウドサービスの設計及び実装に適用する、最低限の情報セキュリティ要求事項
    (2)認可された内部関係者からのリスク
    (3)マルチテナント及びクラウドサービスカスタマの隔離(仮想化を含む)。
    (4)クラウドサービスプロバイダの担当職員による、クラウドサービスカスタマの資産へのアクセス
    (5)アクセス制御手順(例えば、クラウドサービスへの管理上のアクセスのための強い認証)
    (6)変更管理におけるクラウドサービスカスタマへの通知
    (7)仮想化セキュリティ
    (8)クラウドサービスカスタマデータへのアクセス及び保護
    (9)クラウドサービスカスタマのアカウントのライフサイクル管理
    (10)違反の通知、並びに、調査又はフォレンジックを支援するための情報共有指針
  14. 上記の他、情報セキュリティに関連する、適用される各種要求事項を遵守いたします。
  15. 適用対象者が本セキュリティポリシー遵守の義務を怠った場合、あるいは当社のセキュリティに重大な影響を与えかねないような悪質な行為などが認められた場合には、就業規則・委託契約に基づいた懲戒・処分などを行うことがあるものとします。

【情報資産管理体制】

  1. 各部署の責任者をメンバーとする情報セキュリティ委員会を設置し、委員長・副委員長・委員・セキュリティ担当役員・ISMS内部監査員を設け、最低四半期に一度の情報セキュリティ委員会会議を実施するものとします。
  2. 情報資産は、ISO/IEC 27001/JIS Q 27001 に基づいた情報資産一覧台帳を半期単位で作成し、リスク分析後、リスクコントロール・リスクファイナンスを実施するものとします。当社は、情報資産の内容ごとに、管理責任者をおくと同時に、取締役、執行役員、監査役、従業員等、当社業務の個人受託者に対する教育を徹底させ、情報資産の適切な管理を行わせております。
  3. 当社は、当社保管の情報資産の改変・紛失防止のために、組織的、人的、物理的、かつ技術的安全管理措置の全部又は一部を実施し、情報資産に対する不正アクセス、滅失、き損、改ざん、及び漏えいなどを防止すると同時に、事故が発生した場合に備えて、証拠を保全してその原因を追求できるような体制を構築しております。万一、かかる事故が発生した場合でも迅速かつ適切に対処して、事故の再発の防止等、その是正のため最大限の努力をいたします。
  4. 当社の業務遂行のために当社が外部委託業者に対して情報資産を扱う業務を委託することがあります。この場合、受託者の責任者・当社ならびに受託者の責任の明確化・秘密保持義務・安全管理義務・契約終了時の情報資産の返却及び消去・再委託に関する事項・情報資産の取扱状況に関する当社への報告の内容及び頻度・契約内容が遵守されていることを当社が確認できる事項・契約内容が遵守されなかった場合の措置・事件/事故が発生した場合の報告/連絡に関する事項を契約書に定め、適切に監査するものとします。

【情報資産の第三者への提供の制限】

 弊社が保管する情報資産を第三者に提供することはいたしません。ただし、以下の場合は除きます。
 (1) サポートサービスご利用で決済が必要な場合(金融機関との間で、銀行口座やクレジットカードの有効性を確認するために、個人情報を交換することがあります)
 (2) サポートサービスご利用もしくは従業員等・当社業務の個人受託者の採用活動にてポリシー共通会社間で個人データの共同利用が必要な場合
 (3) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ法令に基づき又は本人もしくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合
 (4) 合併、会社分割、営業譲渡その他の事由によって事業の継承が行われる場合
 (5) 法令により要求された場合

【セキュリティポリシー等の改善】

当社は、情報資産の保護に関連する法律及び ISO/IEC 27001/JIS Q 27001、ISO/IEC 27002/JIS Q 27002、ISO/IEC 27017、JIS Q 15001、ならびにこれらに基づく各種ガイドライン等の規範、その他の法令・規範を遵守するとともに、 かかる法令等を遵守するための個人情報保護規程、情報管理規程、その他のコンプライアンスプログラムを策定し、また各ポリシー・コンプライアンスプログラムの内容を継続的に見直し、改善に努めてゆきます。

以上

【改訂履歴】 2006年2月01日 制定 Ver2.0
2008年1月10日 改訂 Ver2.1
2014年4月11日 改訂 Ver2.2
2016年10月5日 改訂 Ver3.0
  • 【改訂履歴】
  • 2006年2月01日 制定 Ver2.0
  • 2008年1月10日 改訂 Ver2.1
  • 2014年4月11日 改訂 Ver2.2
  • 2016年10月5日 改訂 Ver3.0

PAGE TOPPAGE TOP