日本パレットプール 
情報システムセキュリティ基本方針

第1章 総則

1.目的
当社は情報資産を取り扱うに当たり、社会及び顧客の信頼に応えるために、情報資産を保護する情報システムセキュリティ対策を講じる。
本基本方針は、情報システムセキュリティ対策の基本的な方針を定め、当社が保有する情報資産を故意、過失、事故及び災害の脅威から保護し、情報システムセキュリティの水準を総合的、体系的かつ継続的に確保するとともに、情報システムセキュリティを向上することを目的に定める。
2.定義
基本方針で用いる「情報システムセキュリティ」の定義は次の通りとする。
情報化・ネットワーク化の進展に伴って、情報の価値は飛躍的に高まっている。そのため、情報を他の事業資産と同じく重要な資産と考えて、情報資産を適切に保護する情報システムセキュリティ対策を講じることが不可欠となってくる。
情報システムセキュリティとは、想定されるさまざまな脅威から情報資産の機密性、完全性および可用性を維持することとする。
情報資産への脅威には、大きく以下の3つがある。
  1. (1)自然の脅威:地震、火災、風水害など
  2. (2)人間の脅威:機密情報の持ち出し、パソコンの盗難、コンピュータの操作ミスなど
  3. (3)システムの脅威:ハードウェアの故障、ソフトウェアの不具合など
情報資産は以下の3つの側面から保護する必要がある。
  1. (1)機密性:認可された利用者だけが情報資産にアクセスできること
  2. (2)完全性:情報資産の内容が正確であること
    (情報が故意に改ざんされること、ミスにより変更されることを防ぐことなど)
  3. (3)可用性:認可された利用者が、必要なときに、情報資産を利用できること
    (外部からのシステムへの妨害、システムの故障などが発生したときにも、情報資産を利用できるようにすること)
3.適用範囲
情報システムセキュリティ基本方針の適用範囲は当社内とする。
4.情報システムセキュリティ規程体系
情報システムセキュリティ規程は、情報システムセキュリティ対策について、その目的・考え方から個別の管理方法・手順などを体系的に定めたものの総称である。情報システムセキュリティ体系は、「基本方針書」、「システムリスク管理規程」、「基準書」、「対策標準書」の4階層からなり、以下に内容を示す。
  1. (1)基本方針書
    情報システムセキュリティの目的および基本的な考え方(方針)を定める。
  2. (2)システムリスク管理規程
    当社が保有する情報システム資産全般に関わるシステムリスクの管理について必要な基本事項を定める。
  3. (3)基準書
    基本方針書に基づいた情報システムセキュリティの基本的なルールを定める。
  4. (4)対策標準書
    基本方針書および基準書に基づいた具体的な管理方法や利用・運用の手続きなどを対策標準書として定める。

第2章 情報システムセキュリティの基本方針

当社の情報システムセキュリティの継続的な維持・向上を図るために、日々変化するリスクや突発的な事象に対して適切なリスクマネジメントを行う。さらに情報システムセキュリティ対策が有効に機能していることを確認するために、情報システムセキュリティに関する監査を定期的に実施する。また情報システムセキュリティ事故が突発的に発生した場合のことを考慮し、解決策の実施や回避策などを検討するための体制や対応手順を事前に明確にする。

1.情報システムセキュリティの管理体制
情報資産の活用方法が多様化していくなかで、情報資産の管理の手法も多種多様となってくる。当社の情報システムセキュリティを確立し、情報資産を適切に管理するために情報システムセキュリティの推進体制および責任体制を確立する。
2.情報資産の分類及び管理
情報は重要なものであれば、紙や電子情報といった媒体や保存方法に関わらず厳密に取り扱われなければならない。情報資産を適切に管理するために、情報資産をその重要度に応じた取扱い方法を定める。
3.人的情報システムセキュリティ
当社の業務に携わる社員の情報システムセキュリティに対する役割と責任を定める。情報システムセキュリティ規程の適用対象者に対して、自身の役割と責任、実施すべき施策について共通認識を持つことができるように、適切な教育を実施する。また採用時及び退職時の社員の管理を適切に行う。
4.物理的セキュリティ
第三者による物理的な不正侵入や業務への不正な介入を防止し、情報資産を盗難や破壊から保護するために、建物やオフィスに対して適切な防護措置を行う必要がある。このため、社内施設を重要度に応じたエリアに区分し、エリア毎に物理的な対策を講じる。
5.システムセキュリティ
業務機能の多くは、システムやネットワークを活用した情報処理に依存している。適正な業務の遂行を確保し。正しい業務処理を継続的に実施するためには、システム及びネットワークの情報システムセキュリティ確立が不可欠である。このため、システムやネットワークの「運用管理」「開発」「利用」について、情報システムセキュリティ確保のための施策を講じる。
6.ビジネス維持管理
情報システムセキュリティ事件・事故、情報システム障害、自然災害等により当社の情報資産の破壊や業務機能の停止などの可能性がある。速やかに復旧を行い、業務を継続させることを目的にビジネス継続計画を策定する。ビジネス継続計画は、策定するだけでなく、それが正しく機能することを検証し、且つ時代や業務に適したものに改廃していく。
7.規程の遵守
健全な事業運営を遂行するために、法律や契約、情報システムセキュリティ規程を遵守する。

付 則

  1. 1.本方針は平成20年9月16日より適用する。
  2. 2.本方針の改廃は社長決裁を得て行う。