情報セキュリティポリシー

最終更新日: 2025年1月21日

1. 情報セキュリティリスク管理

基本方針

当社は事業運営におけるセキュリティリスクを包括的に管理し、安全なサービス提供を目指します。

実施内容

  • リスク評価:2年に1回を基本とし、簡易プロセスで実施
    • 主要データとシステムのリストを作成(顧客データ、売上データ、システム構成図等)
    • チェックリストで「高/中/低」を評価(機密性・完全性・可用性の観点から)
    • 高リスク項目から対策検討(緊急度と影響度のマトリックスを使用)
    • 評価結果は簡易レポート形式でスプレッドシートに記録・保管
    • 必要に応じて外部の無料セキュリティ診断サービスを活用
  • 効果確認:対策後6ヶ月以内に簡易チェック
    • 実施した対策の効果測定(侵入テスト、脆弱性スキャン等)
    • インシデント発生状況の確認と分析
    • 従業員のセキュリティ意識向上度チェック
  • 変更対応:新規サービスや大きな変更時に都度評価
    • 新システム導入前の事前リスク評価
    • 業務プロセス変更時のセキュリティ影響分析
    • 外部サービス利用開始時の第三者リスク評価
  • 日常管理:セキュリティソフトのアラートを定期確認
    • 毎日のログ自動チェック結果の確認
    • 週次でのセキュリティイベント傾向分析
    • 月次でのリスク状況総合レビュー

2. 情報の分類と取り扱い

機密情報(レベル3)

対象データ:

  • 顧客個人情報(当社では顧客の氏名、住所、電話番号、メールアドレス、クレジットカード情報等の個人情報は一切保存いたしません)
  • 認証情報(パスワード、APIキー、証明書、秘密鍵等)
  • 決済情報(当社では売上データ、財務データ、銀行口座情報等の決済関連情報は一切保存いたしません)
  • 機密契約情報(当社ではNDA、独占契約、価格情報等の機密契約情報は一切保存いたしません)

取り扱い要件:

  • AES-256以上の暗号化による保管必須
  • アクセス権限は業務上必要最小限に制限(Need-to-know原則)
  • アクセスログの記録と年1回の詳細監査
  • データ移送時は暗号化通信(TLS 1.3以上)を使用
  • バックアップ時も同レベルの暗号化を適用
  • 印刷・コピーは原則禁止、必要時は承認後に限定実施

社内限定情報(レベル2)

対象データ:

  • 売上データ(月次・年次レポート、KPI指標等)

取り扱い要件:

  • 社内ネットワーク内でのアクセスに原則制限
  • 外部利用時は事前承認+暗号化ファイルでの受け渡し
  • VPN接続時のリモートアクセス許可(二要素認証必須)
  • 共有フォルダでの管理、アクセス権限の定期見直し
  • 外部メール送信時はパスワード保護+別経路でのパスワード通知

公開情報(レベル1)

対象データ:

  • Webサイト掲載情報(会社概要、サービス紹介、料金表等)
  • マーケティング資料(カタログ、パンフレット、プレスリリース等)
  • 公開されたブログ記事、技術資料、導入事例等
  • SNSで公開される投稿内容

管理要件:

  • 正確性・最新性の継続的な維持管理
  • 公開前の内容確認プロセス(事実確認、法的問題チェック)
  • 定期的な情報更新(最低限月1回の見直し)
  • 公開情報でも個人のプライバシーに配慮した内容管理
  • 著作権・知的財産権の侵害防止チェック

3. モバイルデバイスポリシー

対象デバイス

業務で使用するノートPC(当社ではスマートフォン・タブレットは業務利用いたしません)

セキュリティ要件

  • 画面ロック
    • パスワード:最低6桁、推奨8桁以上の英数字組み合わせ
    • 自動ロック:5分以内の設定、機密データアクセス時は1分以内
    • 画面覗き見防止:プライバシーフィルターの使用推奨
  • OS/アプリ更新
    • 重要なセキュリティアップデート:公開後48時間以内
    • 一般的なアップデート:公開後1週間以内
    • 自動更新の有効化(可能な範囲で)
    • 更新前のデータバックアップ実施
  • 暗号化
    • デバイス全体のストレージ暗号化必須(FileVault、BitLocker等)
    • 業務データ保存フォルダの追加暗号化
    • クラウドストレージ利用時の暗号化確認
  • リモートワイプ
    • ノートPCの遠隔データ消去機能の設定
    • BitLocker(Windows)やFileVault(Mac)の管理キー保存
    • ワイプ実行手順の事前確認と定期テスト

利用上の注意

  • 無線ネットワーク利用
    • 公共Wi-Fiは原則禁止/緊急時はVPN経由のみ許可
    • テザリングやポケットWi-Fiの積極活用
    • ホテル・Space等のフリーWi-Fi利用時は特に注意
    • HTTPSサイトのみアクセスし、ファイル共有禁止
  • 紛失・盗難時の対応
    • 1時間以内の迅速報告(緊急連絡先に電話)
    • リモートワイプの即座実行
    • 関連サービスのパスワード変更(メール、クラウドサービス等)
    • クレジットカード会社への利用停止連絡
    • 事故報告書の作成と保存
  • アプリケーション管理
    • 事前承認された業務アプリのみインストール許可
    • 公式アプリストアからのダウンロード必須
    • 第三者製アプリのセキュリティリスク評価
    • 月次でのインストール済みアプリ一覧チェック
    • P2Pソフト、ゲーム、エンターテインメント系アプリ禁止
  • データバックアップ
    • 重要データは週1回の定期バックアップ
    • クラウドサービスとローカルの両方に保存
    • バックアップデータの定期的な復旧テスト実施
    • バックアップ先のセキュリティ設定確認

4. ソフトウェアおよびハードウェアの資産管理

資産管理の目的

ライセンス違反防止、脆弱性把握、コスト最適化。

ハードウェア管理

  • 資産台帳管理
    • 機器名・型番・シリアル番号の記録
    • 購入日・価格・保証期限の管理
    • 使用者・設置場所・状態の追跡
    • スプレッドシートまたは無料資産管理ツールで一元管理
    • リース・レンタル機器の別途管理
  • 物理的管理
    • 管理番号シールの貼付で一意識別
    • 設置場所のセキュリティチェック(鎖、カメラ等)
    • 移動・輸送時の管理プロセス整備
  • 定期棚卸し
    • 年2回(6月・12月)の物理棚卸ど2本体制で実施
    • 棚卸差異の原因分析と対策立案
    • 新規購入・廃棄・移動のタイムリーな反映
  • 安全な廅棄
    • データ完全消去(3回上書き、物理破壊等)
    • 専門業者による消去証明書の取得と保存
    • HDD・SSDの物理破壊サービス利用検討
    • 廆棄ログの作成と保存(5年間)

ソフトウェア管理

  • ライセンス管理
    • 購入ライセンス数と実使用数の継続的な管理
    • ライセンスキー・シリアル番号の安全な保管
    • サブスクリプションサービスの更新日管理
    • ボリュームライセンスの割り当て状況追跡
    • 組織変更時のライセンス再配置手順整備
  • インストール管理
    • 事前承認されたソフトウェア一覧の維持更新
    • インストール申請プロセスの簡素化
    • フリーソフトのセキュリティリスク評価
    • P2Pソフト・ウイルス作成ツール等の禁止リスト作成
  • バージョン管理
    • サポート終了予定情報の先行収集と移行計画立案
    • 重要システムのバージョンアップスケジュール管理
    • テスト環境での事前検証実施
    • 緊急パッチ適用時のエスカレーションフロー
  • ライセンスコンプライアンス監査
    • 2年に1回の定期監査(簡易チェックリスト使用)
    • ライセンス違反リスクの評価と対策
    • ベンダー監査対応のための証跡保存
    • 不正ライセンス発見時の対応手順書整備

5. 脅威と脆弱性の管理

脅威管理

  • 外部・内部脅威を想定した多層防御
  • 情報源:JVN/IPA/ベンダー情報を週1回チェック

脆弱性管理プロセス

  1. 情報収集:重要度高いものは随時
  2. 影響度評価:CVSSスコア+業務影響
  3. 優先度:緊急(24h以内)、高(1w以内)、中(1m以内)、低(次期メンテ)
  4. パッチ適用:テスト後本番適用
  5. スキャン:半年に1回無料ツールで実施

6. 特権アカウント管理

  • 定義:システム管理や決済など重要操作用アカウント
  • 原則:普段は一般権限、必要時のみ特権切り替え
  • 管理
    • 16文字以上・英数字記号混在のパスワードを管理ツールで一元管理
    • 四半期に1回見直し・不要アカウント削除
    • 可能なら二要素認証を設定

7. システム強化とベースライン

  • 不要サービス(Telnet等)を無効化
  • ルーター/OS内蔵ファイアウォールを有効化
  • 半年に1回、設定ベースラインからの逸脱を自己確認

8. システムのログ記録/監視

  • OS標準ログを3ヶ月保存
  • 月1回、セキュリティソフトのアラートとログをざっくり確認
  • 重要ログは月1回クラウドへバックアップ

9. ウイルス対策とマルウェア管理

  • 無料アンチウイルス(Windows Defender, ClamAV 等)導入
  • 毎日クイックスキャン+自動定義更新
  • 週1回フルスキャン手動実行
  • 実行ファイル付きメールは必ずスキャン

10. パッチ管理

  • OS・主要アプリは自動更新をオン
  • その他ソフトは週1回まとめて手動更新
  • 重大脆弱性は24時間以内に適用または回避策

11. 安全なソフトウェア開発ライフサイクル(SDLC)

  • 無料の静的解析ツール(ESLint, Bandit 等)を利用
  • コミット前にセルフチェックリスト実行
  • 依存ライブラリは月1回アップデート

12. 暗号化

  • 保管時:OS標準ディスク暗号化(BitLocker/FileVault)を必須
  • 転送時:WebはHTTPSのみ、メールは可能ならPGP/S/MIME

13. 物理セキュリティポリシー

  • 離席時は必ずPCロック
  • 機密書類は鍵付きボックスに収納
  • 外付けHDDは施錠場所に保管

14. アクセス管理ポリシー(物理および論理)

  • 自分用アカウントのみ運用、共有アカウント禁止
  • 90日以上未使用アカウントは削除
  • 重要システムは二要素認証

15. 許可されていないソフトウェアの使用の制限

  • 業務ソフトのみインストール
  • 月1回、インストール済み一覧をOS標準機能で確認→不要ソフト削除

16. リモートアクセス制御

  • 可能な限りWebコンソール操作優先
  • 必要時は無料VPN(WireGuard等)+二要素認証
  • VPNログは月1回確認

17. 事業継続と障害復旧

  • バックアップ:3-2-1ルールで週次バックアップ
  • 復旧テスト:半年に1回、簡易復元確認

18. 侵入検知/保護

  • ルーター/OSファイアウォールを常時オン
  • セキュリティソフトのアラート機能を有効化
  • 月1回は手動で異常確認

19. 人的資源セキュリティ

  • 月1回、IPAやベンダーの無料ニュースレターをチェック
  • 外注がいれば守秘義務契約を締結

20. 情報セキュリティインシデント対応

  • 異常時は対象端末を隔離しログ保存
  • 対応履歴をテキストに記録

21. サードパーティリスク管理

  • カード決済・クラウドは ISO27001/プライバシーマーク取得状況を確認
  • 契約書に守秘義務+インシデント報告期限(72h以内)を明記

22. プライバシーポリシー(PIIデータの取り扱い方法と保護方法)

  • 最小限の個人情報収集
  • Webサイトに同意チェックボックス設置
  • 要請時は30日以内に削除

23. 適正利用規約

  • IT資産は業務目的のみ使用
  • 違法行為・情報漏洩行為を禁止
  • 月1回、OS標準機能で不審な通信やプロセスを確認

24. リムーバブルメディアポリシー

  • USB等は原則禁止
  • 必要時は暗号化USBを利用し、使用後は必ずデータ消去

25. 変更管理

  • 主要設定変更やバージョンアップ時にスプレッドシートへ記録(日時・内容)
  • 半年に1回、変更ログを振り返り問題有無を確認

26. データ保持/廃棄

保持期間

  • 会計帳簿:10年
  • 取引関連:7年
  • ログ:6ヶ月

廃棄

  • 電子データは上書き消去ツールで完全削除
  • 紙媒体はシュレッダー処理

ポリシーの管理と更新

  • 年1回(事業年度ごと)または法令改正時にレビュー・更新
  • 改定履歴はスプレッドシート等で管理し、最新版を常に参照してください

改訂履歴

版数 更新日 更新内容 承認者
1.0 2025/01/21 初版作成 - 26項目の包括的なセキュリティポリシーを策定 -
← ホームに戻る