1. 基本方針
情報技術が急速に発展する中、情報漏えいなどの脅威も拡大しており、また、当社においてデジタル技術の活用およびDX推進の取り組みを進める中でも、情報セキュリティ対策が重要な課題となっています。
このような状況において株式会社ユー・イングリッシュ(以下、ユー・イングリッシュ)は、今後も多くのお客様に高品質なサービスを提供することを目的に、情報セキュリティ基本方針を定め、ユー・イングリッシュが取り扱う情報資産の保護対策の指針とします。
ユー・イングリッシュは、この方針を遵守し、高品質サービスの提供を通じて、1.日本の技術を世界の人々に正しく伝えること(翻訳事業)、2.グローバル人材の育成を助けること(教育事業)により、日本と世界の発展に寄与するという企業理念を実現します。
-
情報セキュリティ体制の構築
ユー・イングリッシュは、経営者を中心とした管理体制のもと情報セキュリティマネジメントシステムを構築し、情報セキュリティの維持、向上に取り組みます。
-
情報資産の適切な管理
ユー・イングリッシュは、保有する情報資産について機密性・完全性・可用性の観点から分類・リスク評価を行い、リスクに応じて適切に管理します。
-
情報セキュリティに関するルールの策定
ユー・イングリッシュは、保有する情報資産を厳正に管理するため、情報セキュリティに関するルールを定め、全従業者にこれを徹底します。
-
法令などの遵守
ユー・イングリッシュは、情報セキュリティに関する法令およびその他のガイドラインを遵守します。
-
教育および訓練
ユー・イングリッシュは、役員および全従業者に対して情報セキュリティの重要性を認識させ、情報資産が適正に利用されるよう、教育・訓練を実施します。
-
継続的な改善
ユー・イングリッシュは、定期的に情報セキュリティマネジメントシステムを見直し、継続的に改善を行います。
2. 情報セキュリティ体制について
ユー・イングリッシュの情報セキュリティに関する組織体制、役割と責任権限は、以下のとおりです。
-
情報セキュリティ組織体制
-
情報セキュリティ組織の役割と責任権限
- 経営者(代表取締役)
- 情報セキュリティ基本方針を策定します。情報セキュリティ管理責任者から、社内の対策の状況や事故の報告を受けた場合には、改善の指示を出します。
- 情報セキュリティ管理責任者
- 情報セキュリティに関する責任者です。対策の実施、社内の指導、事故や緊急時への対応指示を出します。必要に応じて、従業者の招集や経営者への報告などを行います。
- 情報セキュリティ委員会
- 部門の代表者により構成されます。自部門の課題の提出や、部門指導と管理、相互理解が求められます。
- 従業者
- 情報セキュリティルールを遵守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。
3. 対策基準および実施手順
-
物理的管理規定
-
趣旨
室・機器・設備などを保護し、それらの損傷や利用の妨害、許可されていないアクセスを防止し、格納する情報の安全性を確保することを目的とする。
-
対象者
室の利用、機器・設備などの利用に関わるすべての従業者。
-
対象システム
敷地内およびユー・イングリッシュが所有し従業者に貸与するすべての情報システムおよびすべての機器。
-
重要度の高い書類や媒体の定義
重要度の高い書類や媒体とは、顧客情報および顧客が機密と指定する情報を含む書類や媒体、および個人情報を含む書類や媒体とする。
4. 遵守事項
-
機器・設備の保護
- 重要度の高い情報資産が格納されているサーバおよび機器がまとめて配置される室(以下、室)は、従業者不在時には施錠しなければならない。
- 室への入室は、認証装置(入室カード)によって、認められた従業者のみに制限されなければならない。
- 室内の環境(機器・設備の有無、配置、利用状況等)は定期的に点検しなければならない。
-
書類・媒体等の取扱いと保管
書類・媒体等の取扱い、保管においては、以下を遵守しなければならない。
- 従業者は重要度の高い書類や媒体はキャビネット等へ収納する、または施錠保管する。
- 重要度の高い書類や媒体、情報は、業務上必要な最小限の範囲に含まれる従業者のみが使用可能とする。
- 重要度の高い書類や媒体を社外へ持ち出す場合には、情報セキュリティ管理者に申請し、許可を得なければならない。
-
事務・通信機器の取扱い
ホワイトボードやコピー機、ファックス、プリンタなどの取扱いについて、以下を遵守しなければならない。
- 従業者はホワイトボード等への書き込み内容を使用後に必ず消去し、放置してはならない。
- 従業者はコピー機、ファックス、プリンタ等の入出力書類を放置してはならない。特に重要度の高い書類は印刷および送受信の間、従業者が常に機器に立ち会うようにしなくてはならない。
- 従業者はファックス送信時には必ず宛先を確認し、誤送信を防止しなければならない。
-
人的セキュリティ
- 従業者は、情報セキュリティポリシーを遵守するほか、情報システム管理者の指示に従い適切に運用管理を行わなければならない。
-
技術的セキュリティ
- バックアップの実施
データのバックアップはミラーHDDにてバックアップを毎日行うこととする。
- パスワードの設定基準
重要度の高い書類には、パスワードを設定して管理する。
- 不正プログラム対策及びOS等のセキュリティ対策
PCおよびサーバには、ウィルス対策ソフトをインストールし、最新の状態で維持する。
OS等のセキュリティパッチの適用を定期的に行う。不正プログラム対策ソフトの適用は、週1回行う。
- ファイル共有ソフト
重要度の高い書類を格納するPCには、Winny などのファイル共有ソフトの使用は禁止する。
「URL
フィルタリング」を用いて、ファイル交換ソフトのDLサイトにアクセスをしないよう禁止する。また、ファイル交換ソフトがインストールされていないか確認する。
- メールの取扱い
業務上入手した重要度の高い書類や媒体および顧客情報を含むメールを個人が所有するPCなどに転送してはいけない。
添付ファイル付の社外宛メールは、メールの送信ログまたは重要情報検知システムにより、不正な送付でないことを管理者がモニタリングする。
- PCの使用
業務には、PCを貸与する。個人が所有するPCを、室を含む社内に持ち込むことを禁止する。
5. 問題発見時・緊急時の対応
情報セキュリティに関して問題点を発見した場合には、速やかに、情報セキュリティ管理責任者または経営者に連絡をする。
以下の場合を緊急時とする。緊急時には、速やかに、情報セキュリティ管理責任者および経営者に連絡をする。
- システムの停止等
- ネットワーク、サーバ及び端末等の利用に支障をきたす状態。
- 外部からのサイバー攻撃
- コンピューター・ウイルス、不正アクセス、DoS攻撃、DDoS攻撃、標的型攻撃及びホームページ等の改ざんの発生又は発生が疑われる状態。
- 盗難・紛失・流出
- 情報の盗難・紛失・流出又はこれらの可能性が疑われる状態。