Information Security Management Regulations 情報セキュリティ管理取扱規定

第1条

この規定は、会社保有の情報等の適切な活用、保全、運用に関し、会社取締役、社員全員が職務遂行上遵守すべき基本事項を規定し、全社的情報セキュリティ管理を実現することにより経営管理の品質向上を図ることを目的とする。

第2条

1. 会社のすべての会社保有情報のセキュリティ管理は、この規定に則って行う。
2. 顧客及び社員等に関する個人情報については、この規定よりも高度なものを求める部分については、さらに別途定める個人情報保護規定（プライバシーマーク）に基づくものとする。

第3条

1. この規定における用語の定義は次のとおりとする。
   1. 会社保有情報とは、電子情報、非電子情報にかかわらず会社が保有する全ての情報をいう。
   2. 会社保有情報には別段の定めのない限り、職務の遂行によって新たに生成または拡充された情報が含まれるものとする。
   3. 会社保有情報には、会社の所有する情報だけでなく他社から正当に入手し保有する会社保有情報も含むものとする。
2. 他社とは、会社及び会社取締役、社員以外の個人、法人、団体等をいう。
3. 社員とは、会社と雇用関係（契約社員及びパートタイマーを含む）を有するすべてのものをいう。
4. 電子化情報とは、情報システムによって処理可能な状態にある情報をいう。
5. 非電子化情報とは前項以外の情報をいう。
6. 情報システム管理責任者とは、情報内容の変更、開示等に関する意思決定間及び情報管理権限を有する者のことを言い、情報作成者所属グループレベル以上の部門責任者がこの職務に任せられるものとする。
7. 開示とは、手段、方法の移管、社内外を問わず、特定の相手方又は不特定多数の相手方に電子的または非電子的な方法により送信、伝達、送付、表明、又は示すことをいう。
8. 公表とは、不特定多数の他者に開示することをいう。
9. アクセスとは、情報の閲覧を含み、情報利用すること、および情報利用手段を使用することをいう。
10. アクセス権限とは、アクセスできる権限をいう。
11. アクセス権限者とは、アクセス権限を有するものをいう。
12. 情報セキュリティとは、情報を必要とするアクセス権限者のみが正しい内容情報を正しく利用できるよう、会社保有情報を安全に保護することをいう。
13. 情報セキュリティの管理とは、情報セキュリティを維持、運営、向上させるため、会社保有情報及びその環境を管理することをいう。

第4条

すべての取締役及び社員は会社保有情報のセキュリティを保全しこれに対する注意義務を負う。

第6条

1. すべての取締役及び社員は、会社保有情報を会社業務以外の目的に利用してはならない。
2. すべての取締役及び社員は、会社保有情報の使用目的が限定されているかどうかを確認する義務を負い、使用目的が限定されている場合は、その目的以外に使用してはならない。
3. すべての取締役及び社員は、会社保有情報を許可なく社外に持ち出したり他者に開示したりしてはならない。
4. すべての取締役及び社員は、情報取り扱いに関する全ての法令を遵守しなければならない。なお、本規則よりも厳しい法令はこの規則に優先して従わねばならないものとする。

第7条

1. 情報システム管理責任者は、職務遂行上必要な場合に限り、社外の業務委託先を指定し、会社保有情報に係る業務の一部または全部を委託することができる。ただし、この場合、委託する業務内容は職務遂行上必要な範囲に厳しく限定するとともに、業務委託先におけるその守秘義務及び複製物の取り扱い方法を含む、会社保有情報の情報セキュリティを規定 した機密保持契約を業務委託先と締結し、これを遂行させなければならない。
2. 業務委託先の選定基準としては、①既に金融取引システムの開発実績がある、②システムの構築にあたり再委託（子会社及び関連会社を含む）をしない、③システム障害時における速やかな対応が可能である、④ＩＳＯ/IEＣ２７００１、 JISQ１５００１、 プライバシーマークのいずれかの認証業者（その時点で認証業者でない場合は、認証していただく）である旨を条件とする。
3. 情報システム管理責任者は、業務委託先に会社業務を委託した場合、当該業務終了後の会社保有情報及びその複製物の返却、破棄等の処理結果を文書等により確認しなければならない。

第8条

会社保有情報は、アクセス権限者が正しい内容の情報を必要なときに利用できる状態に保つとともに、安全に管理し保護しなければならない。

第9条

1. 情報システム管理責任者は、この規定の定めた基準を下回らない限りにおいて、所管する門における具体的な情報セキュリティ管理実施方法を規定することができる。
2. 情報セキュリティの管理方法は、この規定及び関連諸規則に準拠するとともに、関係諸法令等に示された基準を満たすことでなければならない。

第10条

1. 情報システム管理責任者はアクセス権限を職務遂行上必要な者のみに対し付与し、職務遂行上必要な範囲に限定しなければならない。
2. 情報システム管理責任者は、アクセス権限付与の要請を受けた場合、前項に基づいて厳粛に判断しなければならない。

第11条

1. 会社保有情報へのアクセスは、アクセス権限者のみ行うことができる。
2. 会社保有情報へのアクセスは、情報システム管埋責任者が指定した条件のもとに行わなければならない。

第12条

会社保有情報へのアクセスは、記録ログを一定期間残すものとし、有事の際には適時、適切かつ有効に利用されるよう管理されなければならない。

第13条

会社保有情報内容の変更は、情報管埋システム責任者、および情報管理システム責任者の許諾を得たか、または権限の委譲を受けた者のみ行うことができる。

第14条

部門長は、他社（者）が契約書、誓約書等により機密保持を必要とする場合においては、その契約は必ず契約管理部門の審査を受けて同部門の了承を得なければ締結してはならない。また、係る契約に基づき受領する相手方の情報についてはその契約に基づきこれを管理する。

第15条

他社（者）から開示を受けた情報へのアクセス等の管理は、所有権が会社にないことに鑑み本規定を遵守することに加え、開示に係る契約書、誓約書等がある場合には、それらに基づき、厳重に行わなければならない。

第16条

1. 情報システム管理責任者は、所轄部門において、アクセス権限者以外の者の立ち入り禁区域を指定することができる。
2. 立ち入り禁止区域においては、情報システム管埋点任者は、アクセス権限者である旨の表示及びアクセスの記録等により管理を徹底しなければならない。

第17条

情報セキュリティおよびシステム障害に関して不測の事態が発生する恐れのある場合、または発生した場合には、情報システム管理責任者は関係部門および外部委託先と連携をとり、これに迅速に対処するものとする。

第18条

半年に１回程度または、関係法規の変更あり次第、各部門長による研修の実施により周知徹底を図る。

第19条

関係法令の変更や規程の変更に必要な場合が生じた場合には、各部門長が随時見直しを行うものとする。