Kollega株式会社

情報セキュリティ基本方針

Kollega株式会社(以下、「当社」といいます。)は、ここに「情報セキュリティ基本方針」を定め、情報セキュリティの向上を図ってまいります。以下の通り「情報セキュリティ基本方針」を定めます。

1. 目的・適用範囲

1. 目的

当社は、情報セキュリティの「機密性」「完全性」「可用性」を維持することが、事業継続およびクライアントやステークホルダーの信頼を確保するうえで極めて重要であると認識しています。本基本方針は、当社が保有・取扱う全ての情報資産を適切に保護するための基本的な考え方および行動指針を示すものです。

【情報セキュリティの定義】
情報セキュリティとは、情報資産に対して不正アクセス、情報漏洩、改ざん、破壊、紛失などのリスクから保護するための技術的、組織的、物理的対策全般を指します。これには、情報の機密性、完全性、可用性を維持するための方針、手順、管理策が含まれ、全社的な取り組みを通じて実施されるものです。


2. 適用範囲
本方針は、当社の全従業者(役員、正社員、派遣社員、再委託先スタッフなど)および当社が管理する全ての情報資産(システム、ネットワーク、データ、紙媒体等)に適用されます。さらに、当社が業務を委託する外部委託先や協力会社にも本方針に準拠した情報セキュリティ対策を求めます。

2. 経営陣のコミットメントと方針の管理

1. 経営陣の責任と意義の表明
経営陣は情報セキュリティの重要性を深く理解し、組織的取り組みの目標と原則を明示します。また、本基本方針の策定・運用に必要なリソースを確保するとともに、全社的な意識向上を図ります。


2. 方針の承認と文書管理
本方針は経営陣が承認し、改ざんや不適切な変更が行われないようにバージョン管理システム等で保護します。
社内イントラネットや事業所内の掲示板等を活用して、全従業者や関係者に広く周知します。

3. 定期的なレビュー・見直し
本方針は、少なくとも年1回(または必要に応じて随時)情報セキュリティ委員会や内部監査部門などが中心となりレビューし、社会情勢や法令・規制の変更、インシデント発生状況等に応じて改訂します。

改訂時には、経営陣の再承認を得たうえで速やかに周知徹底します

3. 組織体制・責任範囲

1. 情報セキュリティ委員会の設置
当社は情報セキュリティ委員会を設置し、全社的な情報セキュリティ対策の推進、リスクアセスメント、監査結果の評価、改善策の立案を行います。


2. 責任者の任命と必要スキル

情報セキュリティ委員会の責任者には、必要な知識・経験・スキルを明確に定義したうえで任命し、社内ポータルサイトなどで公表します。
当該委託業務に使用するシステムは、すべて「システム管理台帳」に登録し、それぞれに「システム責任者」および「運用管理責任者」を明確に定義します。


3. 遵守事項の運用

法令・規制の順守、教育・訓練の実施、事件・事故(インシデント)の予防と対応、管理責任者や従業員の義務など、本方針で定めた事項を日々の業務で運用し、監査を通じて継続的に改善します。

4. 情報資産管理

1. 情報資産の識別・分類
当社が保有する情報資産を網羅的に洗い出し、重要度や機密性に応じて分類(機密・内部利用・公開など)します。分類結果は「情報資産管理台帳」に登録し、定期的に更新します。

2. ライフサイクル管理(雇用変更・終了時対応)
従業者の雇用条件が変更、または雇用終了となる場合は、速やかにアクセス権を見直し・削除し、貸与物(端末やIDカード等)の返却と秘密保持義務の継続を確認します。
雇用契約や秘密保持契約において、情報セキュリティ上の義務(社外への情報持ち出し制限など)を明文化し、全従業者が署名のうえで遵守します。

3. 未承認アクセスの防止
システムへのアクセスは、原則として上長や管理責任者による事前承認が必要です。未承認の状態で情報資産へアクセスや変更ができない仕組み(アクセスコントロール、ワークフロー等)を整備します。

第5条(個人情報の第三者提供)

1.当社は、次に掲げる場合を除いて、あらかじめユーザーの同意を得ることなく、第三者に個人情報を提供することはありません。ただし、個人情報保護法その他の法令で認められる場合を除きます。

  • 【1】人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  • 【2】公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  • 【3】国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  • 【4】予め次の事項を告知あるいは公表し、かつ当社が個人情報保護委員会に届出をしたとき
  • (1)利用目的に第三者への提供を含むこと
  • (2)第三者に提供されるデータの項目
  • (3)第三者への提供の手段または方法
  • (4)本人の求めに応じて個人情報の第三者への提供を停止すること
  • (5)本人の求めを受け付ける方法


2.前項の定めにかかわらず、次に掲げる場合には、当該情報の提供先は第三者に該当しないものとします。

  • 【1】当社が利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合
  • 【2】合併その他の事由による事業の承継に伴って個人情報が提供される場合
  • 【3】個人情報を特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人情報の項目、共同して利用する者の範囲、利用する者の利用目的および当該個人情報の管理について責任を有する者の氏名または名称について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置いた場合

5. パスワード管理規程

1.規程の策定・文書化
・パスワード管理規程を策定し、不適切な変更を防ぐために文書を保護します。
・全従業者(自社社員、運用委託社員、派遣社員等)に周知し、遵守状況を定期的に監査します。

2.主なルール
・パスワードの複雑度要件(長さ・文字種混在など)
・パスワードの定期変更(もしくは不要な使い回しを防ぐ仕組み)
・初期パスワードの変更義務化
・パスワードの使い回しや共有の禁止

6. 業務端末の利用方針

1. 端末管理台帳の整備
端末の所有者、利用者、設置場所、インストールソフトウェアなどを「端末管理台帳」に記載し、定期的に更新します。新規導入や廃棄時には台帳を更新し、責任者が承認します。

2. 物理的保護
端末をオフィス外に持ち出す場合の許可制、持ち出し端末の保管方法、盗難防止策(ワイヤーロック、鍵付き保管庫など)を定め、従業者に周知します。

3. ソフトウェアインストール制限
管理者権限を制限し、承認されたソフトウェアのみをインストール可能とします(原則、一般ユーザーはインストール不可)。必要に応じて情報セキュリティ委員会の責任者が事前審査を行い、安全性を確認したうえでインストールを許可します。

4. ソフトウェアのバージョン・パッチ適用
OSやアプリケーションソフトのセキュリティパッチを定期的に適用し、緊急度の高い脆弱性が報告された場合は速やかにアップデートを実施します。
業務影響を考慮しつつも、原則として重要な脆弱性に対しては最優先で対応します。

5. ウェブサービスの利用制限
業務に不要なウェブサイトへのアクセスを制限するため、URLフィルタリングやプロキシサーバの導入を行います。運用方法や例外申請手続きは端末利用方針に明記し、実際に運用します。

6. 暗号化
端末のHDD/SSDにはAES暗号化(BitLocker, FileVault等)を推奨・導入し、USBメモリ等の外部記憶媒体も暗号化製品を利用します。社外ネットワークとの通信はVPNやTLS1.2/1.3などの安全な暗号方式を使用し、平文送信を禁止します。

7. マルウェア対策
業務端末にはウイルス対策ソフトを導入し、定義ファイルを自動更新します。リアルタイムスキャンや定期スキャンを実施し、感染が疑われる場合は直ちに情報セキュリティ委員会の責任者へ報告します。

8. 遠隔操作による端末ロック・データ消去
紛失・盗難時に備え、端末管理システムやMDM等でリモートロック・リモートワイプが可能な仕組みを導入します。

9. 盗難・紛失時の対策手順
盗難・紛失が発生した場合の連絡先、警察への届出、保険対応の要否、リモートワイプ実施手順などを明文化し、定期的に訓練します。

10. 管理者権限の制限・ログ管理
原則として一般ユーザーには管理者権限を付与しません。
ログイン/ログアウト、プログラム実行、データベース接続等の操作ログを取得し、一定期間(1年間)保存します。

7. 執務場所に関するセキュリティ方針

当社は、当該委託業務を含むすべての業務における執務場所の物理的・環境的セキュリティを確保するために「執務場所セキュリティ方針」を別途策定し、経営陣の承認を得ています。方針は定期的(年1回以上)にレビューし、必要に応じて見直します。

1. 物理的セキュリティ(施錠管理・入退室管理)
事業所への入退室はICカードや生体認証等を用い、許可された者のみが入室できる仕組みを導入しています。施錠管理が必要なエリア(サーバルーム、機密文書保管庫等)にはアクセス制限を設定し、入室履歴を記録します。

2. 外部からの不要なアクセス防止
拠点外からのリモートアクセスはVPNに限定し、多要素認証を実施します。
社外第三者の来訪時には受付での本人確認・来訪理由の確認を徹底し、不要な立ち入りを防止します。

3. 環境へのアクセスの提供(個人機器の取扱い含む)
個人所有端末(BYOD)から社内環境へアクセスする場合は、事前申請と端末のセキュリティ要件(暗号化・ウイルス対策等)の満たしを必須とします。

4. 拠点外無線ネットワークサービスの設定に関する要求事項
公衆Wi-Fi等の利用時にはVPNを必須とし、機密情報の取り扱いを制限します。
執務場所内の無線LANはWPA2/WPA3など強度の高い暗号化方式を使用し、ゲスト用ネットワークと業務用ネットワークを分離します。

5. クリアデスク・クリアスクリーン
離席時に机上の書類や記録媒体を施錠保管し、PCはスクリーンロックをかけることを義務付けます。業務終了時には不要な書類をシュレッダー処分し、机上や共有スペースに放置しないよう徹底します。

8. バックアップおよび事業継続

1. バックアップの実施

・バックアップの取得:
業務上重要なデータ、ソフトウェア、システムのバックアップを定期的(例:毎日または週次)に取得し、万が一の障害や災害に備えます。

・保持期間:
最新のバックアップデータは最低90日間(3か月間)保持します。
長期保存が必要なデータについては、6か月間または1年間のアーカイブバックアップとして別途保管します。

・保管場所:
バックアップデータは、オフィスとは異なる物理的に分離された専用バックアップサーバーに保存します。
加えて、クラウドストレージ(例:AWS S3、Azure Blob Storage、Google Cloud Storage等)の安全な環境に、暗号化状態で保管し、データの冗長性を確保します。

・リストア手順:
以下の手順により、定期的な復旧テストを実施し、リストアの有効性を検証します。

・バックアップデータの選定:
インシデント発生時、システム管理者はバックアップ管理ツールにアクセスし、対象となるバックアップデータを選定します。

・データの整合性確認:
選定したデータの整合性を確認し、完全かつ正常な状態であることを検証します。

・テスト環境でのリストア実施:
テスト環境において実際のリストア操作を実施し、復旧手順が問題なく動作するか確認します。

・リストア手順書の作成と周知:
復旧に要する時間、手順、必要な担当者の連絡先などを文書化し、リストア手順書として全従業者および関係部門に周知します。

2. 大規模災害時の事業継続計画(BCP)

・大規模災害等が発生した場合でも情報セキュリティを維持しつつ事業を継続するため、緊急連絡体制や代替拠点の確保、復旧優先度などを定めたBCPを策定しています。

・BCPに基づく訓練やシミュレーションを少なくとも年1回(または必要に応じて随時)実施し、対策が有効に機能するか検証します。

3. 緊急時対応トレーニング

・システム利用者(社内外問わず)の役割・責任に応じた緊急時対応手順を整備し、定期的に教育や訓練を行います。

・訓練では情報セキュリティ対策が継続されるよう、通信手段の確保や手動オペレーション手順も検証します

9. 情報の転送・輸送方針

1. 転送手順・対策

・情報資産の重要度に応じて、暗号化やパスワード保護などの対策を講じ、正式な承認を得たうえで輸送・転送します。
・電子データの外部送信時は、誤送信防止のために宛先確認やファイル暗号化を義務付け、機密情報を含む場合は追跡可能な方法を採用します。

2. 物理媒体の取扱い

・紙書類やUSBメモリ等を外部へ持ち出す場合は、管理責任者の承認を取得し、記録を残します。
・配送時には追跡可能な配送サービスを利用し、受領確認を徹底します。


10. 機器・媒体の廃棄方針

1. 廃棄方法・廃棄時期の明確化

・不要となった機器(PC、サーバ、ストレージ等)や紙媒体、ソフトウェアは、情報漏えいが生じない方法(物理破壊、シュレッダー、データ上書き消去ツール等)で廃棄します。

・廃棄の時期や方法は「廃棄管理台帳」に記録し、管理者の承認を得て実施します。

2. 第三者への廃棄委託
・外部業者へ廃棄を委託する場合は、秘密保持契約(NDA)を締結し、適切な廃棄証明書の発行を求めます。


11. ネットワークセキュリティ

1. 不正アクセス防止策

・外部及び内部からの不正アクセスを防ぐため、ファイアウォールやIDS/IPSを導入し、不要な通信を遮断します。

・ネットワーク構成を定期的に見直し、脆弱性スキャンを実施します。

2. VPN機器の脆弱性管理

・社外から社内ネットワークに接続するVPN機器は、定期的にファームウェア更新や設定確認を行い、脆弱性を迅速に修正します。

3. 電子メールのセキュリティ
・メールゲートウェイにウイルスチェック機能やスパムフィルタを導入し、添付ファイルの自動検査・隔離を実施します。

・悪意あるコードを検知・保護する仕組み(サンドボックス、URLリンクの事前チェック等)を適宜導入します。

4. 外部ネットワークを利用した情報交換
・機密情報を外部とやり取りする場合は、VPNやTLS1.2/1.3などの安全な暗号技術を使用し、平文送信を禁止します。

・暗号化手順・利用手順を文書化し、全従業者に周知します。


12. インシデント管理

1. インシデント報告体制

・情報セキュリティインシデント報告のための連絡先(窓口)や報告手順を文書化し、全従業者へ周知します。

・報告フォーマットや連絡方法を明確に定義し、迅速な初動対応を可能とします。

2. インシデント対応・再発防止
・インシデントが発生した場合、原因究明、被害範囲の特定、影響の最小化、再発防止策の策定・実施を行い、その記録を管理します。

・インシデント対応後は、教訓を共有し、必要に応じて本方針や手順を改訂します。

3. 教育・訓練(フィッシング・標的型攻撃対策)

・全従業者に対し、情報セキュリティポリシーやインシデント対応手順を理解させる教育・訓練を年1回以上実施します。

・フィッシングメール訓練や標的型攻撃を想定した演習を行い、従業者のリテラシー向上を図ります。

・未受講者が発生した場合は、補講やオンライン研修などでフォローアップを行います。

13. メディア・紙媒体の保管・管理

1. 紙媒体・記録媒体の管理

・機密情報が記載された紙媒体、USBメモリ、外付けHDD等は、施錠可能なキャビネットや保管室に保管し、アクセス履歴を管理します。

・保管期間を1年とし、不要になった際には適切な廃棄手続きを行います。

2. 持ち出し・貸出管理

・紙媒体や記録媒体を社外に持ち出す際は、管理責任者の承認を得て台帳に記録し、返却時にも確認を行います。

14. 継続的改善

1. 監査・レビュー
・内部監査を定期的に実施し、本基本方針や関連規程の遵守状況、セキュリティ対策の有効性を評価します。

・必要に応じて第三者認証や外部監査を受け、継続的な改善を図ります。

2. PDCAサイクルの徹底

・Plan(計画)-Do(実行)-Check(評価)-Act(改善)のサイクルを継続的に回し、新たな脅威や技術進歩、事業環境の変化に対応します。

15. 法令遵守と周知徹底

1. 法令・規制の遵守
・個人情報保護法や不正アクセス禁止法など、関連する国内外の法令・規制を遵守します。
・遵守すべき法令や規制が改訂された場合、速やかに社内規程や運用を見直します。

2. 本方針の周知
・本方針は全従業者、および再委託先スタッフや派遣社員を含む関係者に広く公表し、定期的な教育を通じて徹底を図ります。

付則

1.施行日

2025年2月1日

2025年3月7日改定

2.改訂手続き

本方針の改訂は、情報セキュリティ委員会が提案し、経営陣の承認を得て行います。改訂後は速やかに全従業者へ周知します。

以上