第1章 総則

（目的）
第1条　本基本方針は、当社における情報セキュリティを適切に維持・向上するための基本事項を定め、業務の適正な運営を図り、もって事業の発展に資することを目的とする。
2　当社の情報セキュリティは本基本方針によるほか、別に定めるものがある場合はそれに従う。
（注）別に定めるものの主なものは次の通りである。

規程名
（1）文書管理規程
関係事項・・・文書の作成、取扱い等

（2）インサイダー取引防止に関する規程
関係事項・・・インサイダー情報の取扱い等

（3）個人情報取扱規程
関係事項・・・個人情報の保護および取扱い

（用語の意義）
第2条　この基本方針における用語の意義は次の通りである。
（1）「情報セキュリティ」とは、次に掲げる脅威から会社の情報資産を守ることをいう。
　ア自然の脅威（地震、火災、風水害等）
　イ情報システムの脅威（情報システムの故障、誤作動等）
　ウ人間の脅威（不正行為、誤操作等）
（2）「セキュリティ要件」とは、情報資産を守るための機密性、完全性および可用性の3要件をいう。
（3）「機密性」とは、許可された者だけが情報にアクセスできることをいう。
（4）「完全性」とは、情報および処理方法が正確で完全であることを保持することをいう。
（5）「可用性」とは、許可された者が必要なときに情報にアクセスできることをいう。
（6）「開示範囲峻別の原則」とは、機密性を満たすために、利用すべき者のみが情報資産を利用する原則をいう。
（7）「社員等」とは、役員その他当社と雇用契約を締結している者をいう。
（8）「情報システム」とは情報システム管理規程に定める情報システムをいう。

（対象範囲）
第3条　本基本方針の対象とする範囲は、以下の通りとする。
（1）対象とする情報資産
当社の業務において、対象者が取得、作成または所有する情報とする。文書その他の記録媒体により記録されているものに限らず、業務上知りえた知識・ノウハウ等を含む。
（2）対象とする業務
当社の情報資産を用いる業務を対象とする。
（3）対象者
本基本方針は、社員等を対象とする。

第2章　情報セキュリティの基本的考え方

（情報資産の利用）
第4条　対象者は、本基本方針および社内規程等の定めるところによって、業務目的にのみ、その情報資産を利用することができる。

（基本原則）
第5条　本基本方針における情報セキュリティの基本原則は以下に掲げる通りとする。
（1）情報資産の管理区分の明確化
情報資産は、本基本方針に定める情報セキュリティ要件によって重要度を判断し、それぞれに応じた管理区分や管理要件を定めて管理されなくてはならない。
（2）開示範囲の峻別
「開示範囲峻別の原則」が適用される状態を確実にするために、必要な情報資産に対して、対象者の識別と認証を伴ったアクセス制御がなされなくてはならない。
（3）管理責任と役割の明確化および権限の分離
情報資産は、当該情報資産に関係する対象者の役割や責任を明確にして、管理されなくてはならない。
また、情報資産の管理に際しては、不注意による誤操作および故意による悪用を防止するため、職務（権限領域）の実行や管理の権限を必要に応じて分離し、相互牽制が働くよう考慮するものとする。
（4）継続的改善
情報セキュリティマネジメントシステム及び、情報セキュリティに関する目的を設定し、定期的にレビューし、継続的に改善を実施し、維持する。

第3章　情報セキュリティの管理

（情報セキュリティ統括責任者）
第6条　当社の情報セキュリティを統括する情報セキュリティ統括責任者を設置し、経営企画部長がこれにあたる。

（情報資産管理の役割および責任）
第7条　情報資産に関する管理上の役割および責任は、次に掲げる分類に従い定めるものとする。
（1）情報主管者（情報資産の主管者、および情報システム等情報資産を取扱う仕組みの管理運用者）
（2）情報利用者（情報資産の利用者）

（第三者等による情報資産使用）
第8条　業務上の理由により、本基本方針の適用対象外である第三者または他会社等に対して当社の情報資産を使用させる場合、当該第三者または他会社等による情報漏えい等を防止するため、情報資産の使用制限を定め、かつ、必要な事項を記載した秘密保持契約等を締結しなくてはならない。

第4章　情報資産の区分と取扱い

（情報資産の区分）
第9条　情報資産はその情報セキュリティ要件に鑑み、その重要性および「開示範囲峻別の原則」に従って、区分され管理されなくてはならない。また、情報漏えい等を防止するため、情報資産の利用範囲および利用条件は明確に示されなくてはならない。
2　区分の方法およびその取扱いについては、別に定めるところによる。

第5章　人的セキュリティの確保

（秘密保持）
第10　条会社は、本基本方針および関連規程等に定める当社の秘密保持について、対象者の合意を得るものとする。

（情報セキュリティ教育）
第11条　会社は、対象者が本基本方針および関連規程等を遵守できるよう、適切な教育を定期的あるいは必要に応じて実施するものとする。

第6章　物理環境セキュリティ

（情報資産の保護）
第12条　会社は、情報資産を犯罪および災害から保護するために、情報資産の重要度に応じて、物理的な保護管理措置の設置等、適切な防犯や防災対策を講じるものとする。

第7章　情報システムのセキュリティ

（情報機器の管理）
第13条　会社は、情報資産に対する物理的な不正行為を防御するため情報機器の設置、移動、持出しおよび廃棄について管理を行うものとする。

（携帯情報機器の管理）
第14条　携帯情報端末等を管理する情報主管者は、当該情報端末等の保護および管理手順を定め、これを情報利用者に周知徹底するものとする。

（情報技術の採用）
第15条　情報セキュリティ統括責任者は、社内で使用するコンピュータ、ネットワーク機器およびソフトウェアその他の情報技術の採用について、必要な情報セキュリティ要件を示すものとする。

（コンピュータおよびネットワークの運用および管理）
第16条　情報主管者は、情報システムの管理が適正な運用が保証されるように、運用および管理の責任範囲を明確にし、手順を策定するものとする。
2　運用および管理の手順の策定においては、不注意による誤作動や故意による悪用を防止するために操作権限の分離および相互牽制が働くよう考慮するものとする。

（ネットワークの外部接続等）
第17条　当社が管理するネットワークに対して新たに外部接続を行う場合、または既存の接続形態を変更する場合、情報主管者は事前に情報セキュリティに関してリスク分析と評価を行わなくてはならない。

（ネットワークの使用）
第18条　当社が管理するネットワークは、規程等が定めるところに従い、適正に使用しなくてはならない。

（アクセス制御の方針）
第19条　情報システムに関するアクセス制御は、「開示範囲峻別の原則」に基づき、情報主管者が承認した情報利用者のみが情報にアクセスできるよう、原則個人毎に設定する。

（情報利用者責任の明確化）
第20条　情報利用者は前条により設定されたアクセス制御において自らのアクセス権の管理について責任を負う。

（不正プログラムの検知と対策）
第21条　会社はコンピュータウィルス等情報システムに悪影響を及ぼす悪意を持った不正プログラムの侵入を防止し、会社の情報資産の機密性、完全性および可用性を維持するための対策を講じるものとする。

（監視と記録）
第22条　情報主管者は、情報システム上の情報資産へのアクセスが適正であることを確認するために、アクセス状況の監視と記録を常に実施するものとする。

（情報システムの開発および保全）
第23条　情報システムの開発、購入および保守において、必要な情報セキュリティ機能の組込みを実現するために、情報主管者は必要な情報セキュリティ要件を明確に示し、確実に要件が満たされていることを開発の各局面において確認するものとする。

（データの正当性維持）
第24条　情報システムの開発、運用および改修に際しては、データ消失や改ざんが行われていないことを確実にし、データの誤用を防止するものとする。

第8章業務継続計画等

（セキュリティ事故の対応）
第25条　情報セキュリティ統括責任者は、情報漏えい等の情報セキュリティに関する事故に対し、その対応に関する行動指針を策定する。

（業務継続計画）
第26条　情報主管者は障害および災害等の情報セキュリティに関する事故に対し、業務継続計画を策定する。

（例外措置）
第27条 法令による規定や犯罪行為の排除等により、本方針に定めのない例外的な対処が必要となった場合、情報セキュリティ統括責任者は例外措置を取ることができる。

（基本方針等の改正）
第28条 本方針に定めのない情報セキュリティに関わる事態が発生した場合、情報セキュリティ統括責任者は速やかに本方針および関連規程等の改正等を行うものとする。
2　情報セキュリティ統括責任者は、前項の改正等が実施されるまでの間、情報セキュリティ維持のための適切な措置を取るものとする。

2011年1月1日施行
2024年8月27日改正