1.趣旨
本規程は、セキュリティインシデントが発生した場合及びセキュリティインシデントの 発生と疑われる場合、適切な連絡経路を通じて極力速やかに報告し、定められた手順に従 って迅速に対応し、情報システム環境の復旧が速やかになされることと、発生した事態か ら問題点や改善点などに対する学習を行い、継続的な再発防止が行われることを目的とする。
当社におけるセキュリティインシデントとは次のような事態を指す。
- セキュリティに対する侵害
例 不正アクセスによる情報漏えい、従業員による情報漏えい、ウイルス・マルウエア感染、DoS 攻撃、記録媒体等の紛失 等 - システム・ネットワークの故障・損壊
例 電源異常、熱暴走、天災による機器損壊 等 - 情報資産への脅威
例 建物への侵入 等
2.対象者
本規定の対象者は、当社の正規従業員、非正規雇用従業員(派遣社員、契約社員、パートタイマー、アルバイト等)、インターン、業務委託契約者、及び会社の役員(代表社員等)を含む、当社業務に関与する全ての者を指します。
3.対象システム
本規定で言及する対象システムには、当社業務遂行に関連するすべてのシステム、ネットワーク、データベース、アプリケーション、クラウドサービス、ハードウェア、及びその他関連するIT資産が含まれます。これには、当社が提供する、もしくは業務遂行のために第三者が提供するシステムも含まれ、それらが当社の業務上の目的で利用されている場合に限らず、セキュリティインシデントが発生する可能性がある全ての領域を包含します。
4.遵守事項
顧客の同意・承認の元、未然に防げなかった事態が発生した際に、事態の可及的速やかな収拾と被害や影響範囲を最小にするために、平時からの取組と組織・役割の責任の明確化・伝達方法・事態の評価と対応及び再発防止を含む学習についての取り組みを明確にする。
4-1.平時の準備
セキュリティインシデントが発生した場合、あるいは発生が疑われる場合は情報セキュリティ責任者に遅滞なく報告がなされ、速やかにセキュリティインシデントの分析、封じ込め、原因の根絶、復旧が可能となるよう、4.2項以降に示す対応について以下の準備作業を行い、関係者に周知・徹底する。
- 情報セキュリティ責任者は、想定するセキュリティインシデントの具体的な対応手順を策定する。対応手順には,次の事項を含む。
・緊急時対応の対応組織の始動、及び終了に関する契機
・緊急時対応の対応組織の役割、責任の明確化なお、緊急対応の実行責任者は,緊急時対策に関するすべての判断の権限及び責任をもつものとする。(代表社員)
・組織の内部及び外部機関との協力関係の明記
・組織の内外への必要な連絡先の明記。(セキュリティインシデント発生時には、サーバ社、クラウドサービス提供社、東京商工会議所、および必要に応じた法的支援機関と協力し対応を行う) - 情報セキュリティ責任者は、策定した対応手順でセキュリティインシデントに対応可能となるよう、定期的に訓練を行い、併せて対応手順に問題がないか確認を行い、対応手順に問題があれば是正する。
- 情報セキュリティ責任者は、セキュリティインシデントの検知に必要な情報セキュリティ対策の導入に向け、情報セキュリティマネジメントを遂行しなければならない。
- 情報セキュリティ責任者は、各システムの復旧優先度を決定しなければならない。復旧優先度の決定は、対象システムにおいて運用される業務の停止許容時間を観点において行う。(表1参照)
4-2.事象の検知、報告と分析
セキュリティインシデント、あるいは発生が疑われる事象を検知したものは、情報セキュリティ責任者に遅滞なく報告しなければならない。
情報セキュリティ責任者は、報告されたセキュリティインシデントに応じ、策定した対応手順に従い、被害の特定、原因の分析を行う。
なお、策定した対応手順に該当しないセキュリティインシデントの場合、情報セキュリティ責任者は、そのための実行責任者を任命し、対応組織を始動し、被害の特定、原因の分析を行う。
検知したセキュリティインシデント情報、原因の分析状況について、実行責任者のもと、一元的に収集、管理する。
4-3.封じ込め、根絶、復旧
特定したセキュリティインシデントの原因に基づく対応手順に則り、被害の拡散を防止し、原因の修正、修復を行い、復旧をする。以下の情報を管理、記録する。
- セキュリティインシデントの発生状況及び対応状況に関する情報
- 自社のビジネス活動再開に関する情報
- 顧客及び取引先等利害関係者の影響等に関する情報
4-4.インシデントからの学習
セキュリティインシデントの対応後、同様のセキュリティインシデントの再発防止、および対応手順の不備等について改善を行う。
- セキュリティインシデントへの対応が完了した後、情報セキュリティ責任者およびシステム管理担当者は、調査結果をもとに再発防止計画を作成しなければならない。再発防止計画作成時には、技術的側面と組織的側面の両方に留意する。
- 情報セキュリティ責任者は発生したインシデントのうち、以下の要件を満たすものについては、再発防止計画と共に取締役会に報告しなければならない。
・社外の第三者からのセキュリティ侵害により当社が被害者となる場合
・顧客や取引先等の社外に対して当社が加害者となる場合 - 再発防止計画は、顧客及びすべての対象者に周知され、適切に実施されなければならない。
- 情報セキュリティ責任者は、セキュリティインシデントの発生から再発防止計画作成までの一連の管理した記録から、対応手順の不備、または良かった点を整理し、対応手順を改善しなければならない。また、一連の記録を保管、管理しなければならない。
5.運用確認事項
インシデント発生時における対応方法について、あらかじめ報告及び復旧等に向けた手順を作成しているか確認する。また、インシデント対応実施後に再発防止策、対応手順の改善が行われているか、確認する。
6.例外事項
業務都合等により本規程の遵守事項を守れない状況が発生した場合は、情報セキュリティ責任者に報告し、例外の適用承認を受けなければならない。
7.罰則の適用について
本規定に違反があった場合、当社の社内規定および就業規則に基づき、従業員に対しては適切な指導および処分を行います。これには、注意喚起、業務指導、書面による警告、一時的な業務停止、降格、または解雇処分を含む可能性があります。処分の適用に際しては、違反の重大性、影響範囲、意図的か否か等を総合的に判断し、公平かつ適正な手続きに基づいて対応します。
合同会社における社員や代表社員が本規定に違反した場合には、その立場に応じた対応を取るものとします。社員については、業務執行における責任が問われる場合があり、規定違反の重大性に応じて以下の措置が検討されます。
- 社員総会の決議に基づく業務執行権限の制限または剥奪。
- 業務執行者が代表社員である場合、社員総会の決議に基づく代表社員の解任。
- 規定違反による損害が発生した場合の損害賠償請求。
罰則の適用に際しては、対象者が従業員、社員、または代表社員であるかを問わず、当該違反行為の影響を慎重に検討し、公平性を担保した上で適切な対応を講じるものとします。また、処分の過程では、対象者に十分な説明と弁明の機会を提供し、適正なプロセスを経ることを徹底します。
8.公開範囲について
本規程は、当社の顧客および対象者に対してのみ、適切な形で公開するものとします。本規程の内容については、必要な範囲で透明性を確保することを目的としつつも、セキュリティに関わる重要な情報を保護する観点から、公開範囲を限定的なものとします。また、顧客および対象者以外への公開が必要となる場合は、個別の判断および承認を得た上で慎重に対応いたします。
9.改訂について
本規程は、2023年9月1日に情報セキュリティ責任者の承認を受け、2023年9月末日より正式に施行されました。本規程の改訂を求める者は、改訂内容およびその理由を明記した申請を、情報セキュリティ責任者に提出するものとします。情報セキュリティ責任者は、申請内容を精査し、必要に応じて関係者と協議の上、改訂が適切であると判断した場合には速やかに規程を改訂し、その内容をすべての対象者に対して適切な手段を用いて通知します。
さらに、本規程は年に1度を目安として定期的に内容を審議し、法令の変更や業務内容の変化、最新のセキュリティ要件に適合させるための改訂が必要である場合には、速やかにその内容を反映します。改訂後は、その変更内容と改訂理由について、顧客および対象者を含む関係者に対して明確に通知し、周知を徹底するものとします。
2024年12月1日:公開範囲についての記述に詳細な説明を追加しました。また、罰則事項に合同会社特有の社員や代表社員への対応を明記しました。対象者の範囲についても、非正規雇用者や業務委託者を含む詳細な説明を追加し、内容を改訂しました。
2023年9月1日:情報セキュリティ責任者による初版承認。本規程を2023年9月末日より施行。