預託情報保護要領

預託情報保護要領

平成  年  月  日

△△△△株式会社 御中

○○○○株式会社

1 情報の授受および保管について

① 当社が預託した機密情報(以下、預託情報という)を管理するための責任者1名、担当者1名(以下、合わせて責任者という)を、貴社が雇用している従業員の中から勤務年数、勤務態度等を考慮の上選任し、当社担当者との面談を行うこと。退職や人事異動があった場合、直ちに連絡すること。

② 預託情報は電子媒体、紙媒体を問わず最高度の機密情報として扱い、これを格納した書類や磁気媒体等は、非使用時、特に作業時間外には施錠された場所で、かつ施錠したキャビネットまたはセキュリティが確保された保管庫に保管すること。

③ 預託情報の受渡しは、双方の面識のある担当者と責任者が立会いのもとで行うこと。運送業者に依頼する場合は、信頼できる運送業者に依頼すること。

④ 電子メールは受信者のコンピュータ以外から傍受され、暴露される可能性があるので、電子メールでの企業秘密はもとより、顧客情報を送信しないよう注意すること。

⑤ 預託情報を電子メールで送信しないこと。ただし、当社責任者の承認を得た場合、あらかじめ指定された宛先に対して所定の方式で暗号化して送信すること。

⑥ 預託情報の加工・処理は、所定の場所で責任者の立会いのもとで行い、所定の場所以外へ搬出されないように常時監視すること。また、その場所へ立ち入った者の記録が残るように管理すること。

⑦ 正規のデータバックアップを除き当社の許可を得ないで預託情報を複製することを禁じる。

⑧ 郵便局への搬送には責任者が立ち会うこと。

⑨ 写真複写機は、就業時間外は電源を切り、勝手に使えない環境をつくるように努めること。

⑩ ファクシミリに関してはパスワードの設定を行うなど、休日等に使用できないように努めること。

⑪ 契約行為にかかわる電子メールの場合、公的機関の電子署名を付し、メッセージの真正性を保証および確認ができるようにすること。また、送受信した電子メールの内容を公的機関の電子署名付で保管すること。

2 預託情報格納サーバーおよび接続端末機器の取り扱いについて

① 預託情報は、1台のサーバー上(以下、預託情報サーバーという)の物理的あるいは論理的に明確に区分されたデータベースにだけ保管すること。

② 預託情報サーバーは、Webサーバー等の公開用サーバーとは区別して、ネットワークを完全に分離すること。

③ サーバーの管理責任者を置き、常時セキュリティ情報を入手して必要な措置を講じること。

④ 預託情報サーバーではTelnet利用やリモートアクセスサービスをしないこと。

⑤ 預託情報サーバーでは不要なポートを閉鎖すること。

⑥ 預託情報サーバーは、預託情報処理専用PC(以下、専用PCという)以外を接続しないこと。

⑦ 専用PCにはモデム、フロッピーディスクドライブ等の複製装置を接続しないこと。

⑧ 預託情報を他のサーバーに流通させないこと。

⑨ 預託情報サーバー上のデータを他のサーバーから利用できないようにすること。

⑩ 預託情報へのアクセス権限は、責任者およびあらかじめ許可された権限者(以下、権限者といいます)のみとする。

⑪ 業務アプリケーションの開発にあたり、預託情報サーバーを開発用サーバーとして使用しないこと。

⑫ 預託情報サーバー上のデータベースは毎日1回バックアップをとること。

⑬ バックアップは権限者だけが行い、バックアップ媒体は権限者が施錠できる保管場所にある所定の保管庫に保管すること。

⑭ 預託情報の出力は権限者が立会いのもとで行うこと。

⑮ 預託情報データベースへのアクセスについて、日時、成功・失敗、アクセス元等の記録を3か月間保管すること。

⑯ サーバーに保管するパスワードは、一方向性の暗号化を施して、システムファイルに保管すること。

⑰ システム特権を使用した業務を行う場合には、利用者の認証は、パスワードと指紋照合(あるいは、ICカード)によって行うこと。

⑱ 電子メールアカウントへは、特定の管理担当者以外はアクセスできないように、アクセス権限を設定し制御を実施すること。

3 預託情報サーバーおよび接続端末機器の利用について

① コンピュータの電源を入れたときに画面の異常の有無を確認すること。

② ログインをしたときに、自分が前回ログオフした時間を確認すること。

③ 預託情報をPCで確認するときやパスワードを入力するときなどには、背後に権限外の人がいないかどうか確認すること。

④ 業務終了時には必ずセッションを切断すること。

⑤ 専用PCを使用しないときにはキーロック、パスワードや他の保護対策を実施すること。

⑥ 専用PCは、未使用状態で一定時間(5分)を経過した場合にはPCの画面をクリアーし、アプリケーションを終了したうえでネットワークのセッションが切れるように設定すること。

⑦ コンピュータ起動時からメモリーに常駐する形式で最新のワクチンプログラムを稼働させること。

⑧ 専用PC上に預託情報を残さないこと。

⑨ 預託情報サーバー、専用PCには不要なソフトウェアをインストールしないこと。

⑩ 専用PCは預託情報の業務上の使用時だけに使用すること。

⑪ パスワードの管理について次の点を遵守すること。

a 他人とパスワードを共用しないこと

b パスワードをメモに残さないこと

c パスワードは8文字以上にすること

d パスワードの文字列に、推測しやすい名前、利用者ID、会社名、電話番号、生年月日等を使用しないこと

e 連続の同一文字、連続数字およびアルファベットのみの設定をしないこと

f 1か月に1回、パスワードを変更すること

g マクロキーやファンクションキー等に記憶される自動ログオンプロセスに、パスワードを含めないこと

h 1度利用したパスワードは使用できないように設定すること

i バスワードの試し回数を定めて、それ以上の場合、一定期間端末がロックされるように設定すること

4 データ内容等のチェック

① データの内容に関して、月1回、検査を行い記録に残すこと。

② 週1回、預託情報データベースに対するアクセスの記録を調査し、権限者以外からのアクセスおよび成りすまし等のアクセス異常が発見されたときは報告すること。

5 教育研修

① セキュリティおよび個人情報保護の教育研修を実施したときは、日時、講師、内容、方法、参加者について記録すること。

② 教育研修の実施にあたっては、次の事項を含めること。

a 本要領の内容のうち受講対象者に必要な部分

b コンピュータネットワーク上で作成、保管、送信および受信される情報・データは、会社が設定する自動監視ソフトウェアで監視されていること

c 会社のコンピュータは業務の遂行のためにあり、個人のプライバシーの保護は保証されていないこと

d ウイルス対策

e 専用PCへの不要ソフトウェアのインストール禁止

f 就業規則の懲戒規定

6 事業所内部のセキュリティについて

① 預託情報を扱う部屋には入室許可者のみの出入りとすること。

② 預託情報を扱う部屋の入退出記録簿を作成すること。

③ 預託情報を扱う部屋に立ち入る者に対してネームプレート等を着用させること。

④ 預託情報を扱う部屋は常に施錠管理すること。

⑤ 退社時や外出時に机の上に預託情報を置かないこと。

7 廃棄等

① 当社指示により預託情報を廃棄する場合、シュレッダーにかけて読み取り不能すること。その上で信頼できる廃棄物処理業者に廃棄を委託すること。

② 預託情報を記録したコンピュータを廃棄するときは、特別のプログラムを使用して預託情報を完全に消去するか、ディスクを物理的に破壊してから廃棄すること。

③ 預託情報を記録したコンピュータを他に転用するときは、特別のプログラムを使用して預託情報を完全に消去してから転用すること。

④ 預託情報の廃棄作業は責任者もしくは権限者の立会いのもとで行うこと。

8 再委託

① 当社が貴社に委託した業務(以下、本件業務といいます)の再委託はできないこととする。

② 本件業務を再委託するときは、機密保持契約に従い当社の承諾を得ること。

③ 再委託する場合、当社が貴社に対しているのと同等以上のセキュリティ対策を講じること。

9 障害発生時の対応

① 防火管理者を選任して預託情報を保護するための火災発生時の訓練を実施すること。

② 災害時に備えて、予備サイトを設けて、移行のための手続きを定め、移行訓練をすること。

以 上

シェアする

  • このエントリーをはてなブックマークに追加

フォローする