情報セキュリティ基本方針

情報

2005年8月3日 制定
2018年6月14日 改定

株式会社NTTデータ エマーズ
代表取締役社長 吉田 貴和

株式会社NTTデータ エマーズ(以下、「当社」と記す。)は、ITサービス業界に身をおく企業として、お客様のシステムやデータ等の情報資産並びに当社経営資源としての情報資産をあらゆる脅威から保護することを社会的責務と考えております。
情報サービス企業としてセキュリティ対策の重要性を認識し、情報の保護に努力することはもちろん、管理体制を強化することにより、お客様の信頼を高め顧客歓喜を呼び起こして参ります。
ここに、情報セキュリティに関して社内の意思統一を図り、情報資産の保護を徹底するために情報セキュリティの基本方針を定め、セキュリティ対策を実践して参ります。


1.情報セキュリティの目的

当社は、さまざまなセキュリティ上の脅威から、お客様並びに当社の情報資産を守り、安定したシステム運用サービス並びにシステム開発サービスを提供することを組織の目的とします。


2.適用範囲

この情報セキュリティ方針は、当社の全事業活動に係る情報資産を対象とします。


3.基本方針

  • (1) 情報資産の安全対策
    当社は、お客様からお預かりした情報資産および当社の情報資産を、偶然や故意という区別に関係なく改竄、破壊、漏洩等から保護されるよう、管理策の強化を図ります。
  • (2) 法令、規範の順守
    当社は、情報セキュリティに関連する各種法令や行政機関その他が定めた規範、及び顧客や取引先の契約に含まれるセキュリティ要求事項を順守します。
  • (3) 教育・訓練
    当社は、情報資産を利用するすべての従業者に対し、情報セキュリティの重要性を認識させ、情報セキュリティ方針を順守するように教育・訓練を行います。
  • (4) 事業継続の管理
    当社は、重大な障害または災害の影響から重要な業務手続きを保護し、事業活動の中断に対処するため、事業継続計画を定期的に作成・訓練を実施し、緊急時の使用に耐え得るよう維持します。
  • (5) 情報セキュリティインシデントへの対応
    当社は、情報セキュリティ上の事件・事故の防止に努めるとともに、万一発生した場合には、原因究明、事故対応を迅速に実施するのみならず、適切な再発防止策を速やかに講じます。
  • (6) 継続的な改善
    当社は、以上の活動を実施し前文に揚げた目的を達成するために、情報セキュリティ運営体制を設置し、維持し、継続的改善に努めます。

4.個別方針

  • (1) 取外し可能な媒体の管理(A.8.3.1)
    記録媒体や印刷帳票は、セキュリティを保ち利用、保管する。
  • (2) 媒体の処分(A.8.3.2)
    • 記録媒体や印刷帳票は、物理破壊、焼却、シュレッダー利用など、安全・確実に処分する。
    • 業者に委託して処分する場合は、十分な管理および経験がある委託先を選定する。
  • (3) 物理的媒体の輸送(A.8.3.3)
    • 信頼できる輸送機関または宅配業者を選択し、管理者の承認を得る。
    • 媒体製品の仕様に照らして十分な強度の梱包を行う。
    • 重要情報を取扱う場合、認可されていない開示や改竄から保護する。
  • (4) アクセス制御の方針(A.9.1.1)
    • 許可された者のみ、アクセス権限を付与する。
    • アカウントおよびアクセス権限の登録・変更・削除の手順を明確に定め、運用する。
    • 従事する業務および取り扱う情報資産分類に応じ、アクセス範囲を制限する。
    • アカウントの利用状況を定期的に確認し、正しく管理する。
  • (5) 暗号による管理策の利用方針(A.10.1.1)
    機密情報を電子ファイルにて保管する場合は、暗号化を行う。
  • (6) クリアデスク・クリアスクリーン(A.11.2.9)
    • 帰宅時や長時間離席する場合は、書類や記録媒体をキャビネットに保管する。
    • 重要な書類や記録媒体は、セキュリティが確保された場所に保管する。
    • パソコンを長時間使用せず離席する場合は、パスワード付きスクリーンセーバーまたはシャットダウンを行う。
    • 重要な情報や機密情報等を印刷した場合、出力後、プリンタに放置せず、速やかに取り除く。
  • (7) ウイルス対策(A.12.2.1)
    • ネットワークや各種機器・記録媒体等を経由して侵入するウイルスを防止する。
    • 社外へ持ち出す機器およびお客様へ納品する記録媒体は、その都度ウイルス検査を行う。
    • ネットワークより送信するファイルは、事前にウイルスに感染していないことを確認する。
    • 使用する機器は、定期的にウイルス検査を行う。
  • (8) 情報のバックアップ(A.12.3.1)
    • 指定したサーバーのデータやシステム領域等について、定期的にバックアップを行う。
    • バックアップが正常に実施されていることを、定期的に確認する。
    • バックアップのデータは、事業継続の観点を考慮し、異なる施設にて保管する。
    • バックアップしたデータを、リストアする手順を確立する。
  • (9) 情報転送の方針(A.13.2.1)
    • 機密情報を電子メールの添付ファイルで送信する場合は、暗号化を行う。
    • 公共の場では、業務情報を話さない。携帯電話では周りに注意を払う。
    • FAXを使用する場合、送信前の番号確認及び送信後の到達確認を行う。
    • 重要情報等の印刷物は放置を禁ずる。
  • (10) 供給者関係のための情報セキュリティ方針(A.15.1.1)
    供給者など外部の関係者が自社の情報資産にアクセスする場合、当社の情報セキュリティ方針に従うことに合意し、機密保持誓約などで締結する。