第1条(目的)
本ポリシーは、当社が取り扱う顧客情報および業務情報を適切に保護し、情報漏えい、不正利用、サイバー攻撃等のリスクを防止することを目的とする。
第2条(基本方針)
当社は以下の原則に基づき情報を管理する。
- 機密性の確保
- 完全性の維持
- 可用性の確保
- 法令遵守
- 継続的改善
第3条(適用範囲)
本ポリシーは以下に適用する。
- 役員
- 全従業員
- 募集人
- 派遣社員・パート
- 外部委託先(契約により義務付け)
第4条(情報資産の定義)
① 顧客情報
- 氏名
- 住所
- 生年月日
- 契約内容
- 事故情報
② 業務情報
- 手数料情報
- 経営資料
- 社内資料
第5条(管理体制)
■情報セキュリティ責任者
代表取締役
■管理担当
管理部長
第6条(アクセス管理)
- 業務システムは個人IDで管理
- パスワードは8文字以上・英数字混在
- 90日ごと変更
- 退職者は即時アカウント削除
- 共有ID禁止
第7条(端末管理)
- ウイルス対策ソフト導入
- OS自動更新
- 画面ロック5分以内設定
- 私物PC業務利用禁止
- USBメモリ使用原則禁止
第8条(データ管理)
- 顧客データはクラウド保存
- 定期バックアップ(週1回以上)
- 紙書類は施錠保管
- 廃棄時はシュレッダー処理
第9条(メール・インターネット利用)
- 不審メールは開封禁止
- 添付ファイルはウイルス確認後開封
- 個人メールで業務送信禁止
- SNSで顧客情報発信禁止
第10条(持出管理)
- 顧客情報の持出は原則禁止
- やむを得ない場合は責任者承認
- 暗号化必須
第11条(サイバー攻撃発生時対応)
発見時は以下を実施する。
- ネットワーク遮断
- 責任者へ即時報告
- 保険会社へ連絡
- 専門業者へ依頼
- 顧客通知対応
第12条(教育)
- 年1回情報セキュリティ研修実施
- 標的型メール訓練実施
- 受講記録保存
第13条(委託先管理)
- 業務委託契約に守秘義務条項を明記
- 個人情報保護水準確認
第14条(内部監査)
年1回、情報セキュリティ管理状況を内部監査対象とする。
第15条(事故発生時の報告)
以下の場合、直ちに責任者へ報告する。
- 情報漏えい疑い
- 端末紛失
- 不正アクセス
第16条(罰則)
重大な違反があった場合は就業規則に基づき処分する。
第17条(見直し)
本ポリシーは年1回見直す。