情報セキュリティ規定

第１章　総則

(目的）
第１条　本規定は情報資産を経営活動に有効活用するため、全ての業務従事者に対し、情報セキュリティに関する行動規範を示し、経営に寄与することを目的とする。

（用語の定義）
第２条　本規定で用いる用語の定義は、次のとおりとする。
①情報セキュリティ担当者とは、全情報セキュリティの総括責任者をいう。
②情報資産とは、情報およびその関連資産をいい、情報記録媒体、情報利用手段、情報保管手段、情報システム、ネットワークなどを含む。
③機密情報とは、情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なう恐れのある情報をいう。

（対象情報）
第３条　本規定の対象情報は、媒体を問わず記録された、保管される全ての電子化情報、非電子化情報とする。

（保護対象）
第４条　本規定の保護対象は、情報のみに限らず、記録媒体、保管手段および情報システム等の全てとする。

（適用範囲）
第５条　本規定は、デジタルクリエイトにおける業務従事者に摘要する。

（情報セキュリティの評価）
第６条　情報セキュリティを定期的に評価し、適正化を図るものとする。

（規定の改廃）
第７条　本規定の施行、変更および廃棄は、情報セキュリティ担当者が制定し、通達するものとする。

第２章　情報セキュリティの保持義務

（情報セキュリティ保持の基本）
第８条　情報セキュリティの保持は、日常の営業活動、業務推進の一環として取り組む。

（目的外利用の禁止）
第９条　情報は定められた目的以外に利用してはならない。
２．情報は、非合法な手段による利用および社会通念に反する利用をしてはならない。
３．情報は提供を強要してはならない。

（情報の開示）
第１０条　外部へ情報を開示する場合は、情報セキュリティ担当者の許可を受けなければならない。
２．本規定に定める範囲外での利用が業務上生じる場合は、事前に情報セキュリティ担当者の許可を得なければならない。
３．前項の場合の責任は、情報セキュリティ担当者が負うものとする。

（情報の返却・廃棄）
第１１条　情報は、開示期限を定め、期限内に返却または廃棄しなければならない。
２．外部に保管する場合は、返却または廃棄の確認を必要とする。

（再委託先）
第１２条　情報に関する業務を再委託する必要がある場合には、再委託先にも同様の安全管理処置が整備されていることを確認しなければならない。

（業務従事者）
第１３条　業務従事者は、本規定を確認し、確認書に署名しなければならない。

第３章　情報セキュリティの管理体制

（情報セキュリティ担当者）
第１４条　情報セキュリティ担当者は、全ての情報セキュリティを総括管理してその責任を負う。

第４章　機密情報の管理

（機密情報）
第１５条　情報資産の中で、許可した者以外に開示したり、目的外に利用された場合、経営資源としての価値を損なう恐れのある情報を機密情報とする。
２．取引先の情報を預かっている場合、取引先が機密情報と指定し、かつ、情報セキュリティ担当者が同意した情報は機密情報として取り扱う。

（機密区分の設定）
第１６条　デジタルクリエイトで扱う情報には、次の機密区分を設定する。
①極秘
②部外秘
③社外秘
２．機密区分の付与は、情報セキュリティ担当者が行い、適宜、見直さなければならない。

（機密区分の表示）
第１７条　機密区分は、各情報に明示するとともに、有効期限を表示しなければならない。ただし、社外秘はこの限りではない。
１．電子化情報は、モニター表示時および印刷時に機密区分を表示できるようにしなければならない。

（機密情報の管理）
第１８条　機密情報は、施錠できる保管庫に保管しなければならない。

（機密情報の管理責任者）
第１９条　機密情報の管理は、情報セキュリティ担当者が兼務するものとする。

（機密情報へのアクセス管理）
第２０条　機密情報へのアクセス権限は、情報セキュリティ担当者が機密区分に照らし合わせて付与するものとする。
２．機密情報へのアクセス許可は、担当業務に必要な範囲とする。
３．機密情報については、利用目的を制限するとともに、アクセス権限者を制限する。
４．機密情報へのアクセス状況については、常にモニターして記録しなければならない。
５．他社から預かる機密情報へのアクセス管理は、自社情報と同等以上のアクセス管理を行い、求めに応じてアクセス状況を証明できる体制をとらなければならない。

（電子化情報の取り扱い）
第２１条　電子化情報は、その特性を考慮し、情報セキュリティの確保に努めるものとする。

（ネットワークセキュリティの確保）
第２２条　情報セキュリティ担当者が許可する接続方法のみにてネットワーク接続を許可する。
２．ネットワークを介した情報資源へのアクセスは、ユーザＩＤとパスワードによる厳密に管理されなければならない。

（個人情報の取り扱い）
第２２条　個人情報の取り扱いは、個人情報保護法および個人情報取扱い規定に準拠して行うものとする。

（知的財産の尊重）
第２３条　知的財産権は、これを尊重しなければならない。

第５章　機密情報の開示

（情報開示の条件）
第２４条　機密情報の開示は、機密情報保持契約者の対象者のみとし、開示を受けたものが第三者へ再開時することを禁止する。

（他社機密情報へのアクセス）
第２５条　他社の機密情報へのアクセスは、当該企業が許可した場合に限る。

第６章　情報セキュリティ教育

（基本教育）
第２６条　業務従事者に対して、年に１回以上の情報セキュリティ教育を実施する。

第７章　情報セキュリティ監査

（管理）
第２７条　情報セキュリティ担当者は、情報セキュリティ管理状況を点検し、管理レベルの向上に努めなければならない。

第８章　罰則

（処罰）
第２８条　情報セキュリティ管理規定に違反した者は、罰則規定にもとづき、厳罰に処す。