当社は、当社の情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、Ⅰ.情報システム利用規程、Ⅱ.情報セキュリティインシデント管理規程、Ⅲ.情報システム導入規程に基づき全社で情報セキュリティに取り組みます。
Ⅰ.情報システム利用規程
第1章 総 則
(目的)第1条 この規程は、当社情報システムの適正な利用と運用を図るとともに、重要な情報資産ならびに業務で取扱う電子データの安全な取扱いについて定めることを目的とする。
(定義)第2条 この規程における用語の意義は、次の各号に掲げるとおりとする。
(1)サーバ:機器の形態を問わず、メール、Web、FTP、ファイル共有、プリント等のサーバ機能を持つ機器 (2)PC:機器の形態を問わず、PCのほか、タブレット、スマートフォン、携帯情報端末等のスマートデバイス (3)ネットワーク:有線、無線を問わず、イントラネット、社内LAN、インターネット、ならびにサーバやPCをつないだコンピュータネットワーク (4)クラウド:インターネットを使用したソフトウェアやデータベースの利用、データの保管、ファイル転送サービス、SNS(ソーシャルネットワークサービス)等のクラウドコンピューティングならびにクラウドサービス (5)ハードウェア:サーバ、PC等のコンピュータ本体、プリンター、モニター等の周辺機器、ならびにネットワーク等の機器・装置 (6)ソフトウェア:オペレーティングシステム(OS)、アプリケーション、開発ツール、セキュリティーツール等 (7)外部記憶媒体:USBメモリ、CD、DVD、FD、MO、テープ等の単独で可搬可能な記憶媒体 (8)コンピュータ・システム:上記(1)~(7)のすべて (9)情報システム:上記(8)を利用し、業務上の処理をおこなう仕組み (10)情報資産:当社の事業活動に必要な情報で、コンピュータ・システムに記録されたもの (11)重要な情報資産:情報資産の中で当社の事業を維持・発展させる上で不可欠な情報、及び機密性、完全性、可用性が損なわれた場合に当社に受容できない損害を与える情報等 (12)MDM:Mobile Device Managementの略、携帯端末管理
(適用範囲)第3条 この規程は、当社が保有し、又は外部委託する情報資産を使用するすべての役員、従業員、パートタイム従業員及び臨時従業員等(出向社員および派遣社員を含む。以下「役職員等」という。)に適用する。2 当社の情報資産に係る業務を外部に委託する場合も、この規程の目的に従って、情報資産の適正な管理運用を図るものとする。
第2章 情報管理体制
(体制)第4条 社内の情報システム全般の管理部門は総務部とし、総務部ゼネラルマネージャーを情報システム管理責任者とする。情報システム管理責任者は、この規程に定める事項のほか、当社における情報システムの管理、運用に関する権限及び義務を有する。2 情報システム管理責任者は情報システム担当者を選任する。情報システム担当者は、この規程に定める以下の事項のほか、当社における情報システムの管理、運用における実務作業を担うこととする。
(1)コンピュータ・システムの識別管理と棚卸、(2)コンピュータ・システムのアップデート管理、(3)コンピュータ・システムで発生したトラブルへの対応、(4)コンピュータ・システムの利用で必要なアカウント作成、更新、削除、(5) ファイルサーバ等に含まれる情報資産に対するアクセス管理、(6)電子メールの管理、(7)アカウントパスワードの管理、(8)ソフトウェアライセンスの管理
(情報セキュリティ検査)第5条 情報システム管理責任者は、必要に応じて情報セキュリティ検査を行う。
2 情報セキュリティ検査は、客観性を確保するために役職員や外部の専門的知識・見識を有する者の協力を得て実施することができる。
3 情報システム管理責任者は、情報セキュリティ検査の結果に問題がある場合には、遅滞なく社長に報告し、是正措置を講じる。
第3章 法令・規程等の遵守
(法令の遵守)第6条 役職員等は、職務の遂行において使用する情報を保護するために収集した外部情報を、文書などに利用する際には、他者の権利を侵害しないように次の各号の法令のほか関係法規を遵守し、これに従わなければならない。
(1) 著作権者の承諾を得るか引用の形態をとり、著作権を侵害しないこと、(2) 他人のユーザーIDとパスワード等を使用して不正入力を行うなど、不正アクセス行為の禁止等に関する法律に抵触しないこと、(3) 個人の私的な情報を利用することでプライバシーを侵害しないこと、(4) 情報資産について、当社事業に関係する法律に抵触しないこと
(規程の遵守)第7条 役職員等は、本規定及び情報システムに関する規程を遵守しなければならない。2 役職員等は、情報システム管理責任者及び情報システム担当者の指導、監督に従うこと。
第4章 資産管理
(管理方法)第8条 情報システム担当者は、コンピュータ・システムに対して、以下の識別情報について台帳管理を行うこと。
(1) 社内識別ID、(2) 製品シリアル番号及びMACアドレス、(3) 製品名、(4) 貸与者氏名、(5) 貸与日、(6) 返却日、(7) 製品に付随するID,パスワード等に関する情報、(8) 上記以外で管理上必要となる情報
2 情報システム担当者は、ハードウェア及び外部記憶媒体等については、社内識別IDをシール等で貼付のうえ、管理すること。役職員等は、貼付の社内識別IDを無断で取り外してはならない。
3 情報システム担当者は、定期的に台帳に記載された情報を更新・確認の上、コンピュータ・システムの棚卸を実施すること。4 情報システム担当者は、コンピュータ・システムの廃棄・返却、削除・停止を行う際は、情報システム管理責任者及び関係部署に伝達のうえ、確認を得たうえで対応すること。
第5章 ハードウェアの利用管理
(PC)第9条 役職員等は、PCの利用に関して以下のことを遵守し、利用すること。
(1)情報セキュリティインシデント管理規程の第5条の定めの通り、私物PCは利用せず、会社貸与のPCを利用すること。(2)役員を除く役職員等は、会社貸与のPCを勤務時間外で利用しないこと。(3)役職員等は、会社貸与のPCが紛失・盗難の被害に遭った際は、情報セキュリティインシデント管理規程の第6条の定めの通り、情報システム管理責任者及び情報システム担当者に速やかに報告のうえ、然るべき対応を行うこと。(4)役職員等は、会社貸与のPCにおいて、BIOSおよび重要なシステム設定の変更が必要な場合は、情報システム担当者と確認のうえ設定変更をおこなうこと。(5)役職員等は、会社貸与のPCにソフトウェアをインストールする場合は、情報セキュリティインシデント管理規程の第8条の定めに従い行うこと。(6)役職員等は、会社貸与のPCにインストール済のセキュリティソフト等を無断でアンインストールしないこと。(7)役員を除く役職員等は、外出先での作業や在宅勤務等で会社貸与のPCを社外に持ち出す際は、所属部門のゼネラルマネージャーに報告のうえ、持ち出すこと。
(サーバ)第10条 情報システム担当者は、物理及びクラウドを問わず、利用するサーバについて、以下の管理を行い利用維持に努めること。
(1)サーバ内の情報資産の定期的なバックアップ、(2)サーバに対するアクセス管理、(3)保存された情報資産の整理の推進、(4)サーバに対するセキュリティ対策、(5)停電などのメンテナンス及び障害等への対応
(その他のハードウェア)第11条 役職員等は、PC及びサーバを除くその他のハードウェアの利用に関して、当規程の第8条に定めた内容を準拠し、遵守すること。
第6章 ソフトウェアの利用管理
(ソフトウェア利用の原則)第12条 社内で利用するソフトウェアは、例外を除き、情報システム担当者が管理する。
2 新たに会社貸与のPCでソフトウェアを利用する際は、事前に情報システム担当者と利用について確認すること。
3 情報セキュリティインシデント管理規程第3章第8条の通り、ファイル共有ソフト(ファイル交換ソフト)等、ウイルス感染や不正アクセス等の原因となりやすいソフトウェアの使用は厳禁とする。
(ソフトウェアの維持管理)第13条 情報システム担当者は、ソフトウェアに対するセキュリティパッチの適用、ライセンスの更新など、常にソフトウェアを最新かつ適切な状態で維持するように努めること。また、役職員等は、情報システム担当者の指示に従い対処すること。
2 情報システム担当者は、サーバやPCにインストールされたソフトウェアが適切に維持管理されていることを定期的に確認すること。
3 ソフトウェアを利用する役職員等は、マニュアル、手順書等による操作手順の明示、教育の支援、その他対応の実施に努めるものとする。
4 必要に応じて、ソフトウェアの購入元等による保守サポートサービスに加入すること。判断が難しい場合は、情報システム担当者と確認すること。
(不正ソフトウェアへの対応)第14条 コンピュータウイルスやスパイウェア等による情報漏えいやデータの破壊を防ぐため、情報セキュリティインシデント管理規程第3章第8条の通り、情報システム担当者は、次の各号の対策を実施する。
(1)社内ネットワークに接続するサーバおよびPCに対してウイルス対策ソフトを導入し、そのソフトウェアの更新とパターンファイルの適時更新を行うこと。(2) ソフトウェアに対する最新のセキュリティパッチを常時適用すること。パッチ適用により業務上支障があると認められる場合、他の方法によるセキュリティ対策を行うこと。(3)ファイル共有ソフト(ファイル交換ソフト)等、コンピュータ・システムの脆弱性を高めるソフトウェアの不正導入防止策を行うこと。(4) 上記(1)~(3)が適切に実施されているか定期的な確認を行うこと。2 情報システム担当者は、役職員等がウイルス感染ならびに感染時の不適切な処置によりデータ破壊や情報漏えいほか、外部への悪影響を防ぐため、役職員等への啓発、教育を適時に施すこと。
(電子メールアドレス)第15条 役職員等は、会社から貸与された電子メールアドレスに関して以下のことを遵守し、利用すること。
(1) 私物の電子メールアドレスを、業務で利用しないこと。(2) 貸与された電子メールアドレスを、私用で利用しないこと。(3) 不要となった電子メールアドレスは、情報システム担当者に速やかに返却すること。
第7章 アカウントおよびパスワードの利用管理
(アカウント管理)第16条 アカウントの設定は、情報システム担当者が使用者を特定できる内容で設定を行い、情報システム管理責任者が承認する。新規登録・異動者・退職者については、利用部門からの連絡書等を基に定期的にアカウントの改廃を行う。2 各部署固有のシステムについて、情報システム管理責任者が、業務上、当該部署のゼネラルマネージャーを責任者として、アカウント管理を行う方が望ましいと判断した場合は、当該部署のゼネラルマネージャーがアカウント管理を実施することとする。
(アカウントの利用)第17条 役職員等は、会社から貸与されたアカウントに関して以下のことを遵守し、利用すること。
(1) 各アカウントのパスワードには、例外を除き、有効期限を設けることとする。(2) 貸与されたアカウントは貸与者にて管理を行い、離席時に第三者にPCを操作されたり、画面を覗かれたりすることにより、漏えい防止措置を実施すること。(3) 貸与されたアカウントおよびパスワードを、むやみに他人に知らせないこと。(4) 不要となったアカウントは、情報システム担当者に速やかに返却すること。
(パスワードの管理)第18条 パスワードの代替もしくは補完のために、顔認証などの生体認証、ICカード認証等の機器による認証方式を採用できるものとする。
第8章 情報資産の利用管理
(情報資産の利用原則)第19条 役職員等は、個人情報や顧客情報、会社の機密情報を含む情報資産が無権限者に閲覧されないよう、サーバ(クラウド含む)などのアクセス制限可能な場所に保存し、必要に応じて暗号化ならびにパスワードを付するなどの措置を行うこと。2 役職員等は、情報元が明らかで、正確で、且つ安全な情報以外は利用ないこと。3 必要により覗き見防止フィルターを設置するなど、情報資産をまもること。
(情報資産へのアクセス権)第20条 当既定の第9条に定めた通り、利用サーバのアクセス権は情報システム担当者が管理を行うこと。
2 役職員等は、以下の情報資産に対してアクセス権を設定すること。
(1)プライバシーポリシー、個人情報保護規程、個人情報保護規程運用細則、特定個人情報の適正な取扱いに関する基本方針、特定個人情報取扱規程に該当する情報を含んだ情報資産、(2)文書管理規程で定められた、秘文書、重要文書、営業秘密に該当する情報資産、(3)部署専用など、特定の担当者に限定して開示することを目的とした情報資産、(4)上記以外で、個別にアクセス権を設定することが良いと判断される情報資産
3 アクセス権に対して変更、削除などの更新が発生した際は、情報システム担当者に速やかに連絡し、情報システム担当者はアクセス権の更新を実施すること。
4 情報システム担当者は、情報資産に対するアクセス権限は業務遂行上必要な者のみに対し付与し、職務上必要な範囲に限定すること。
(情報資産の授受)第21条 役職員等は、電子メールへの添付、FTPサーバやWebサーバを介する送受信、専用システムによるファイル伝送等で情報資産を授受する場合は、データの暗号化及びパスワードを付与するなど、漏えい防止対策に努めること。2 情報システム担当者は、前項の漏えい防止対策の有効性をチェックし、不十分と思われる場合は適切な代替策を提示し、もしくは他の受け渡し方法に変更するなどの対策を、情報システム管理責任者と協議のうえ実施すること。
第9章 ネットワークの利用管理
(ネットワークの管理)第22条 情報システム担当者は、以下の対策を行い、社内ネットワークの安全性確保と、情報資産の正確性と安全性が維持されるよう取り組むこと。
(1)社外とのネットワーク境界へのファイアウォール等の不正侵入対策を行う。(2)ネットワーク障害に備えた対策や復旧手順の整備を行う。(3)不正アクセスから重要な情報資産を保護するためのリスク対策を検討する。(4)役職員等の故意、過失による情報の漏えい、き損、滅失が発生しないよう、役職員等への操作手順の明示、教育の支援、その他対策の実施を行う。
第10章 情報セキュリティ教育
(情報セキュリティ教育)第23条 情報システム管理責任者は、役職員等に対し情報セキュリティ管理の必要性・重要性への意識を高めるべく啓発し、具体的管理を現場で実践させるため、必要に応じて情報セキュリティ教育を計画し、実施する。
Ⅱ.情報セキュリティインシデント管理規程
第1章 総 則
(目的)第1条 この規程は、当社情報システムの適正な利用と運用を図るとともに、情報セキュリティインシデントが発生した場合の対応について定めることを目的とする。
(定義)第2条 Ⅰ.情報システム利用規程 第2条に同じ。
(適用範囲)第3条 この規程は、当社が保有し、又は外部委託する情報資産を使用するすべての役員、従業員、パートタイム従業員及び臨時従業員等(出向社員および派遣社員を含む。以下「役職員等」という。)に適用する。
2 当社の情報資産に係る業務を外部に委託する場合も、この規程の目的に従って、情報資産の適正な管理運用を図るものとする。
(体制)第4条 社内の情報システム全般の管理部門は総務部とし、総務部ゼネラルマネージャーを情報システム管理責任者とする。情報システム管理責任者は、この規程に定める事項のほか、当社における情報システムの導入、運用、変更または廃棄等に関する権限及び義務を有する。
2 情報システム管理責任者は情報システム担当者を選任する。情報システム担当者は、この規程に定める事項のほか、当社における情報セキュリティインシデントに対する実務作業を担うこととする。
3 各部署固有の情報システムの管理は各部署の所管とし、各部署長を管理責任者とする。
第2章 ハードウェアインシデント
(私物PC利用)第5条 情報セキュリティインシデントの未然防止策として、業務で利用するPCは会社で管理され貸与されたものを利用することし、私物のPCは原則、業務で利用することを禁止とする。
2 端末の支給等の事情によりやむを得ない場合は、セキュリティ対策が十分にされていることを情報システム担当者が確認の上、情報システム管理責任者の了承のもと、私物PCの利用を許可する場合がある。
(外部記憶媒体利用の制限)第6条 USBメモリ、SDカード、その他の外部記憶媒体については、会社が指定したものを使用するものとし、個人的なものは使用を認めない。尚、会社が指定したUSBメモリ等であっても、業務利用に限定し、私的な使用は認めない。
(紛失・盗難)第7条 重要な営業情報を含んだ会社貸与PC、およびデバイスまたはメディアが紛失・盗難に遭った際は、その事実に気づき次第、速やかに、部署の上長と情報システム管理責任者に報告することとする。
2 情報システム管理責任者は、その状況から速やかにPCに対する安全措置が必要と判断した場合、情報システム担当者に指示を行い、情報システム担当者は速やかに以下の措置をおこなうこととする。
(1) 全アカウントの停止、(2) 会社貸与のスマートフォンを紛失した場合、契約しているMDM(ビジネス端末レスキュー)の手続きの実施
3 個人情報を含んだ会社貸与PC、およびデバイスまたはメディアが紛失・盗難に遭った際は、管轄の地方整備局等に報告する義務が生じるため、情報システム管理責任者の指示のもと、紛失・盗難に遭った本人と情報システム担当者は必要な手続きを行う。
第3章 ソフトウェアインシデント
(インストール)第8条 情報セキュリティインシデントの未然防止策として、会社貸与のPCに対して不必要にソフトウェアをインストールすることを禁止する。また、制作者不明およびP2Pなどの情報セキュリティインシデントの原因となることが明らかなソフトウェアのインストールは禁止する。
2 インストールするソフトウェアの安全性について判断がつかない場合、インストールをおこなう前に情報システム管理責任者に相談し、情報システム担当者によるソフトウェアの確認を行い、インストールの可否の判断を仰ぐこととする。
(メールサービス)第9条 メールサービス利用の際、メールの誤送信や添付・送信設定ミスによる情報漏えいが発生した際は、誤送信を行った相手方に対して、誤送信に対するお詫びと共にメールデータの削除を速やかに依頼する。
2 会社の秘匿情報として特に影響の大きい情報の漏洩であると判断される場合、速やかに所属のゼネラルマネージャー及び情報システム管理責任者に報告し、今後の対応について相談する。
3 個人情報を含んだメールの誤送信や添付・送信設定ミスによる情報漏えいが発生した際は、管轄の地方整備局等に報告する義務が生じるため、情報システム管理責任者の指示のもと、被害に遭った本人と情報システム担当者は必要な手続きを行う。
(不正アクセス)第10条 社内ネットワークで不正アクセスが発覚した際は、情報システム管理責任者の指示のもと、情報システム担当者は、被害の拡大を防止するため社内ネットワークを停止させ、ルーター等のアクセスログ解析などを実施し、原因追及に努めること。
2 情報セキュリティインシデントの未然防止策として、会社貸与PCのアカウントは強制的に3か月ごとにパスワード変更を実施する運用を行う。
(コンピュータウイルス感染)第11条 会社貸与PCがコンピュータウイルス感染及び感染の疑いがもたれる場合、速やかに以下の方法で社内ネットワークから切断し、情報システム担当者に報告すること。
2 情報システム担当者は、対象のPCに対してセキュリティチェックを行い、他のPC、ファイルサーバ等への影響について確認する。確認した内容について、情報システム管理責任者に報告を行う。
第4章 その他のインシデント
(自然災害等による障害)第12条 大規模な災害等偶発的な危機的事象が生じた際に、被害の最小化および早期に被害の復旧を図るとともに、「危機管理規程」および「緊急時対応マニュアル」に従いながら、可能な限り事業を継続するための復旧作業を実施する。
(研修・訓練)第13条 情報セキュリティインシデントの未然防止策として、情報システム管理責任者および情報システム担当者は、従業員に対して、ITリテラシーに関する研修や訓練を定期的に実施する。
Ⅲ.情報システム導入規程
第1章 総 則
(目的)第1条 本規程は、当社情報システムの導入、運用、および保全について定めるものとし、情報処理業務を効率的かつ高い信頼性のもとに実行することを目的とする。
(定義)第2条 Ⅰ.情報システム利用規程 第2条に同じ。
(適用範囲)第3条 この規程は、当社が保有し、又は外部委託する情報資産を使用するすべての役員、従業員、パートタイム従業員及び臨時従業員等(出向社員および派遣社員を含む。以下「役職員等」という。)に適用する。
2 当社の情報資産に係る業務を外部に委託する場合も、この規程の目的に従って、情報資産の適正な管理運用を図るものとする。
(システム導入体制)第4条 社内の情報システム全般の管理部門は総務部とし、総務部ゼネラルマネージャーを情報システム管理責任者とする。情報システム管理責任者は、この規程に定める事項のほか、当社における情報システムの導入、運用、変更または廃棄等に関する権限及び義務を有する。
2 情報システム管理責任者は情報システム担当者を選任する。情報システム担当者は、この規程に定める事項のほか、当社における情報システムの導入、運用、変更または廃棄等における実務作業を担うこととする。
3 情報システムは各部署固有のシステムと全社システムに区分される。各部署固有のシステムの導入の企画立案及び運用管理は各部署の所管とし、責任者は各部署長とする。
4 全社システムの企画立案及び運用管理は総務部の所管とし、責任者は情報システム管理責任者とする。
第2章 情報システム導入
(導入計画の立案)第5条 情報システムを導入する際は、会社の経営方針、情報戦略、社内外の動向、導入コスト、各業務間での整合性など十分な検討を行ったうえで情報システムの導入について企画立案しなくてはならない。各部署固有のシステムの導入計画に際して、各部署は情報システム管理責任者または情報システム担当者と調整後、導入計画を立案する。
2 導入計画には以下の事項を含むものとする。
(1)導入の目的:導入についての具体的な目的、(2)対象業務の範囲:導入する情報システムの対象となる業務とその範囲、部門、利用者数、(3)主たる機能:導入する情報システムの主要な機能、
(4)セキュリティ:導入する情報システムに対する、以下のセキュリティ対策
ア 情報システム内のデータに対する可用性、完全性等の安全対策(バックアップ、等)、イ 情報資産に対する不正アクセス防止、コンピュータウイルス対策等、技術的対策、ウ 情報セキュリティ対策の実施体制の整備および周知徹底など、情報資産を取り扱う役職員等に対する教育等の人的対策、エ 情報システムを事務所内に物理的に設置する場合、不正な立入り又は情報資産の持出し若しくは破壊等の物理的な侵害から、情報資産を保護するための物理的対策
(5)利用環境:導入する情報システムの利用にあたってのコンピュータ・システムの構成、(6)他システム連携:他システムとの連携が必要な場合、そのシステムと新システムとの連携の概要、(7)効果:目的の定量的、定性的な達成目標及び費用対効果、(8)費用:情報システムの導入に必要な初期費用、月額費用、その他費用の概算、(9)スケジュール:導入する情報システムの設定、導入、本稼動時期等のスケジュールの概要
3 自社開発型の情報システムの導入計画を立案する場合は、前項事項に加えて、以下の事項を踏まえて導入計画を立案しなくてはならない。各部署は以下の事項を情報システム管理責任者または情報システム担当者に確認の上導入計画を立案しなくてはならない。
(1)物理的制約:サーバ等の機器設置の有無と、設置が必要な場合、設置場所の確認、(2)運用体制:開発後の情報システムの運用体制と運用方法、(3)保守体制:開発後の情報システムの保守体制と情報システムの管理方法、(4)開発業者:開発を依頼する業者の概要と開発実績、(5)開発体制:開発実施中における開発体制と役割、(6)検収条件:開発完了条件と導入後における開発瑕疵条件
(導入の申請手続き)第6条 導入の申請手続は、前条で立案した導入計画に基づき稟議による決裁を得るものとする。
(導入準備)第7条 導入する情報システムの初期設定は、各システム運用管理部署が実施する。
2 導入に伴い、利用PCに対してソフトウェアのインストールおよびPCの設定変更が伴う場合は、事前に情報システム管理責任者または情報システム担当者と調整したうえで行うこと。
(研修の実施)第8条 導入した情報システムを管理者または利用者が適切に操作できるよう、各システム運用管理部署はシステムの運用マニュアルまたは操作マニュアルを作成し、必要に応じて研修を実施する。
(評価・報告)第9条 導入終了後、各システム運用管理部署は当初の導入計画に対する効果の評価、検証を行うこと。
2 情報システム管理責任者から指示があった場合、各システム運用管理部署は評価、検証結果を情報システム管理責任者へ報告しなくてはならない。
(クラウドサービスの導入)第10条 IT基盤の一部としてクラウドサービス等の外部サービスを導入する場合は、情報システム担当者がサービスプロバイダの情報として、必要な機能やセキュリティ対策等をあらかじめ十分評価したうえで選定しなければならない。
2 クラウドサービスを提供する事業者の信頼性を確認するとともに、そのクラウドサービスの稼働率やサービス品質保証により安全・信頼性を確認しなければならない。
3 クラウドサービスの利用が終了した時のデータの取り扱い条件、個人情報保護など関連法規制の遵守などを規定した利用規約等についても前もって確認しなければならない。
4 新規クラウドサービス等の外部クラウドサービス等の導入は、情報システム管理責任者の許可を得て行う。
第3章 運用
(運用管理)第11条 アカウントの設定は、情報システム担当者が使用者を特定できる内容で設定を行い、情報システム管理責任者が承認する。新規登録・異動者・退職者については、利用部門からの連絡書等を基に定期的にアカウントの改廃を行う。ただし、情報システム管理責任者が、業務上、当該部署のゼネラルマネージャーを責任者として、以下の管理を行う方が望ましいと判断した場合は、当該部署のゼネラルマネージャーがアカウント管理を実施することとする。
(1)アカウント管理、(2)情報システム内の権限管理、(3)情報システム内のデータ管理
2 情報システム管理責任者から指示があった場合、各システム運用管理部署長は、運用管理状況を情報システム管理責任者に報告すること。
(消耗品)第12条 情報処理業務に必要な消耗品は原則として総務部が保管し、必要に応じて各部署に配付する。
(出カ帳票)第13条 出力帳票の管理は原則として利用部署で行うものとする。
2 出力後、不必要となった帳票については利用部署で廃棄するものとする。ただし、機密性の高いものは裁断、または焼却するものとする。
(入力原票)第14条 入力原票の管理は原則として利用部署で行うものとする。
第4章 保全
(復旧作業)第15条 情報システムがいずれかの理由により計画内で停止する場合、各システム運用管理部署は事前に社内の関係者に連絡のうえ、計画的な停止、復旧に対応すること。
2 情報システムがいずれかの理由により計画外で停止した場合、各システム運用管理部署は速やかに情報システム管理責任者および情報システム担当者に報告のうえ、各システム運用管理部署および情報システム担当者は協力して情報システム提供会社と協議を行い、速やかにその復旧に当たるものとする。
(仕様書、重要書類の保全)第16条 情報システムの仕様書、および重要書類がある場合は、その対象、場所、期聞などを明確にして、各システム運用管理部署が保管しなければならない。また変更のあった際は速やかに更新・追加する。
制定日 2024年10月20日