4.2 利害関係者のニーズ及び期待の理解
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 4.2 |
| 分類 | 組織の状況 |
組織は、次の事項を決定しなければならない。
a) ISMSに関連する利害関係者 b) それらの利害関係者の、情報セキュリティに関連する要求事項 c) これらの要求事項のうち、ISMSを通じて取り組むもの
ISMSの適用範囲を決定し、利害関係者の期待に応えるための基礎情報を特定するため。
当社における利害関係者
Section titled “当社における利害関係者”利害関係者マップ
Section titled “利害関係者マップ”flowchart TB
subgraph 当社
ISMS[ISMS]
end
subgraph 顧客
GOV[官公庁]
EDU[地方教育委員会]
TOC[一般のお客様]
end
subgraph 内部利害関係者
subgraph 従業員
EMP_JP[日本側従業員]
EMP_PH[コーチング事業部従業員(フィリピン)]
end
MGT[経営者・株主]
end
subgraph 外部利害関係者
subgraph 外注先
OUT_DEV[システム開発委託先]
OUT_SUP[学校派遣支援員]
OUT_INST[外国語講師]
end
SUP[取引先・サプライヤー]
REG[規制当局]
PART[パートナー企業]
end
GOV --> ISMS
EDU --> ISMS
TOC --> ISMS
EMP_JP --> ISMS
EMP_PH --> ISMS
MGT --> ISMS
OUT_DEV --> ISMS
OUT_SUP --> ISMS
OUT_INST --> ISMS
SUP --> ISMS
REG --> ISMS
PART --> ISMS
利害関係者と要求事項
Section titled “利害関係者と要求事項”| 利害関係者 | 情報セキュリティに関連する要求事項 | ISMSでの対応 |
|---|---|---|
| 官公庁 | 政府統一基準への準拠、機密性の確保、インシデント報告体制 | セキュリティポリシーの整備、アクセス制御、インシデント対応手順 |
| 地方教育委員会 | 教育情報セキュリティポリシーへの準拠、児童生徒情報の保護 | 個人情報保護対策、アクセス権限管理、データ暗号化 |
| 一般のお客様 | 個人情報の適切な取扱い、サービスの可用性 | プライバシーポリシー、サービス継続性管理 |
| 従業員 | 安全な労働環境、情報セキュリティ教育 | セキュリティ教育・訓練、インシデント報告体制 |
| 経営者・株主 | 事業継続性、コンプライアンス、リスク管理 | BCP/BCM、内部監査、マネジメントレビュー |
| システム開発委託先 | 開発環境のセキュリティ、ソースコード管理、脆弱性対策 | 委託先管理、NDA締結、セキュリティ要件の明確化 |
| 学校派遣支援員 | 児童生徒情報の取扱いルール、現場でのセキュリティ遵守 | セキュリティ教育、情報取扱いガイドライン |
| 外国語講師 | 個人情報の取扱い、業務上知り得た情報の守秘義務 | NDA締結、セキュリティ教育 |
| 取引先・サプライヤー | 契約上のセキュリティ要件、情報共有ルール | 委託先管理、NDA締結、セキュリティ要件の明確化 |
| 規制当局 | 法令遵守(個人情報保護法、サイバーセキュリティ基本法等) | 法令対応、監査対応、報告体制 |
| パートナー企業 | 協業におけるセキュリティ基準の統一 | セキュリティ基準の共有、定期的な情報交換 |
利害関係者及びその要求事項は、年1回のマネジメントレビュー及び重大な変化が発生した場合に見直しを行う。
- 4.1 組織及びその状況の理解
- 情報セキュリティ基本方針
-
- 組織的対策