3. 情報資産管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
1. 情報資産の管理
Section titled “1. 情報資産の管理”1.1 情報資産の特定と機密性の評価
Section titled “1.1 情報資産の特定と機密性の評価”当社事業に必要で価値がある情報および個人情報(以下「情報資産」という)を特定し、「12. 情報資産の定義と管理ルール」に基づき分類・管理する。 情報資産の機密性は、以下の基準に従って評価する。
| 機密性レベル | 基準 |
|---|---|
| 機密性3:極秘 | 法令により安全管理が義務付けられている情報、営業秘密として管理されている情報、漏えいにより取引先または顧客に重大な影響を与える情報 |
| 機密性2:社外秘 | 漏えいにより事業に影響を与える情報 |
| 機密性1:公開 | 漏えいしても事業にほとんど影響がない情報 |
1.2 情報資産の分類の表示
Section titled “1.2 情報資産の分類の表示”情報資産の機密性は、以下の方法で表示する。
- 電子データ:保存先の名称またはアクセス権限設定により識別する
- 書類:管理方法または文書への機密性表示により識別する
表示が困難な場合は、保管場所や管理方法により機密性を識別する。
1.3 情報資産の管理責任者
Section titled “1.3 情報資産の管理責任者”情報資産の管理責任者は、当該情報資産を主に利用する部門の責任者とする。
1.4 情報資産の利用者
Section titled “1.4 情報資産の利用者”情報資産の利用者は、「12. 情報資産の定義と管理ルール」に定められた利用者範囲に従うものとする。
2. 情報資産の社外持ち出し
Section titled “2. 情報資産の社外持ち出し”情報資産を社外に持ち出す場合は、以下を遵守する。
- 機密性2以上の情報資産については、管理責任者の許可を得ること
- 機密性3の情報資産については、情報セキュリティ責任者の許可を得ること
- 電子データは、当社が指定するクラウドサービスを利用して取り扱うこと
- 業務情報を私物端末のローカルストレージへ恒久的に保存することは禁止する
- Slack 等の業務上利用を認めたクラウドサービスにより、アプリケーションの仕様上、一時的に端末へ保存されるデータについてはこの限りではない
- USBメモリ等の可搬型電子媒体の利用は、情報セキュリティ責任者の許可がある場合を除き禁止する
2.1 業務上必要な一時的なローカル保存
Section titled “2.1 業務上必要な一時的なローカル保存”業務上やむを得ず情報資産を端末のローカルストレージに一時的に保存する場合(例:CSVファイルのアップロード作業、データ加工作業等)は、以下の条件をすべて満たすこと。
| 条件 | 内容 |
|---|---|
| 目的の限定 | クラウドサービスへのアップロードまたはデータ加工等、明確な業務目的がある場合に限る |
| 保存期間 | 作業完了後、速やかに(原則として当日中に)ローカルから削除すること |
| 端末要件 | ディスク暗号化が有効な端末を使用すること |
| 保存場所 | ダウンロードフォルダ等、管理しやすい場所に保存し、作業後の削除漏れを防止すること |
| 機密性3の情報 | 機密性3(極秘)の情報資産を一時保存する場合は、事前に情報セキュリティ責任者の許可を得ること |
上記の条件を満たす一時的な保存は、「恒久的な保存」には該当しない。
3. 媒体の処分
Section titled “3. 媒体の処分”3.1 媒体の廃棄
Section titled “3.1 媒体の廃棄”機密性2以上の情報資産を含む媒体を廃棄する場合は、復元できない方法で処分する。
- 書類:細断または溶解処理
- 電子媒体:完全消去または物理破壊
※ OS標準機能による削除や簡易フォーマットは不可とする。
3.2 媒体の再利用
Section titled “3.2 媒体の再利用”機密性2以上の情報資産を保存していた電子媒体を再利用する場合は、完全消去を行う。
4. バックアップ
Section titled “4. バックアップ”4.1 バックアップの取得
Section titled “4.1 バックアップの取得”システム管理者は、業務上重要なデータについて、定期的にバックアップを取得する。 バックアップは、当社が利用するクラウドサービスまたは当社管理下の環境に保存する。
4.2 バックアップデータの取り扱い
Section titled “4.2 バックアップデータの取り扱い”バックアップデータは、適切なアクセス制御の下で管理し、不要となった場合は「3. 媒体の処分」に従い処理する。
4.3 クラウドサービスを利用したバックアップ
Section titled “4.3 クラウドサービスを利用したバックアップ”クラウドサービスを利用する場合は、情報セキュリティ責任者の承認を得た上で導入する。