10. 情報セキュリティインシデント対応及び事業継続管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 情報資産および当社が保有・管理する個人データに関わる情報セキュリティインシデント |
1. 対応体制
Section titled “1. 対応体制”情報セキュリティインシデントが発生、または発生のおそれがある場合には、以下の体制で対応する。
| 役割 | 担当 |
|---|---|
| 最終責任者 | 代表取締役 |
| インシデント対応責任者 | 情報セキュリティ責任者またはこれと同等の役割を担う者 |
| 初動対応者 | 発見者、またはシステム管理・運用に関与する者 |
※少人数体制を前提とし、同一人物が複数の役割を兼務することを妨げない。
2. インシデントの影響レベルと対応区分
Section titled “2. インシデントの影響レベルと対応区分”インシデントの影響範囲に応じ、以下のレベルに区分して対応する。
| レベル | 内容 | 主な対応責任者 |
|---|---|---|
| レベル3 | 顧客・取引先・社会に影響が及ぶ可能性がある事象 個人情報の漏えい・不正利用が発生または強く疑われる場合 | 代表取締役 |
| レベル2 | 事業継続やサービス提供に影響が及ぶ事象 | インシデント対応責任者 |
| レベル1 | 社内業務に限定した影響が生じる事象 | インシデント対応責任者 |
| レベル0 | 直ちに被害はないが、将来的なインシデントにつながるおそれがある事象 | システム管理・運用担当者 |
3. 連絡および報告
Section titled “3. 連絡および報告”レベル1以上のインシデントが発生した場合、発見者は速やかにインシデント対応責任者へ報告する。 必要に応じて、代表取締役へエスカレーションを行う。
※連絡手段は、社内で通常使用しているチャットツール、電子メール、電話等、即時性の高い手段を用いる。
4. インシデント対応の基本方針
Section titled “4. インシデント対応の基本方針”インシデント対応にあたっては、以下を基本方針とする。
- 被害拡大の防止を最優先とする
- 事実関係の把握と記録を行う
- 必要に応じて影響範囲・原因・再発防止策を整理する
- 外部への報告・公表は、代表取締役の判断のもとで行う
5. インシデント種別と初動対応
Section titled “5. インシデント種別と初動対応”5.1 情報漏えい・流出・不正利用
Section titled “5.1 情報漏えい・流出・不正利用”例:
- 個人情報や社外秘情報の外部流出
- クラウドサービス設定不備による公開
- 不正アクセスによる情報取得
初動対応
- 関係するアカウント・アクセス権の一時停止
- 流出範囲・影響範囲の確認
- インシデント対応責任者への即時報告
5.2 改ざん・消失・サービス停止
Section titled “5.2 改ざん・消失・サービス停止”例:
- データの意図しない削除・改変
- クラウドサービス障害による業務停止
初動対応
- サービス状況・障害範囲の確認
- バックアップからの復旧検討
- 利用者への影響がある場合は社内共有
5.3 マルウェア・不正プログラム感染
Section titled “5.3 マルウェア・不正プログラム感染”例:
- ランサムウェア
- 不正なブラウザ拡張・スクリプト
初動対応
- 該当端末・アカウントの利用停止
- ネットワーク・クラウドアクセスの遮断
- 利用中サービスへの影響確認
6. 外部機関への報告・相談
Section titled “6. 外部機関への報告・相談”インシデントの内容に応じて、以下への報告・相談を検討する。
- 独立行政法人 情報処理推進機構(IPA)
- 個人情報保護委員会
報告の要否およびタイミングは、法令および事案の重大性を踏まえ、代表取締役が判断する。
7. 事業継続管理(BCPの考え方)
Section titled “7. 事業継続管理(BCPの考え方)”当社は、クラウドサービスを前提とした事業運営を行っているため、以下を基本方針とする。
- 重要システムはクラウドサービスの冗長性・バックアップ機能を活用する
- 単一人物・単一環境に依存しない運用を心がける
- 重大インシデント発生時は、復旧よりも安全確保と影響最小化を優先する
8. インシデント管理方法
Section titled “8. インシデント管理方法”情報セキュリティインシデントは、YouTrack にチケットとして登録し、対応状況および対応履歴を管理する。
9. 事後対応および再発防止
Section titled “9. 事後対応および再発防止”インシデント収束後、必要に応じて以下を実施する。
- 原因および対応内容の整理
- 再発防止策の検討・実施
- 社内ルールや運用の見直し
※過度な文書化や形式的な報告を目的とせず、実効性のある改善を重視する。
補足(この規程の位置づけ)
Section titled “補足(この規程の位置づけ)”本規程は、迅速な初動対応と実運用での判断を妨げないこと を目的とする。 緊急時には、本規程の記載に拘泥せず、被害拡大防止を最優先に行動する。