当社(有限会社アナログエンジン)は、2001年滋賀県で創業以来、IT事業を中核としてお客様のニーズに応えてきました。今後も、お客様にご満足いただける製品・サービスを提供するために、高度情報化社会における情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、情報セキュリティ基本方針を定め、当社の情報セキュリティに対する取り組みの指針といたします。
社内体制および情報セキュリティポリシーの整備
当社は、セキュリティの維持及び改善のために必要な管理体制を整備し、必要な情報セキュリティ対策を社内の正式な規則として定めます。
法令、契約上の要求事項の遵守
当社の経営者・従業員は、事業活動で利用する情報資産に関連する法令、規制、規範及びお客様との契約上のセキュリティ要求事項を遵守します。また当社の従業員は、情報セキュリティの維持及び改善のために必要とされ知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。
違反及び事故への対応
当社は、情報セキュリティに関わる法令、規制、規範及びお客様との契約に関わる違反及び情報セキュリティ事故への対応のための体制を整備し、違反及び事故の影響を低減します。
2023年7月23日改定
有限会社アナログエンジン
取締役社長 神野晋一
セキュリティ施策詳細
情報セキュリティのための組織づくり
情報セキュリティ対策活動を推進するための組織として、情報セキュリティ委員会を設置する。情報セキュリティ委員会は以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。
- 情報セキュリティ責任者:取締役 神野晋一
- 教育責任者:中西佐織
物理的情報資産管理
弊社は下記を物理的情報資産と指定する。物理的情報資産の持ち出しは「情報資産管理台帳」に時間と社員名を記載し、記録する。
- 書類・保管先キャビネット、ファイル、バインダー
- ノートパソコン・タブレット端末・モバイル機器
- USB、CD-ROM、DVD、VHSなどのメディア
社外秘又は極秘の情報資産を廃棄・再利用する場合
- 書類・フィルムの廃棄:細断/溶解/焼却
- USBメモリ・HDD・CD・DVDの廃棄:破壊/細断/完全消去
- 書類の再利用:裏紙再利用禁止
- USBメモリ・HDD・CD-RWディスク・DVD-RWディスクの再利用:完全消去後再利用 ※OSの削除機能による削除・フォーマットは不可
- CD-R・DVD-R:再利用不可
- USBメモリ・HDD・CD-RWディスク・DVD-RWディスクの再利用:完全消去後再利用 ※OSの削除機能による削除・フォーマットは不可
バックアップの取得
- 社内ファイルサーバ:NAUによるバックアップ
- 給与計算システム:外部税理士事務所に完全委託
- Webサーバ:Webサーバと連動したクラウドバックアップ(google cloud利用)
- データベースサーバ:Webサーバと連動したクラウドバックアップ(さくらクラウド、google cloud利用)
- システムデータ:社内ファイルサーバ及びWebサーバと連動したクラウドバックアップ(さくらクラウド、google cloud利用)
- メール:IMAPを利用したオンライン上のサーバに保管
クラウドストレージの利用について
クラウドサービスを利用し、外部のサーバーにバックアップを保存する場合は、サービス提供者のサービス利用約款、情報セキュリティ方針が、当社の情報セキュリティポリシーに適合しており、当社事業所がある地域で発生する震災、水害等の影響を受けない地域の施設であることを確認し、情報セキュリティ責任者の許可を得て導入する。
IT機器・ソフトウェアの利用について
- 業務に利用するパソコンには、当社の標準ソフトウェアを導入する。当社の標準ソフトウェア以外のソフトウェアを導入する場合は、システム管理者の許可を得たうえで導入する。
- インターネット上で、不特定多数のコンピュータ間でファイルをやりとりできるソフトウェア(ファイル共有ソフト)の禁止。
- 不審なベンダーが提供するソフトウェア。
- 正規ライセンスを取得していないソフトウェア。
- 従業員は、離席時に以下のいずれかによりパソコンの画面をロックし、クリアスクリーンを徹底する。
社外機器のLAN接続
当社が管理するパソコン及びサーバー以外の機器を社内LANに接続することを禁止する。業務上必要な場合は、ゲストネットワークを利用し当該機器にインストールされているウイルス対策ソフトの定義ファイルを最新版に更新し、当該機器のフルスキャンを実行し、ウイルスが検知されないことを確認してから接続する。
ウイルス対策の啓発
システム管理者は、適宜ウイルスに関する情報を収集し、重大な被害を与えるウイルスに対しては、対応策及び対応に必要な修正プログラムを社内に公開及び通知する。従業員は、感染防止策が通知された場合は、速やかに実施完了すること。
アナログエンジン社内での振る舞い
- 従業員は、業務に利用するパソコン・タブレット・スマートフォンには、ログインパスワードを設定する。利用するときには以下を実行する。
- 退社時又は使用しないときには電源を切り、ノートパソコン・タブレット・スマートフォン・USBメモリ、HDD、CD等の電子媒体は施錠保管する。
- ログインパスワードを他者の目に触れる所に書き記さない。
- 従業員は、社外秘又は極秘の書類及び電子データを保存したノートパソコン、USBメモリ、HDD、CD等の持ち運び可能な機器や媒体の扱いについて、以下のようにクリアデスクを徹底する。
- 従業員は、離席時に以下のいずれかによりパソコンの画面をロックし、クリアスクリーンを徹底する。
Webサイトへのアクセス
- システム管理者は、ウイルス等の悪意のあるソフトウェアに感染するおそれがあると認められる有害ウェブサイトは社内周知/ウェブフィルタリングソフトを使用して、従業員の閲覧を制限する。
- 業務を除き、公序良俗に反するサイトへのアクセスを禁止する。
- パスワードをブラウザに保存しない。業務で特定のウェブサービスを利用する場合で、パスワードをブラウザに保存する必要があるときはシステム管理者の許可を得る。
- 業務上、個人情報(メールアドレス、氏名、所属等)を入力する場合は、通信の暗号化、接続先の実在性等を十分に確認したうえで行う。
フィンテックの利用
- インターネットバンキングを利用する際には、自分で設定したブックマークや銀行が提供する専用アプリケーションソフトを用いる。
- 電子決済を利用する際には、SSL/TLSによる通信暗号化を採用しているサイトを利用する。
- セキュリティポリシーを公表していないサービスの利用は禁止する。
- 電子メールに記載されているリンクや、他のウェブサイト等に設置されているリンクは、偽サイトへの誘導である可能性があるためアクセスしない。
オンラインサービスとオンラインストレージの利用
- 社外秘又は極秘の情報資産を保存する場合は、システム管理者の許可を得る。
- メールアドレスの登録が必要な場合は社用ドメイン(analogengine.jp)に紐づけられたメールアドレスを登録する。
- セキュリティポリシーを公表していないサービスの利用は禁止する。
- 不審なベンダーが提供しているサービスの利用を禁止する。
業務に必要なSNSの利用
- 当社の業務に関わる情報の書き込みは行わない。
- 取引先従業者とSNS上で私的に交流する場合、双方の立場をわきまえ、社会人として良識の範囲で交流する。
- SNSが提供するセキュリティ設定を行い、アカウントの乗っ取りやなりすましに注意する。
- 使用するパソコン、スマートフォン、タブレット上のデータ、写真、位置情報が、予期せず公開される可能性のあることに注意する。
電子メールの利用・誤送信防止
- 同報メール(外部の多数相手に同時に送信するとき)を送信する場合は、宛先(TO)に自分自身のアドレスを入力し、BCCで複数相手のアドレスを指定する。 CC又は宛先(TO)に複数アドレスを指定すると、送信相手に複数全員のアドレスが通知され、個人情報の漏えいになるため使用しない。
- 社外秘又は極秘の情報資産を送信する場合は、メール本文ではなく添付ファイルに記載し、ファイルを暗号化して送信するか暗号化された期限付きのダウンロードシステムを利用する
- 受信メールのHTML表示(テキスト形式に変換して表示)。
顧客電子メールの閲覧・検閲
- 顧客電子メールは顧客責任者確認のもと許可を得た上で行う。
- 顧客電子メールを閲覧・検閲する際はアナログエンジン社内に設置された入室記録付きのセキュリティールームで行う。
- メールのBCC送信でのバックアップは「backup@」で紐づけられたアナログエンジンの保有するドメインでのみ取り扱う事ができる。
法人解散時の情報の取り扱い
弊社が解散状態に陥った場合は、権利を放棄し、速やかに全ての情報の返却と廃棄を行う。
