情報セキュリティーポリシー

  • 制定日 : 2005年4月1日
  • 改定日 : 2016年1月4日
  • エヌ・ティ・ティテレコン株式会社
  • 代表取締役社長 : 立花 研司

1. 目的

本方針は、NTTテレコン株式会社(以下、弊社)の情報資産をセキュリティ上の脅威から保護するための情報セキュリティ対策について、総合的・体系的な方針であり、情報セキュリティマネジメントシステムの根幹をなすものである。

2. 定義

  1. 情報セキュリティ
    情報の機密性、完全性、及び可用性を確保し維持することをいう。
       機密性:情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
       完全性:情報及び処理の方法の正確さ及び完全である状態を完全防護すること。
       可用性:許可された利用者が必要なときに情報にアクセスできることを確実にすること。
  2. 情報資産
    情報や情報システム、及びこれらを保護、使用するのに必要なものをいう。具体的には、データ(紙及び電子媒体)、ハードウェア、ソフトウェア、ネットワークや建物・設備が含まれる。
  3. 情報セキュリティマネジメントシステム
    管理体制を整備し、守るべきセキュリティレベルを明確にし、そしてセキュリティ対策を実施し、また状況を定期的に評価することなどを、組織として継続的に行っていく管理の枠組み。
  4. 個人番号
    住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。(個人番号に対応して、当該個人番号に代わって用いられる番号等を含む。)
  5. 特定個人情報
    個人番号(個人番号に対応し当該個人番号に代わって用いられる番号、記号その他符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報をいう。また、生存する個人の個人番号については、個人番号だけでも特定個人情報に該当する。
  6. 特定個人情報等
    個人番号及び特定個人情報のことをいう。
  7. 番号法
    行政手続における特定の個人を識別するための番号の利用等に関する法律のことをいう。
  8. 弊社に属する社員等
    役員、社員(出向者含む)、年俸契約社員、臨時雇、嘱託者(非常勤含む)派遣社員(短期やSES契約者含む)を弊社に属する社員等と定義する。

3. 適用範囲

情報セキュリティポリシーの適用範囲は、当社の保有する情報資産及び、情報資産に接するすべての当社関係者とする。

4. 責務

弊社に属する社員等は、情報セキュリティの重要性をよく理解し、情報セキュリティポリシーを遵守し業務を遂行するものとする。遵守にあたっては例外や個人の裁量による行動があってはならない。

5. 情報セキュリティマネジメントの体制

当社の情報セキュリティマネジメントシステムを統括するため情報セキュリティ統括責任者を定める。また、管理施策の実施や、教育訓練等の推進のため情報セキュリティ責任者を定める。また、弊社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、全社的なマネジメント体制を確立する。

6. 情報資産の分類

弊社が保有する情報資産について、機密性・完全性・可用性の重要度について分類し、脅威の発生頻度や、発生した場合の被害の大きさを評価し、必要十分のセキュリティ対策を行うものとする。

7. セキュリティ管理

  1. 人的セキュリティ
    情報セキュリティポリシーにおいて情報資産を取扱う社員等の情報セキュリティに関する権限と責任を明確にし、全ての社員等がこれに反することがないよう、教育・研修を行う。
  2. 物理的セキュリティ
    電子計算機室および事務所等など重要な情報資産を保管する場所について、不正な立ち入りや盗難・破壊等から保護するため、入退室や機器管理における物理的な対策を講じる。
  3. 技術的セキュリティ
    情報資産を不正アクセスやウィルスによる破壊・漏洩から守るために技術的対策を講ずる。
  4. 運用
    情報セキュリティが安定して保たれるよう、情報システムやネットワークにおいて運用監視の対策を講ずる。また、故障が発生した場合の迅速な復旧・原因調査のため、故障発生時の対応を講ずる。

8. 個人情報及び特定個人情報等の保護

弊社で扱う個人情報及び特定個人情報等・顧客情報については、別に定める『プライバシー・ポリシー』により保護するものとする。

9. 懲罰

情報セキュリティポリシーに反した弊社に属する社員等には、過失/故意の違いや、情報資産に与えた影響の大きさを考慮し、社内規定のほか、個人情報保護法、番号法や民法、不正アクセス法、電子計算機等破壊防止法等による相応な罰が与えられることを認識しなければならない。

10. 評価・見直し

情報セキュリティ対策は構築した時点では十分であっても、情報資産の価値の変化や、新たなセキュリティ脅威の出現などにより不十分なものとなってしまうことがある。情報セキュリティ環境の変化に対応するため定期的に情報セキュリティ対策基準の評価・見直しを行うこととする。

以 上