SECURITY ACTION

情報セキュリティ対策宣言・情報セキュリティ基本方針
  2. 情報セキュリティ対策宣言・情報セキュリティ基本方針

情報セキュリティ
対策宣言

株式会社エネルギア・ロジスティックス(以下、「当社」という)は、業務上取り扱うお客さま等の情報資産および当社の情報資産を各種脅威から守るため、情報セキュリティ基本方針を定め、 以下の取り組みを実施します。

1.当社は、業務上取り扱う情報資産に対し、セキュリティ対策に万全を期すものとし、紛失・破壊・改ざんおよび漏洩等のリスク未然防止に常に最優先にて取り組みます。

2.当社は、情報資産の重要度に応じた適切なセキュリティ対策を実施します。

3.当社は、個人情報の積極的な保護に努めます。

4.当社は、情報セキュリティ責任者を配置し、セキュリティ対策を推進します。

5.当社は、情報セキュリティに関する教育・啓蒙を継続的に実施します。

6.当社は、継続して情報セキュリティの維持・向上を図り、情報セキュリティの確保に努めます。

7.当社は、情報セキュリティに関連する法令、その他の規範を遵守します。

2007年4月20日 制定

情報セキュリティ
基本方針

1.情報セキュリティ基本方針の目的

㈱エネルギア・ロジスティックス(以下「当社」という)が扱う情報には、お客さまのプライバシーに関わる個人情報をはじめ、機密性の高い重要な情報が含まれており、 情報漏えいなどの情報セキュリティ事故が発生した場合には極めて深刻な影響がある。

情報セキュリティ基本方針は、当社が保有する情報資産を様々な脅威から防御し、機密性、完全性および可用性を維持するために取り組むための方針であり、情報セキュリティ対策を実 践するために必要な基本的事項を定めることを目的とする。

2.適用範囲

本基本方針は、当社の情報資産を取扱う全ての役員・社員(派遣社員、契約社員等を含む)(以下「社員等」という)および外部委託事業者に適用する。

3.用語の定義

 (1)ネットワーク

 電子計算機等を相互に接続するための通信網およびその構成機器(ハードウェアおよびソフトウェア)で構成され、情報処理を行う仕組みをいう。

 (2)記録媒体

 当社が業務上取り扱う情報を記載または記録したものをいう。

 (3)電子記録媒体

 記録媒体のうち、情報システムで使用する磁気ディスク、磁気テープ、光ディスク、書き換えおよび持ち運び可能なメモリー等ならびに入出力帳票等をいう。

 (4)情報システム

 ハードウェア、ソフトウェア、ネットワークおよび電子記録媒体で構成されるものであって、これら全体で業務処理を行うものをいう。

 (5)情報資産

 当社が業務上取り扱う情報および記録媒体ならびに情報システムをいう。

 (6)機密性

 アクセスを許可された者だけが情報にアクセスできることを確実にすることをいう。

 (7)完全性

 情報および処理方法が、正確であることおよび完全であることを保護することをいう。

 (8)可用性

 許可された利用者が、必要なときに情報および関連する資産にアクセスできることを確実にすることをいう。

 (9)情報セキュリティ

 情報資産の機密性、完全性および可用性を維持することをいう。

 (10)脅威

 当社が保有する情報資産の価値に影響を与える直接的な原因をいう。

 (11)情報セキュリティ事故

 情報セキュリティ対策等を故意または過失によって無効にする行為や自然災害等により、情報セキュリティに問題が発生する、または発生する可能性が高い事象をいう。

4.対象資産

当社が保有する以下の情報資産を対象とする。

 (1)「個人情報の保護に関する法律」の対象となる情報資産。

 (2)当社の保有する機密情報資産。

 (3)その他、情報セキュリティ事故が発生した場合、社会的に責任を問われる情報資産。

5.当社の責任

当社は、社会的に責任を問われる情報セキュリティ事故が当社において発生した場合、中国電力グループ全体が事故の当事者となるという認識のもと、情報セキュリティ対策を推進する。

6.情報セキュリティの管理体制

当社は、情報資産について、情報セキュリティ対策を推進・管理するための体制を整備する。

7.情報資産の分類

当社は、情報資産を、その資産価値および脅威に応じた適切な情報セキュリティ対策を実施することを目的に分類し、適切に管理する。

8.情報セキュリティ対策

当社は、情報資産を適切に保護するために、以下の情報セキュリティ対策を講じることとする。

 (1)人的セキュリティ対策

情報セキュリティに関する権限や責任を定め、全ての社員等および外部委託事業者に対して正しい利用方法、情報セキュリティ要求事項および法令等に関する適切な教育を実施する。

 (2)物理的セキュリティ対策

情報資産を不正な立ち入り、人為的または自然災害等の脅威から保護するために、施錠管理、入退出管理および情報システム管理上のセキュリティなどの物理的対策を講じる。

 (3)技術的セキュリティ対策

情報資産を不正アクセス、コンピュータウィルス等の不正行為から保護するために、適切な技術的対策を講じるとともに、個人情報等の重要な情報に対するアクセスついては、アクセス記録の取得を検討する。

 (4)運用上のセキュリティ対策

情報セキュリティ対策の有効性を維持するために、内部および外部環境からの脅威により発生する情報セキュリティ事故の監視、情報セキュリティに関する法令および基準等の遵守状況把握など、運用面での対策を講じる。

また、情報セキュリティ事故に対して、迅速かつ効果的に対応するために、あらかじめ情報セキュリティ事故発生時の対応策を確立しておく。

9.情報セキュリティ対策の制定および実施

当社は、前述の情報セキュリティ対策を具体的に実施するにあたり、本基本方針に基づき情報セキュリティ対策基準および情報セキュリティ対策実施手順(運用マニュアル)を定める。

10.適合性

当社で定める情報セキュリティ対策は、関係する法令・規制・当社の規定等および本基本方針と適合していなければならない。

11.見直しの考え方

当社は、情報セキュリティ基本方針、情報セキュリティ対策基準および情報セキュリティ実施手順について、実施結果や情報セキュリティを取り巻く環境の変化に応じて継続的に評価、見直しを実施する。

2007年4月20日 制定