情報セキュリティ

吉塚精機(株)ISMポリシー

吉塚精機㈱は、経営基本方針にのっとり、優れた技術、製品およびサービスによって、お客様の満足と信頼を得ることを目指しています。この目的を果たすために、自社やお客様・お取引先、第三者の財産的情報、個人情報を価値ある経営資源として扱うことが重要です。さらに、新製品製造の当初段階において、お客様の情報を適切に保護する機能にも注意しなければなりません。これらを通じ、社会的な信用を高め、企業価値を高めていくことが、情報セキュリティの目的です。

第1章 概念と原則

1.1 情報セキュリティは吉塚精機㈱全員の義務

情報セキュリティは、吉塚精機㈱の取締役および従業員(以下、従業員等とします)の責務です。一人ひとりは、情報セキュリティ意識をもち、情報を業務に安全かつ適切に使用する責任があります。
情報が全サイトに共有されるためには、情報セキュリティは全サイト共通のルールに基づく必要があります。このISM ポリシーは、全サイト共通の情報セキュリティの考え方を示すものです。
当社の規定は、このISM ポリシーと、整合しなければなりません。

1.2 情報セキュリティの概念

情報セキュリティとは、業務上必要な人のみが必要なときに情報を利用できるよう、機密性、完全性、可用性に対する内外の脅威から情報を安全に保護することです。
情報とは、会社が保有し、または業務上使用し、作成し、受け取るすべての情報を言います。これには、自社情報だけでなく、他者から受領したものも含みます。情報は、紙などの非電子化媒体に記録された状態、電子化され保管・通信・利用されている状態、生産設備・試作品など物に化体された状態、従業員等が業務上知り得て記憶している状態にあります。

1.3 情報の利用原則

1.3.1 情報は吉塚精機㈱の財産

すべての情報は従業員等のものではなく吉塚精機㈱の財産です。従って、
(1) 従業員等は、情報を許可なく他者に開示してはならず
(2) 業務目的にのみ利用できるものとします。
この機密保持義務は、退任または雇用の関係を失った後においても、当社に在職中に知った情報について継続します。

1.3.2 Need to know の原則

情報は、業務上必要な人のみが知ることができるものとし、当社内の職務遂行上必要な者との情報の共有化を図る必要があります。

1.4 不正入手の禁止

従業員等は、情報を不正な手段で入手してはいけません。

第2章 組織の情報セキュリティ上の責任

2.1 情報セキュリティ責任の基本的考え方

情報セキュリティは、経営責任の一部です。従って、吉塚精機㈱内の会社の社長等の事業責任者は、担当する事業の経営責任の一環として情報セキュリティに対する責任を有します。組織責任者は、業務管理責任の一環として、情報セキュリティに対する責任を有します。

2.2 情報セキュリティに関する吉塚精機㈱のガバナンス

吉塚精機㈱ の情報セキュリティ担当役員は、(以下、吉塚精機㈱CSO とします)情報セキュリティに関し全サイトでの責任を有し、情報セキュリティ活動を統制します。第3章で定めるコントロールのインフラを担当する各職能は、適切にこれらのコントロールを管理することとします。

第3章 情報の管理

情報セキュリティの活動では、情報の価値を認識し、当該情報を組織的なプロセスコントロール・技術コントロールにより総合的に適切に保護する必要があります。主要セキュリティコントロールは、下記に示したものを含みます。

3.1 情報の区分

情報オーナは、ISM規定に定める、機密性(必要に応じ、完全性、可用性)に基づき、適切な区分を付与する責任があります。

3.2 情報の区分に基づく取り扱いと管理

従業員等は、情報オーナが示す情報の区分に基づいて、ISM規定が定める取り扱いと管理の要件に基づき、安全に管理し、利用します。
他者から機密保持義務を負って開示を受けた情報の場合は、さらに、開示に係る契約書、誓約書等に基づくことを原則とし、厳重な取り扱いと管理を行います。

3.3 人的管理

会社は、本ポリシーを含む情報セキュリティ関連規程や情報の取扱い・管理についての教育を実施し、従業員等は受講します。
また、情報セキュリティ上の問題を発見もしくは発生の危険を感じた場合、定められた報告ルートにより、速やかに報告をします。従業員等が、本ポリシーを含む情報セキュリティ関連規程に、意図的にまたは過失等で違反した場合は、解雇を含む懲戒の対象となります。

3.4 物理環境の管理

当社は、必要に応じて建物・事務所などすべての物理的領域に保護措置、防犯および防災対策、入退出管理や監視などの必要な管理要件を定めて領域の安全管理を行います。    また、情報の処理および保管については、ゾーンと呼ばれる物理的環境にて行うこととします。

3.5 情報システムの管理

各情報システムは、取り扱う情報の重要度および区分に応じたセキュリティ管理策を備えます。

3.6 順法管理

本ポリシーを含め、ISM規定、ならびに関係手順、および情報の取扱いと管理策は、各国の適用可能な法令に従います。

3.7 評価および情報セキュリティの維持向上

情報セキュリティに関するコントロールの実施状況および有効性について定期的な評価を行い、情報セキュリティの維持向上に努めることとします。
情報セキュリティマネジメントシステムの見直しには「情報セキュリティ基準チェックシート」の最新版を用いて、1年に1回、見直しを行います。

第4章 事件・事故の管理

当社は、情報セキュリティに関連する事件・事故が発生した際には、お客様の保護と社会的責任を優先して対応します。