特定非営利活動法人 日本データセンター協会(以下、「協会」という)は、「データセンター事業に対する社会的要請に応える」、「日本の産業発展の情報基盤としてのデータセンター事業の発展・強化に寄与する」ことを目的に活動を行っている。
協会では、アンケート等によって会員組織から機密扱いを要する情報を取得したり、ワーキンググループ(以下、「WG」という)活動を通じて関係者以外は非開示扱いする情報を取得するケースもある。これら情報の適切な管理は協会活動における重要な責務である。
協会では、これら情報資産を「漏えい」、「滅失」、「毀損」等の脅威から保護し、適切に利用していくための指針として、「情報セキュリティ指針」(以下、「本指針」という)を策定した。協会の活動に携わるすべての者は、本指針の主旨及び内容を十分に理解し、遵守することが協会の活動を行う上で非常に重要であることを認識しなければならない。
協会の活動に携わる者の多くがWG に参加する会員企業の従業者であり、一般の組織と同じ方法の統制を実施することは合理的ではないと考えられる。したがって、本指針の策定にあたっては、以下の点に留意した。
本指針は、協会の活動の主旨に則って、情報資産の適切な利用を図るとともに、その保護を目的とする。
1. 本指針の対象者は、協会の活動の用に供する情報資産を取り扱う以下の各号に定める関係者とする。
2. 適用対象となる情報資産は、協会の活動で取り扱う「情報」とする。
本指針で扱う用語の定義は以下の各号に定める。
協会の活動で取り扱う情報は、協会の活動目的を達成するためにのみ使用され、私的な目的のために利用してはならない。
1. 協会は、情報セキュリティ管理体制を確立する。
2. 情報セキュリティ管理体制とその役割・責任は、第6 条、第7 条、第8 条、第9 条、第10 条の定めに従う。
理事会は、情報セキュリティ対策に関する最高意志決定機関であり、以下の各号に定める任を担う。
1. 情報セキュリティ管理責任者は、協会の情報セキュリティ対策における最高実施責任者であり、理事会と連係し以下の各号に定める任を担う。
2. 情報セキュリティ管理責任者は、前項の一部またはすべての代行者を指名することができる。その場合、指名した代行者を理事会に報告する。
運営委員会は、情報セキュリティ管理責任者を補佐し、情報セキュリティ活動の推進、発生する課題への対応、また改善策の導入等の情報セキュリティの活動全般を支援する。
1. 情報取扱管理者は、ワーキンググループ、部会、協会事務局などの組織(以下、「運営組織」という)において、実際に情報資産を取り扱う現場における情報資産の保護対策の実施責任者であり、運営組織に属するメンバーの協力を得て、以下の各号に定める任を担う。
2. 情報取扱管理者は、前項の一部またはすべての代行者を運営組織から指名することができる。その場合、指名した代行者を情報セキュリティ管理責任者に報告する。
1. 情報セキュリティ内部監査者は、協会規則の遵守状況を監査する者であり、以下の各号に定める任を担う。
2. 情報セキュリティ内部監査者は、事前に理事会の承認を得た上で、監査に係る業務の一部を外部の事業者に委託することができる。
1. 協会規則を定め、対象者に周知し、これを推進する。協会規則の運用管理体制は、第6 条、第7 条、第8 条、第9 条、第10 条の定めに従う。
2. 第2 条1 項 に定義される全ての関係者に対し、自らの義務と責任について周知徹底を図るための施策を講じる。
3. 協会規則の遵守状況を確認するために、以下の各号に定める事項を実施する。
4. 点検、監査、また日常の活動において、改善すべき事項が発見された場合、速やかに改善処置を行う。
5. 協会の活動環境の変化、社会環境や法規制の変化、情報セキュリティ対策の最新動向及び新たに発見されたリスクに照らし合わせて、情報セキュリティ対策を適宜見直し、継続的に改善を行う。
6. 情報資産を保護する上で、必要不可欠な場合は関係者の行動や活動の利便性などを制限することがある。
1. インシデントを起こした当事者または発見した者は、速やかに協会事務局に通報しなければならない。
2. 協会事務局は、情報セキュリティ管理責任者に報告するとともに、情報セキュリティ管理責任者の指示のもと、インシデント状況の情報収集に努める。
3. 情報セキュリティ管理責任者は、理事会及び運営委員会と連係し、インシデントの事態の収拾を図る。
4. 情報セキュリティ管理責任者は、運営委員会と連携して、インシデントの再発防止策を検討し、それを実施する。
1. 第2条1項に定義される全ての関係者は、個人情報の保護、知的財産権の保護等、情報資産の利用に関する各種法令、並びに協会規則を遵守する。
2. 各種法令、協会規則への違反が明らかになった場合、理事会で協議の上、対応を決定する。
本指針は、情報セキュリティ管理責任者が適宜見直しを実施し、理事会の承認を得る。
附則
本指針は、情報セキュリティ管理責任者が適宜見直しを実施し、理事会の承認を得る。