情報セキュリティ指針

情報セキュリティ指針の発行にあたって

情報セキュリティ指針策定の主旨

特定非営利活動法人 日本データセンター協会(以下、「協会」という)は、「データセンター事業に対する社会的要請に応える」、「日本の産業発展の情報基盤としてのデータセンター事業の発展・強化に寄与する」ことを目的に活動を行っている。

協会では、アンケート等によって会員組織から機密扱いを要する情報を取得したり、ワーキンググループ(以下、「WG」という)活動を通じて関係者以外は非開示扱いする情報を取得するケースもある。これら情報の適切な管理は協会活動における重要な責務である。

協会では、これら情報資産を「漏えい」、「滅失」、「毀損」等の脅威から保護し、適切に利用していくための指針として、「情報セキュリティ指針」(以下、「本指針」という)を策定した。協会の活動に携わるすべての者は、本指針の主旨及び内容を十分に理解し、遵守することが協会の活動を行う上で非常に重要であることを認識しなければならない。

情報セキュリティ指針の策定にあたって

協会の活動に携わる者の多くがWG に参加する会員企業の従業者であり、一般の組織と同じ方法の統制を実施することは合理的ではないと考えられる。したがって、本指針の策定にあたっては、以下の点に留意した。

  • 協会の活動で取り扱う情報そのものが、活動に関わる関係者の情報機器などに一時的にでも保管される可能性があるが、その情報機器は関係者の所属組織の統制下にあり、協会の統制を強制することは困難である。
  • 協会の活動に関わるほとんどの参加者はボランティア活動であることから、通常の組織活動における細かな罰則などにより統制を働かすことは協会活動そのものを阻害する可能性がある。

第1条 (目的)

本指針は、協会の活動の主旨に則って、情報資産の適切な利用を図るとともに、その保護を目的とする。

第2条 (適用範囲)

1. 本指針の対象者は、協会の活動の用に供する情報資産を取り扱う以下の各号に定める関係者とする。

  • ① 協会の活動に携わる理事、協会事務局スタッフ
  • ② 会員企業等からのワーキンググループへの参加者
  • ③ 協会の活動を通じて取り扱う情報の委託先
  • ④ その他、協会の活動に係る全ての関係者

2. 適用対象となる情報資産は、協会の活動で取り扱う「情報」とする。

第3条 (定義)

本指針で扱う用語の定義は以下の各号に定める。

  • ① 情報資産
    「情報」そのものを指し、書面、電子データ、会話等、その形態を問わない。
  • ② インシデント
    主に情報の「漏えい」、「滅失」、「毀損」等の発生またはその可能性のある状態を指す。

第4条 (情報資産の利用方針)

協会の活動で取り扱う情報は、協会の活動目的を達成するためにのみ使用され、私的な目的のために利用してはならない。

第5条 (情報セキュリティ管理の体制・役割)

1. 協会は、情報セキュリティ管理体制を確立する。

2. 情報セキュリティ管理体制とその役割・責任は、第6 条、第7 条、第8 条、第9 条、第10 条の定めに従う。

第6条 (理事会)

理事会は、情報セキュリティ対策に関する最高意志決定機関であり、以下の各号に定める任を担う。

  • ① 協会の情報セキュリティに係る方針を決定する。
  • ② 情報セキュリティ管理責任者を任命する。
  • ③ 情報セキュリティ対策を承認する。
  • ④ 情報セキュリティ内部監査者を任命する。ただし、監査の独立性を確保するため、情報セキュリティ管理責任者以外の者とする。
  • ⑤ 内部監査結果ならびに情報セキュリティ活動の報告を受け、改善が必要な場合、情報セキュリティ管理責任者に改善処置の立案・実施を指示する。

第7条 (情報セキュリティ管理責任者)

1. 情報セキュリティ管理責任者は、協会の情報セキュリティ対策における最高実施責任者であり、理事会と連係し以下の各号に定める任を担う。

  • ① 本指針に基づき情報セキュリティ対策を立案し、理事会に上程する。
  • ② 情報セキュリティ対策の導入を推進する。
  • ③ 運用状況の点検において不備がある場合、該当する関係者に改善を求める。
  • ④ 情報セキュリティ活動の状況について理事会に報告する。
  • ⑤ 情報セキュリティ対策の運用状況の点検を行い、また対策の有効性を評価し、改善が必要な場合、改善処置を立案し、理事会に上程する。

2. 情報セキュリティ管理責任者は、前項の一部またはすべての代行者を指名することができる。その場合、指名した代行者を理事会に報告する。

第8条 (運営委員会)

運営委員会は、情報セキュリティ管理責任者を補佐し、情報セキュリティ活動の推進、発生する課題への対応、また改善策の導入等の情報セキュリティの活動全般を支援する。

第9条 (情報取扱管理者)

1. 情報取扱管理者は、ワーキンググループ、部会、協会事務局などの組織(以下、「運営組織」という)において、実際に情報資産を取り扱う現場における情報資産の保護対策の実施責任者であり、運営組織に属するメンバーの協力を得て、以下の各号に定める任を担う。

  • ① 本指針を含む情報セキュリティに係る諸規則(以下、「協会規則」という)を自らの関係者へ周知し、実施を促進する。
  • ② 実施状況について情報セキュリティ管理責任者に報告する。

2. 情報取扱管理者は、前項の一部またはすべての代行者を運営組織から指名することができる。その場合、指名した代行者を情報セキュリティ管理責任者に報告する。

第10条 (情報セキュリティ内部監査者)

1. 情報セキュリティ内部監査者は、協会規則の遵守状況を監査する者であり、以下の各号に定める任を担う。

  • ① 内部監査計画を立案し、監査を実施する。
  • ② 監査結果を理事会に報告する。

2. 情報セキュリティ内部監査者は、事前に理事会の承認を得た上で、監査に係る業務の一部を外部の事業者に委託することができる。

第11条 (リスク管理/統制方針)

1. 協会規則を定め、対象者に周知し、これを推進する。協会規則の運用管理体制は、第6 条、第7 条、第8 条、第9 条、第10 条の定めに従う。

2. 第2 条1 項 に定義される全ての関係者に対し、自らの義務と責任について周知徹底を図るための施策を講じる。

3. 協会規則の遵守状況を確認するために、以下の各号に定める事項を実施する。

  • ① 情報資産を取り扱う現場、運営組織における定期的な自主点検の実施
  • ② 情報資産を取り扱う現場、運営組織に対する定期的な内部監査の実施

4. 点検、監査、また日常の活動において、改善すべき事項が発見された場合、速やかに改善処置を行う。

5. 協会の活動環境の変化、社会環境や法規制の変化、情報セキュリティ対策の最新動向及び新たに発見されたリスクに照らし合わせて、情報セキュリティ対策を適宜見直し、継続的に改善を行う。

6. 情報資産を保護する上で、必要不可欠な場合は関係者の行動や活動の利便性などを制限することがある。

第12条 (インシデント対応)

1. インシデントを起こした当事者または発見した者は、速やかに協会事務局に通報しなければならない。

2. 協会事務局は、情報セキュリティ管理責任者に報告するとともに、情報セキュリティ管理責任者の指示のもと、インシデント状況の情報収集に努める。

3. 情報セキュリティ管理責任者は、理事会及び運営委員会と連係し、インシデントの事態の収拾を図る。

4. 情報セキュリティ管理責任者は、運営委員会と連携して、インシデントの再発防止策を検討し、それを実施する。

第13条 (法令、協会規則の遵守)

1. 第2条1項に定義される全ての関係者は、個人情報の保護、知的財産権の保護等、情報資産の利用に関する各種法令、並びに協会規則を遵守する。

2. 各種法令、協会規則への違反が明らかになった場合、理事会で協議の上、対応を決定する。

第14条 (本指針の見直し)

本指針は、情報セキュリティ管理責任者が適宜見直しを実施し、理事会の承認を得る。

附則

本指針は、情報セキュリティ管理責任者が適宜見直しを実施し、理事会の承認を得る。