前回は、「中小企業の情報セキュリティ対策ガイドライン2025」の「目的から管理体制」について説明しました。
情報システムを使う情報セキュリティ対策のガイドラインをまとめましたので、以下の順に説明します。
「中小企業の情報セキュリティ対策ガイドライン2025」は、このブログの品質マニュアルと関連規定で想定している、20名規模のモノづくりの会社をイメージしています。
中小企業の情報セキュリティ対策ガイドライン2025
仕事中のルール ← この記事
テレワークのルール
ここでは、「仕事中のルール」について説明します。
6 全社共通のルール
全社共通ルールについては、入社時の研修や情報セキュリティに関する注意喚起などの機会を利用して、注意喚起を続けることが必要です。
6-1 電子メールの利用
(1) CC(カーボン・コピー)の使い方
CC(カーボン・コピー)は、メールの受信者に対して、直接的な対応は不要だが、内容を知っておくべき人を含める際に使用する。
(2) BCC(ブラインド・カーボン・コピー)の使い方
BCC(ブラインド・カーボン・コピー)は、受信者のプライバシーを守りながらメールを送信する場合や、特定の状況で効率的に情報を共有するために使用する。
BCCを禁止することが難しい場合には、BCCはとてもリスクの高いメール送信方法だということを理解できるまで繰り返し説明する必要があると思います。
私は、ひと手間かかりますが、BCCで送りたいメールを、送信後に別途メールするようにしています。
(3) 重要な情報または個人情報の送信
重要な情報または個人情報を送信する場合は、本文に記入せず、以下の方法で行う。
- 重要な情報または個人情報を添付ファイルに記載して、パスワードを使用した暗号化、またはパスワード付き圧縮ファイル(ZIP形式)にして暗号化する。
- パスワードは先方とあらかじめ決めておくなど、パスワードが傍受されない(漏洩しない)ようにする。
(4) メールによるウイルス感染等の防止
標的型攻撃メールによるウイルス感染を防止するため下表の内容に合致する場合は、十分に注意する。
例えば、安易に添付ファイルを開いたり、リンクを参照したりしない。
| メールの項目 | 内容 |
|---|---|
| 件名・見出し |
|
| 差出人アドレス |
|
| 本文 |
|
| 添付ファイル |
|
6-2 インターネットの利用
(1) ウェブサイトの利用
ウェブサイト利用時には以下に注意する。
- 不審なサイトへのアクセス及び社用メールアドレスの登録を禁止する。
(2) オンラインストレージサービスの利用
業務でオンラインストレージサービスを利用する際には以下を順守する。
- 業務でオンラインストレージサービスを利用する場合は、情報システムグループに申し出、管理部長の許可を得る。
- 従業員、もしくは取引先以外との業務関連情報の共有を禁止する。
- メールアドレスの登録が必要な場合は社用メールアドレスを登録する。
(3) 業務でのSNSの利用
業務でSNSを利用する際には、管理部長の許可を得る。
管理部長の許可を受け、業務でSNSを利用する場合には以下を順守する。
- 当社の秘密情報の書き込みは行わない。
- 取引先従業者とSNS上で私的に交流する場合、双方の立場をわきまえ、社会人として良識の範囲で交流する。
- セキュリティ設定を行い、アカウントの乗っ取り、なりすましに注意する。
- 使用するスマホ、タブレット上のデータ、写真、位置情報が、予期せず公開される可能性のあることに注意する。
6-3 重要なデータの管理
重要なデータは、部署共有のファイルサーバーに保存する。
重要なデータを保存したサーバーのバックアップは、情報システム管理グループが行う。
参照:5-5 重要なセキュリティ情報及びデータ等の管理
なお、重要なデータのうち顧客図面等を含む図面や仕様書は、「設計・開発管理規程」に従い管理する。
6-4 クリアデスク、クリアスクリーン
パソコンのデスクトップや机上、共有の書架や棚などの管理も必要です。
(1) クリアデスク
重要書類、スマホ、携帯電話、重要な情報を保存した外付けHDD、CD等の電子媒体などを業務利用時以外は机上に放置せず、クリアデスクを徹底する。
(2) クリアスクリーン
離席時にはパソコンの画面をロックし、クリアスクリーンを徹底する。
画面をロックする方法を以下に示す。
- [Ctrl]+[ALT]+[DEL]キーを押した後、[ENTER]キーを押してコンピュータをロックする。
[Windows]+[L]キーを押してもロックできます。
(3) 退社時、未使用時
退社時、未使用時にはノートパソコン、外付けHDD、CD等の電子媒体及び書類を机の引き出しに保管する。
重要なデータや書類は、施錠して管理する。
6-5 重要情報の持ち出し
(1) 重要情報を持ち出す際の注意点
重要な情報を保存したノートパソコンやタブレット、CD等の電子媒体及び重要書類を社外に持ち出すときには以下を徹底する。
- ノートパソコンまたはタブレットに保存するデータは必要最小限にする。
- 電子データはファイルを暗号化する。
- 電子媒体はケースに入れる。
- 重要な情報を印刷した書類を持ち出す際は、ひも付き封筒に入れる。
(2) 重要情報を携行している際の注意点
携行時には以下に注意する。
- 電車内では網棚に置かない。
- 自動車内に置いたまま車外に出ない。
- 作業中離席する場合は携行する。
- 他者が画面を覗き見できない状態で使用する。
6-6 重要情報の保管
退社時、未使用時には、モバイル用パソコン、携帯端末(スマホ、タブレット)、CD等の電子媒体及び重要書類を机の引き出しまたは所定のキャビネットに保管し、施錠する。
6-7 入退室
(1) 取引先または関係者以外の入室時の対応
取引先または関係者以外が入室した場合、発見者は声をかけ用件を確認する。
(2) 最終退室者の対応
最終退室者は以下を行う。
- 全員のパソコンがシャットダウンされ、プリンターなど周辺機器、暖房器具、湯沸かし器など発熱機器の電源が切られているか確認する。
- 全ての出入口の施錠を確認する。
- 退室時刻と退室者氏名を所定様式に記録する。
(3) 情報システムグループ執務室
情報システムグループ執務室は、外鍵・内鍵により施錠する。
6-8 電子媒体・重要書類の廃棄
電子媒体または重要書類の廃棄手順を下表に示す。
| 媒体 | 廃棄方法 |
|---|---|
| サーバー、パソコン |
※リースや売却を含む |
| 外付HDD(SSD) |
|
| CD・DVDなどのディスク |
|
| USBメモリ |
|
| 重要書類 |
|
まとめ
ここでは、情報システムを使う「中小企業の情報セキュリティ対策ガイドライン」のうち、「全社共通のルール」について説明しました。
次が最後です。
「テレワークのルール」について説明します。
