7.物理的及び環境的セキュリティに関する基本原則

「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。

「7.物理的及び環境的セキュリティに関する基本原則」では、以下について説明します。

  • 物理的セキュリティ対策
  • 情報資産のセキュリティ
スポンサーリンク

7.物理的及び環境的セキュリティに関する基本原則

7.1 物理的セキュリティ対策

7.1.1 物理的セキュリティ対策(重要情報の保管・利用における入退・施錠管理)

7.1.1.1 物理的セキュリティ境界(セキュリティが保たれた領域)

当社のファシリティに関する物理的セキュリティ境界を、「物理的セキュリティ境界一覧」に定め、重要な情報を保管・取扱う場所の入退管理と施錠管理を行う。

従業員は、当社のファシリティへの物理的入退管理については、各拠点毎定められた手順を遵守する。

7.1.1.2 物理的セキュリティ境界の管理手段

当社のファシリティにおける物理的セキュリティの管理手段は、下表の方法もしくはそれらを組み合わせたものとする。

エリア管理方法
サーバールーム常時施錠、情報システム室のみ入室可
本社の管理部・財務部エリア施錠管理
本社フロアビルの入退館システム
本社以外の各拠点ビルの入退館システム
荷物の受け渡し場所ファシリティ責任者が指定した場所、社員立会
本社の応接室、会議室従業員同席、入館証の貸与
本社以外の応接室等従業員同席

7.1.1.3 物理的セキュリティ対策に関する一般的注意事項

  • 配送業者等がオフィス内での移動する場合、社員が同行又は目の届く範囲とし、単独行動させない。
  • 来客時には、応接室等定められた場所を使用し、現場見学や移動の際も社員が同行又は目の届く範囲内とし、単独で行動させない。一時退席する場合、必ず社員を残す。
  • 顧客等の入退日時を記録する。
  • 会議室等、無人になるエリアにはPCやサーバーを設置しない。
  • 打ち合わせ資料等を応接室等に放置しない。
  • 打ち合わせ後にホワイトボードは消す。
  • 入館証や名札を(見えるところに)常時携帯する。

7.1.2 外部および環境の脅威からの保護(自然災害や人災による災害の防止)

  • サーバー等は、情報システム室が管理するサーバールームに設置する。
  • サーバールームに設置するコンピュータ等は、地震などによる転倒防止、エアコン等による水濡れ防止、停電時の代替電源確保等の対策を取る。
  • 個人情報等重要な情報は、施錠管理する。
  • 電源や通信ケーブル等は、原則として床下配線とする。やむを得ずフロア上に設置する場合、ケーブルの引っ掛けなどによる人的災害が起こらないように配置・設置する。

7.1.3 重要な書類、ノートPC、記憶媒体などの管理

7.1.3.1 セキュリティが確保された領域(当社のファシリティ)での作業

従業員は、当社のファシリティでの作業に当たり、次の情報機器の使用を原則禁止とする。

  • 画像を記録できる情報機器(デジタルカメラ、スマホ等)
  • 音声を記録できる情報機器(ICレコーダー等)

セキュリティが確保された領域で上記情報機器を使用する場合には、事前に部門セキュリティ責任者(部署長)及び情報セキュリティ管理責任者の承認を得る。

7.1.3.2 重要な書類、PC等の管理に関する一般的注意事項

(1)クリアスクリーン、クリアデスク

  • 重要な書類、ノートPC(特にモバイル用途)、USBメモリ等の記憶媒体等の整理整頓を行う。

(2)重要な書類の取扱い

  • 重要な書類を保管するキャビネット等は、施錠管理を行う。
  • 不要になった書類は、シュレッダーや溶解処理等で確実に処分する。
  • 重要な書類の裏面を再利用しない。
  • 机上、会議室等に重要な情報を放置しない。
  • 郵便物、FAX、印刷物等を放置しない。

(3)ノートPC、USBメモリ等の記録媒体の管理

  • ノートPCやUSBメモリ等の外部記録媒体は、盗難防止対策を行う。
  • 保存した情報が不要になった場合、消去ソフトを用いるなど確実に処分する。
  • 私有PCの当社への持ち込み、私有PCを使って業務をしてはならない。
スポンサーリンク

7.2 情報資産のセキュリティ

7.2.1 情報資産の設置及び保護

(1)社内利用における遵守事項

従業員は、当社のファシリティ内に設置された情報機器に対する物理的なセキュリティを確保するために、情報機器の設置や使用等に関して次の事項を遵守する。

  • 窃盗や不正使用の試みを監視できる環境下に設置する。
  • 必要に応じて、落下・破損の防止及び耐震処置を行う。
  • 使用中に盗み見される危険がある環境等で秘密情報・個人情報を取り扱う情報機器を使用する場合は、使用中に盗み見される危険を軽減するための防止対策を行う。
  • ポータブル型情報機器を会社に置いて帰宅するときは、セキュリティ・ワイヤー(チェーン・ロック)や施錠されたキャビネットへの保管等の盗難防止処置を行う。
  • 情報機器に悪影響を及ぼすおそれのある環境で情報機器を使用しない。

(2)社外利用における遵守事項

従業員は、情報資産を会社から持ち出す場合は、次の事項を遵守する。

  • 「7.2.6 情報資産の移動」に従い、事前に部署長及び情報セキュリティ管理責任者の承認を得る。
  • 退社後、帰宅までの間に飲酒する予定又は可能性がある場合、又は一般注意義務遵守に支障をきたすおそれのある(例えば、疲労状態のため持ち帰った情報機器を置き忘れるおそれがある)場合は、部署長及び情報セキュリティ管理責任者の承認の有無にかかわらず情報資産を持ち帰らない。
  • 電車、飛行機、船舶、その他の交通機関での移動(通勤を含む)の際は、情報資産又は情報資産を収納した鞄等は常に手元に携帯し(飛行機の場合は、手荷物として機内に持ち込み、客室乗務員の指示に従い取り扱う)、置き忘れや盗難のおそれのある場所に置かない。
  • 車両での移動(通勤を含む)の際に車両を離れる場合は、情報資産又は情報資産を収納した鞄等を車両内に放置しない。

7.2.3 情報機器の保守(修理を含む)

(1)情報機器(例:個人使用業務PC、ネットワーク機器、サーバー機器)を取り扱う者は、情報機器の保守について、次の事項を遵守する。

  • 保守契約又はリース契約を締結し、契約の中に秘密保持義務が含まれている場合でも情報機器内の秘密情報・個人情報・顧客情報・顧客預かり情報が漏洩することがないよう、保守又は修理の作業前にデータファイルを別のメディアや別の情報機器に移動するか、又は当該情報機器内から削除する等の情報漏えい防止処置を行う。情報機器内に格納された電子メールのアドレス帳及び送受信メールに対しても当該情報漏えい防止処置を行う。
  • 故障により、前号の処置を実施できず当該機器内に秘密情報・個人情報・顧客情報・顧客預かり情報を格納した状態で保守会社に作業を依頼し、その結果、ハードディスクの交換が必要であることが判明した際は、当該保守会社に対し、当該ハードディスク内のデータの完全消去を指示し、その結果を証する書面(ハードディスクデータ消去証明書)の発行を求め、これを取得する。
  • 当社のファシリティ内への保守業者等の第三者が所有する情報機器の持込み及びその使用については、「11.4 情報処理設備等の誤用の防止」に従う。

(2)部署長は、次の事項を遵守する。

  • 保守会社又はリース会社から発行されたハードディスクデータ消去証明書をその責任の下に保管する。
  • 管理部からハードディスクデータ消去証明書の提出を求められた際は、すみやかに当該証明書を提出する。

7.2.4 当社のファシリティ外における情報機器のセキュリティ

従業員は、社外における会社貸与情報機器の保護・管理については、「7.2.1 情報資産の設置及び保護」を遵守する。

7.2.5 情報機器及び外部記憶メディアの再利用・廃棄

(1)従業員は、会社貸与の情報機器及び外部記憶メディアを再利用又は廃棄する際は、情報機器及び外部記憶メディア内の秘密情報・個人情報・顧客情報・顧客預かり情報が漏洩することがないよう、事前に情報漏えい防止処置を実施する。

①会社貸与PCの再利用・廃棄
情報システム室は、会社貸与PCを社内再利用する前に、「データ消去ソフト」によりハードディスク内に格納されていた情報を読取り不可能な状態にする。
会社貸与PCを廃棄する際は、次のいずれかの処理を実施する。
・「7.2.3 情報機器の保守(修理を含む)」に従い、廃棄する。
・「データ消去ソフト」によりハードディスク内に格納されていた情報を読取り不可能な状態にする。
廃棄処理前に情報記憶装置(内蔵ハードディスク等)を物理的に破壊、又は専用の機器で消磁処理する。
情報漏えい防止処置実施後の情報機器廃棄処理は、管理部が行う。
②会社貸与携帯電話の再利用・廃棄
会社貸与携帯電話の廃棄は、管理部が行う。
会社貸与携帯電話を再利用又は廃棄する際は、廃棄前に当該携帯電話内に登録・格納されているすべての情報を削除する。
③会社貸与の外部記憶メディアの再利用・廃棄
会社貸与の外部記憶メディアを再利用する際は、「8.5.1 コンピュータ用の取外し可能なメディアの管理」を遵守する。
会社貸与の外部記憶メディアを廃棄する際は、「8.5.2 メディアの処分」を遵守する。
④その他の情報機器
前①から③に準じ、適切な処置を行う。

(2)管理部は、情報機器の廃棄について外部に委託する場合、外部委託契約の中に次の条項を含める。

  • 情報機器内データの完全消去処置の実施
  • データ消去証明書の発行

(3)管理部は、廃棄を行う外部委託先から発行されたデータ消去証明書を、その責任下に保管する。

7.2.6 情報資産の移動

従業員は、情報資産の社外への持出しについて、次の事項を遵守する。

(1)会社の情報資産を社外に持ち出す際は、事前に部署長及び情報セキュリティ管理責任者の承認を得る。

(2)社外に持ち出す会社の情報機器(会社貸与ノートPC等)の保護について、「7.2.1 情報資産の設置及び保護」を遵守する。

(3)秘密情報・個人情報を社外へ持出さない。

ただし、業務上、やむを得ず秘密情報・個人情報を社外へ持ち出す場合は、事前に部署長及び情報セキュリティ管理責任者の承認を得る。

秘密情報・個人情報の社外への持出し例を次に示す。

  • 例1:ノートPCに秘密情報・個人情報を電子的に格納し、ノートPCごと社外に持ち出す
  • 例2:秘密情報・個人情報を印刷し、印刷物を社外に持ち出す
  • 例3:秘密情報・個人情報が格納された外部記憶メディア(例:USBメモリ)を社外に持ち出す

(4)部署長及び情報セキュリティ管理責任者の承認を得て、秘密情報・個人情報を社外へ持ち出す際は、「8.5.3 情報の取扱手順」に従い、暗号化等の情報漏えい防止処置を実施する。

まとめ

「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。

「7.物理的及び環境的セキュリティに関する基本原則」では、以下について説明しました。

  • 物理的セキュリティ対策
  • 情報資産のセキュリティ
タイトルとURLをコピーしました